Предыдущая версия справа и слева
Предыдущая версия
|
Предыдущая версия
|
сети:dos_и_ddos_-_простая_защита [2012/08/24 13:39] |
сети:dos_и_ddos_-_простая_защита [2022/12/26 11:52] (текущий) maryia |
| ====== dos и ddos - простая защита ====== |
| Применимость: Linux |
| |
| Слова для поиска: |
| ---- |
| ===== Задача: ===== |
| Защитить сервер от аттак простыми средствами |
| |
| {{http://aws.hackingchristianity.net/wp-content/files/ddos-attack.jpg?640}} |
| |
| ===== Решение: ===== |
| ===== DOS и DDOS - простая защита ===== |
| Защита от атак (D)DOS задача дорогая и сложная. Рашается комплексно, требует привлечения множества высококвалифицированных специалистов, требует усилий со стороны провайдеров магистральных каналов связи. Потребуется использование специнструментов вроде Cisco Guard XT 5650, Сisco Catalyst 6500/Cisco 7600 Router Anomaly Guard Module, Cisco Catalyst 6500/Cisco 7600 Router Traffic Anomaly Detector Module, Radware Defence Pro, TippingPoint Intrusion Prevention System и т.д.. В этом списке мало что стоит менее $20000. |
| |
| Множество фирм оказывает услуги по защите, можно найти варианты от 35$ в месяц. |
| |
| Но цитата из блога [[http://www.blacklotus.net/blog/|blacklotus]] (служба защиты от DDOS) вас не обнадежит, увы: - // "1 Gbps of protection will cost you a whopping $10,999.00 per month."// |
| |
| ===== (D)DoS-Deflate ===== |
| Но, при умеренных масштабах бедствия, бывает полезно обойтись знанием простых средств которые всегда под рукой. Используем возможности несложного скрипта [[http://deflate.medialayer.com/|(D)DoS-Deflate]] |
| |
| ===== Установка ===== |
| <code> |
| wget [[http://www.inetbase.com/scripts/ddos/install.sh|http://www.inetbase.com/scripts/ddos/install.sh]] |
| chmod 0700 install.sh |
| ./install.sh |
| </code> |
| ===== Удаление ===== |
| <code> |
| wget [[http://www.inetbase.com/scripts/ddos/uninstall.ddos|http://www.inetbase.com/scripts/ddos/uninstall.ddos]] |
| chmod 0700 uninstall.ddos |
| ./uninstall.ddos |
| </code> |
| ===== Принцип работы ===== |
| 1 раз в минуту по запускается команда |
| |
| netstat -ntu | awk '{print $5}' | cut -d: -f1 | sort | uniq -c | sort -n |
| |
| Если число соединений с какого нибудь адреса превышает заданное в конфиге ограничение(по умолчанию 150), адрес блокируется. Время блокировки тоже настраивается в конфигурационном файле: |
| |
| /usr/local/ddos/ddos.conf |
| |
| Там же настраивается чем управлять файерволом — iptables или apf(надстройка над iptables). |
| |
| ===== Дополнительно ===== |
| Владельцам выделенных серверов может быть полезным определение некоторых парметров ядра: |
| <code> |
| #/sbin/sysctl —w net.ipv4.icmp_ignore_bogus_error_responses=1 |
| #/sbin/sysctl —w net.ipv4.conf.all.log_martians=1 |
| #/sbin/sysctl —w net.ipv4.conf.all.rp_filter=1 |
| #/sbin/sysctl —w net.ipv4.conf.all.send_redirects=0 |
| #/sbin/sysctl —w net.ipv4.conf.all.accept_redirects=0 |
| #/sbin/sysctl —w net.ipv4.conf.all.accept_source_route=0 |
| #/sbin/sysctl —w net.ipv4.conf.all.mc_forwarding=0 |
| #/sbin/sysctl —w net.ipv4.icmp_echo_ignore_broadcasts=1 |
| </code> |
| Полезно будет почитать здесь: [[http://www.protocols.ru/modules.php?name=News&file=article&sid=61|Параметры SysCtl для стека IP]] |
| |
| ===== Ссылки ===== |
| * [[сети:ddos|]] |
| * [[http://antiddos.org/|Antiddos.ORG]] — сайт, посвященный исследованию и защите от DDOS атак |
| * [[http://tools.ietf.org/html/rfc4732|RFC4732]] - Internet Denial-of-Service Considerations |
| * [[http://www.w3.org/Security/Faq/wwwsf6.html|W3C The World Wide Web Security FAQ]] |
| * [[http://www.armoraid.com/survive/|Understanding and surviving DDoS attacks]] |
| * [[http://www.cert.org/tech_tips/denial_of_service.html|cert.org]] CERT's Guide to DoS attacks. |
| * [[http://atlas.arbor.net/summary/dos|ATLAS Summary Report]] - Real-time global report of DDoS attacks. |
| * [[http://www.linuxsecurity.com/content/view/121960/49/|linuxsecurity.com]] An article on preventing DDoS attacks. |
| * [[http://antivirus.about.com/od/whatisavirus/a/zombiepc.htm|Is Your PC a Zombie?]], About.com. |
| * [[http://www.elitonlabs.com/security/promoting-efficiency-of-http-denial-of-service-attack|HTTP Application Level Flood with Efficiency]], By Cliff Cong Zijie, Eliton Laboratories. |
| * [[http://www.zakon.kz/149277-portal-respublika-rasskazal-o-ddos.html|Статья "Портал «Республика» - ни шагу назад"]] |
| |
| |
| |
| ---- |
| Актуальность: 2012/08/24 16:14 |
| |
| {{tag>ddos безопасность}} |
| |
| {{htmlmetatags>metatag-robots=(noindex,nofollow)}} |
| |