Различия

Здесь показаны различия между двумя версиями данной страницы.

Ссылка на это сравнение

сети:dos_и_ddos_-_простая_защита [2012/08/24 13:39] (текущий)
Строка 1: Строка 1:
 +====== dos и ddos - простая защита ======
 +Применимость:​ Linux
 +
 +Слова для поиска: ​
 +----
 +===== Задача:​ =====
 +Защитить сервер от аттак простыми средствами ​
 +
 +{{http://​aws.hackingchristianity.net/​wp-content/​files/​ddos-attack.jpg?​640}}
 +
 +===== Решение:​ =====
 +=====  DOS и DDOS - простая защита ​ =====
 +Защита от атак (D)DOS задача дорогая и сложная. Рашается комплексно,​ требует привлечения множества высококвалифицированных специалистов,​ требует усилий со стороны провайдеров магистральных каналов связи. Потребуется использование специнструментов вроде Cisco Guard XT 5650, Сisco Catalyst 6500/Cisco 7600 Router Anomaly Guard Module, Cisco Catalyst 6500/Cisco 7600 Router Traffic Anomaly Detector Module, Radware Defence Pro, TippingPoint Intrusion Prevention System и т.д.. В этом списке мало что стоит менее $20000.
 +
 +Множество фирм оказывает услуги по защите,​ можно найти варианты от 35$ в месяц.
 +
 +Но цитата из блога [[http://​www.blacklotus.net/​blog/​|blacklotus]] (служба защиты от DDOS) вас не обнадежит,​ увы: - // "1 Gbps of protection will cost you a whopping $10,999.00 per month."//​
 +
 +=====  (D)DoS-Deflate ​ =====
 +Но, при умеренных масштабах бедствия,​ бывает полезно обойтись знанием простых средств которые всегда под рукой. Используем возможности несложного скрипта [[http://​deflate.medialayer.com/​|(D)DoS-Deflate]]
 +
 +=====  Установка ​ =====
 +<​code>​
 + wget [[http://​www.inetbase.com/​scripts/​ddos/​install.sh|http://​www.inetbase.com/​scripts/​ddos/​install.sh]]
 + chmod 0700 install.sh
 + ​./​install.sh
 +</​code>​
 +=====  Удаление ​ =====
 +<​code>​
 + wget [[http://​www.inetbase.com/​scripts/​ddos/​uninstall.ddos|http://​www.inetbase.com/​scripts/​ddos/​uninstall.ddos]]
 + chmod 0700 uninstall.ddos
 + ​./​uninstall.ddos
 +</​code>​
 +=====  Принцип работы ​ =====
 +1 раз в минуту по запускается команда
 +
 +  netstat -ntu | awk '​{print $5}' | cut -d: -f1 | sort | uniq -c | sort -n
 +
 +Если число соединений с какого нибудь адреса превышает заданное в конфиге ограничение(по умолчанию 150), адрес блокируется. Время блокировки тоже настраивается в конфигурационном файле:
 +
 +  /​usr/​local/​ddos/​ddos.conf
 +
 +Там же настраивается чем управлять файерволом — iptables или apf(надстройка над iptables).
 +
 +=====  Дополнительно ​ =====
 +Владельцам выделенных серверов может быть полезным определение некоторых парметров ядра:
 +<​code>​
 + #/​sbin/​sysctl —w net.ipv4.icmp_ignore_bogus_error_responses=1
 + #/​sbin/​sysctl —w net.ipv4.conf.all.log_martians=1
 + #/​sbin/​sysctl —w net.ipv4.conf.all.rp_filter=1
 + #/​sbin/​sysctl —w net.ipv4.conf.all.send_redirects=0
 + #/​sbin/​sysctl —w net.ipv4.conf.all.accept_redirects=0
 + #/​sbin/​sysctl —w net.ipv4.conf.all.accept_source_route=0
 + #/​sbin/​sysctl —w net.ipv4.conf.all.mc_forwarding=0
 + #/​sbin/​sysctl —w net.ipv4.icmp_echo_ignore_broadcasts=1
 +</​code>​
 +Полезно будет почитать здесь: [[http://​www.protocols.ru/​modules.php?​name=News&​file=article&​sid=61|Параметры SysCtl для стека IP]]
 +
 +=====  Ссылки ​ =====
 +  * [[сети:​ddos|]]
 +  * [[http://​antiddos.org/​|Antiddos.ORG]] — сайт, посвященный исследованию и защите от DDOS атак ​
 +  * [[http://​tools.ietf.org/​html/​rfc4732|RFC4732]] - Internet Denial-of-Service Considerations ​
 +  * [[http://​www.w3.org/​Security/​Faq/​wwwsf6.html|W3C The World Wide Web Security FAQ]]
 +  * [[http://​www.armoraid.com/​survive/​|Understanding and surviving DDoS attacks]]
 +  * [[http://​www.cert.org/​tech_tips/​denial_of_service.html|cert.org]] CERT's Guide to DoS attacks. ​
 +  * [[http://​atlas.arbor.net/​summary/​dos|ATLAS Summary Report]] - Real-time global report of DDoS attacks. ​
 +  * [[http://​www.linuxsecurity.com/​content/​view/​121960/​49/​|linuxsecurity.com]] An article on preventing DDoS attacks. ​
 +  * [[http://​antivirus.about.com/​od/​whatisavirus/​a/​zombiepc.htm|Is Your PC a Zombie?]], About.com. ​
 +  * [[http://​www.elitonlabs.com/​security/​promoting-efficiency-of-http-denial-of-service-attack|HTTP Application Level Flood with Efficiency]],​ By Cliff Cong Zijie, Eliton Laboratories.  ​
 +  * [[http://​www.zakon.kz/​149277-portal-respublika-rasskazal-o-ddos.html|Статья "​Портал «Республика» - ни шагу назад"​]]
 +
 +
 +
 +---- 
 +Актуальность:​ 2012/08/24 16:14 
 +
 +{{tag>​ddos безопасность}}