Kuinka torjua DDos-hyökkäykset Ubuntua vastaan (blogi)

[Senior]

Blogista, jossa kerrotaan miten blokataan DDOS-hyökkäyset Ubuntu-serveriä vastaan.

http://blogama.org/node/98

PSAD:n asennus

Koodia: [Valitse]

apt-get install psad
avataan /etc/syslog.conf :

vi /etc/syslog.conf

lisätään  conf.tiedoston loppuun tämä :

[...]
kern.info       |/var/lib/psad/psadfifo
[...]

Seuraavaksi uudelleenaloitetaan sysklogd ja klog :

/etc/init.d/sysklogd restart
/etc/init.d/klogd restart

loggautuminen epäilyttävään  IP, tee ensiksi turvallinen IP list :

vi /root/safeip.txt

ja tuohon tiedostoon laitetaan turvalliset IP osoitteet ( CIDR kanssa tai ilman)

127.0.0.0/24
192.168.0.0/24
123.123.123.123

Lyhyt scripti jotta nähdään iptaulukoiden säännöt (huom!  'iptables -F' scriptissä joka savustaa ulos aiemmat säännöt)

#!/bin/bash
# Script to check important ports on remote webserver
# Copyright (c) 2009 blogama.org
# This script is licensed under GNU GPL version 2.0 or above
# ---------------------------------------------------------------------
 
WORKDIR="/root/"
INTERVAL="5"
HITCOUNT="5"
SAFEIPFILE="safeip.txt"
 
cd $WORKDIR
 
iptables -F
if [ -f $SAFEIPFILE ]; then
  IPS=$(grep -Ev "^#" $SAFEIPFILE)
  for i in $IPS
  do
        iptables -A INPUT -s $i -j ACCEPT
  done
fi
 
iptables -A INPUT -m state --state NEW -m recent --set
iptables -A INPUT -m state --state NEW -m recent --update --seconds $INTERVAL --hitcount $HITCOUNT -j LOG

Basically, this will log an IP address only once it made 5 connections within 5 seconds. Let say IP 111.111.111.111 creates 10 new connections in a 5 seconds interval, it will be logged 6 times (so it will become 6 `packets` for PSAD, you will see later what it mean). Of course, you can ajust this setting to your needs.

Seuraavaksi configuroidaan PSAD :

vi /etc/psad/psad.conf

Tässä ehdotettu konfigurointi,  psad-dokumentissä lisää tietoa :

Note :nämä rivit jo kirjoitettuna siinä , muutetaan vain arvoa

[...]
EMAIL_ADDRESSES             admin@example.com;
[...]
HOSTNAME                    server1.example.com;
[...]
DANGER_LEVEL1               50;    ### pakettien määrä.
DANGER_LEVEL2               100;
DANGER_LEVEL3               250;
DANGER_LEVEL4               400;
DANGER_LEVEL5               500;
[...]
PORT_RANGE_SCAN_THRESHOLD   0;
[...]
ENABLE_PERSISTENCE          N;
[...]
SCAN_TIMEOUT                3600;  ### seconds
[...]
MIN_DANGER_LEVEL            3;
[...]
EMAIL_ALERT_DANGER_LEVEL    3;
[...]
ALERT_ALL                   N;
[...]
IMPORT_OLD_SCANS            Y;
[...]
ENABLE_AUTO_IDS             Y;
[...]
AUTO_IDS_DANGER_LEVEL       5;
[...]
AUTO_BLOCK_TIMEOUT          43200;
[...]
IPTABLES_BLOCK_METHOD       Y;
[...]

Käynnistetään uudelleen PSAD :

/etc/init.d/psad restart

If you want to whitelist IP also in PSAD, take a look at /etc/psad/auto_dl (its better to whitelist them in the iptables rules but its safer to put them at both places) :

vi /etc/psad/auto_dl

Muita komentoja:

PSAD raporttinen näyttäminen:

Koodia: [Valitse]

psad -S
IP-blockin poistaminen:

Koodia: [Valitse]

psad -F
-----------------------------------------------------

Joka tuosta jotain ymmärtää olkoot onnellinen. Meikäläinen nostaa hattua ja osoittaa näin kunnioitusta tätä oivallusta kohtaan.