DDoS Deflate

A DoS és a DDoS (Distributed Denial of Service) másnéven szolgáltatás megtagadásos támadások ma már szinte mindennapossá váltak. Többféle formája létezik, olykor csak egy bizonyos gép támad, vannak esetek viszont, amikor azonos időben akár több száz IP címről is érkeznek olyan csomagok (pl: SYN) vagy ICMP (ping) kérések, amik ellehetetlenítik az egész gép vagy bizonyos szolgáltatás működését. Néha elég csak kitiltani a támadó IP címet, viszont sokszor ez nem lehetséges, főleg nem nagyobb botnetek és zombi hálózatok esetében. Ilyenkor szoftveres szinten szinte lehetetlen védekezni a támadás ellen. Azonban ezek ellenére is meg kell próbálnunk felállítani egy alapvető védelmet a gyengébb intenzitású DoS és DDoS támadások ellen. A legfőbb segítségünk a tűzfal, amelyhez több olyan szabályt is hozzáadhatunk, amivel szűrhetjük az egy időben, egy IP címről történő SYN, FIN, ACK stb csomagok számát.

Persze létezik erre a problémára egy apró program is, ez pedig a DDoS Deflate. Megadott időközönként lefutva vizsgálja, hogy egy IP címről hány csatlakozás érkezik gépünkre, ha pedig túl magas ez a szám, akkor az az IP tiltásra kerül.

Telepítsük:

# wget http://www.inetbase.com/scripts/ddos/install.sh
# chmod 0700 install.sh
# ./install.sh

Szerkesztjük a beállításokat:

# nano /usr/local/ddos/ddos.conf

Ezt az értéket 0-ra állítjuk, így az iptables tűzfalat fogja használni a program bannolásra.

APF_BAN=0

Megváltoztatjuk az e-mail címet:

EMAIL_TO="mail@mailod.hu"

Elmentjük a beállításokat (ctrl + o) és kész is.

A program valójában nagyon egyszerűen működik, ezt a kódot futtatja le időszakosan (cronjob):

# netstat -ntu | awk '{print $5}' | cut -d: -f1 | sort | uniq -c | sort -n

Ha bemásoljuk a terminálba magunk is láthatjuk a kimenetét és az aktuális csatlakozások számát IP-kre szűrve. Amelyik IP előtt 100 fölötti szám látható az már kezdhet gyanús lenni.

A cikk még nem ért véget, kérlek, lapozz!