Poniższy poradnik powinien działać na prawie każdym systemie opartym na linuxie.


Na wstępie…


Ochrona przed DDoS to ważna rzecz dla serwerów, jeśli nie chcemy mieć problemów z dostępnością usług. Prędzej czy później znajdzie się ktoś komu przeszkadza nasz serwer, chce się pobawić, wredna konkurencja, nudzi mu się itd. i akurat nasz serwer przypadł mu do ataku. Na takich agentów jest wiele sposobów. Oczywiście opisuję tutaj metody na Linuxa, bo Windows załapuje DDoS przed podłączeniem do sieci (a dobry firewall kosztuje fortunę).
Do poniższych czynności potrzebne są uprawnienia roota (su).


Po pierwsze: APF (Advanced Policy-based Firewall)

Jest to rozbudowany firewall, troszkę inny niż iptables. Nic nie przeszkadza, aby mieć je oba, a wiadomo firewall bez wrednych reguł, nie zawadza.
Instalacja:

Kod:
# cd /usr/src
# mkdir utils
# cd utils
# wget http://rfxnetworks.com/downloads/apf-current.tar.gz
# tar xfz apf-current.tar.gz
# cd apf-*
# ./install.sh

I już zainstalowane… ale nie gotowe. W plikach README.apf i README.antidos znajdziesz opisy konfiguracji, które warto przeczytać. Teraz wypada zmienić trochę konfigurację. Edytuj plik /etc/apf/conf.apf i zmień następujące linie:

Kod:
DEVEL_MODE=”0”
IG_TCP_CPORTS=”21,22,25,53,80,110,143,443,3306”
IG_UDP_CPORTS=”53,111”
USE_AD=”1”

Teraz krótkie wyjaśnienie: Pierwsza linijka – wyłączamy development mode. Druga linijka: Określamy dozwolone porty WEJŚCIOWE TCP. Bardzo ważne by nie zapomnieć np o porcie 22 dla SSH i wszystkich innych nam potrzebnych. Trzecie linijka, to samo tylko, że porty UDP. Tutaj głównie DNS (port 53), Portmapper (port 111). Na końcu uruchamiamy AntiDDoS (czwarta linijka).
Dobra, namęczyliśmy się, pora to wykorzystać. Odpalamy APF komendą:

Kod:
# apf –start

Jeśli wyświetli Ci się błąd (Unable to load iptables module (ip_tables), aborting), dodaj w configu APF (tym co wyżej), linię “SET_MONOKERN 1”.



Po drugie: DDoS Deflate


Do działania DDoS Deflate wymagany jest APF  Instalacja:

Kod:
# cd /usr/src/utils
# mkdir ddos
# cd ddos
# wget http://www.inetbase.com/scripts/ddos/install.sh
# sh install.sh
Teraz konfiguracja:
W pliku/usr/local/ddos/ddos.conf możesz zwiększyć czasy blokad (banów na IP).

Odpalamy:

Kod:
# /usr/local/ddos/ddos.sh -c

Gotowe. DDoS Deflate został dodany do crona. co 5 minut uruchamia się i blokuje adresy IP w APF, które mają więcej niż ilość połączeń ustawiona w configu na czas określony w configu. Polecam czas blokady zwiększyć.



Po trzecie: Reguły do IPTables:



Blokada przed atakiem DOS – Ping of Death

Kod:
iptables -A INPUT -p ICMP –icmp-type echo-request -m length –length 60:65535 -j ACCEPT

Blokada przed atakiem DOS – Teardrop

Kod:
iptables -A INPUT -p UDP -f -j DROP

Blokada przed atakiem DOS – SYN-flood

Kod:
iptables -A INPUT -p TCP –syn -m iplimit –iplimit-above 9 -j DROP

Blokada przed atakiem DOS – Smurf

Kod:
iptables -A INPUT -m pkttype –pkt-type broadcast -j DROP
iptables -A INPUT -p ICMP –icmp-type echo-request -m pkttype –pkttype broadcast -j DROP
iptables -A INPUT -p ICMP –icmp-type echo-request -m limit –limit 3/s -j ACCEPT

Blokada przed atakiem DOS – UDP-flood (Pepsi)

Kod:
iptables -A INPUT -p UDP –dport 7 -j DROP
iptables -A INPUT -p UDP –dport 19 -j DROP

Blokada przed atakiem DOS – SMBnuke

Kod:
iptables -A INPUT -p UDP –dport 135:139 -j DROP
iptables -A INPUT -p TCP –dport 135:139 -j DROP

Blokada przed atakiem DOS – Connection-flood
Kod:
iptables -A INPUT -p TCP –syn -m iplimit –iplimit-above 3 -j DROP

Blokada przed atakiem DOS – Fraggle

Kod:
iptables -A INPUT -p UDP -m pkttype –pkt-type broadcast -j DROP
iptables -A INPUT -p UDP -m limit –limit 3/s -j ACCEPT

Blokada przed atakiem DOS – Jolt

Kod:
iptables -A INPUT -p ICMP -f -j DROP

Istnieje możliwość, że system zastrajkuje z powodu braku w kernelu jakiegoś modułu, wtedy należy sobie przekompilować jajko lub… dać sobie spokój jeśli to za trudne, piszę o tym tylko dlatego, zebyście wiedzieli, że tak może być.

Na zakończenie…

Teraz jesteśmy (prawie) bezpieczni.
Należy pamiętać aby dodać APF do autostartu, jeśli instalujemy z paczki jest to automatycznie, jeśli z opisanego wyżej sposobu, trzeba to zrobić samemu.
Zauważ, że wszystkie pliki instalacyjne zostawiamy w katalogu /usr/src/utils. Dlaczego ? Bo jak sama nazwa wskazuje, tam powinny się znaleźć ! (A nie śmiecić w /root)


@@@@ Poradnik By Rolus --(Wszelkie prawa zastrzeżone)--