Безопасность: защита от DDOS-атак

[SteelS]

Появилась проблема - малолетние гамнюки откопали где-то ддосера, ддосят порт 80 UDP флудом.
Защита от TCP я поставил на роутер, с ним он отлично справляется... с UDP еще не умеет =(

В гугле выкопал модуль под апач, якобы спасающий от ддосинга - 0 на массу. Интересует работающие варианты от ддоса для Фри, желательно
без обязательного присутствия у сервера.

FreeBSD 7.0 Without IPFW ( ну нету времени подойти к серваку локально и ядро пересобрать =()

[Хостинг HostFood.ru]

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

[reLax]

ну нету времени подойти к серваку локально и ядро пересобрать =(

Код: Выделить всё

# kldload ipfw.ko

[tyler56]

Я обновляю как ядро так и мир по ssh. Причем были переходы с 5 на 6 и с 6 на 7.
С Вашей задачей справится pf.

[SteelS]

С Вашей задачей справится pf.

Ядрышко не хотело хавать опции (я же надеюсь это опции касающиеся PF`а?))) )

Код: Выделить всё

options	PFIL_HOOKS
options	RANDOM_IP_ID

Собрал с IPFW

Я обновляю как ядро так и мир по ssh. Причем были переходы с 5 на 6 и с 6 на 7.

Код: Выделить всё

===> udbp (install)
install -o root -g wheel -m 555   udbp.ko /boot/kernel
===> udf (install)
install -o root -g wheel -m 555   udf.ko /boot/kernel
===> udf_iconv (install)
install -o root -g wheel -m 555   udf_iconv.ko /boot/kernel
===> ufm (install)
install -o root -g wheel -m 555   ufm.ko /boot/kernel
===> ufoma (install)
install -o root -g wheel -m 555   ufoma.ko /boot/kernel
===> uftdi (install)
install -o root -g wheel -m 555   uftdi.ko /boot/kernel
===> ugen (install)
install -o root -g wheel -m 555   ugen.ko /boot/kernel
===> uhid (install)
install -o root -g wheel -m 555   uhid.ko /boot/kernel
===> ukbd (install)
install -o root -g wheel -m 555   ukbd.ko /boot/kernel
===> ulpt (install)
install -o root -g wheel -m 555   ulpt.ko /boot/kernel
===> umass (install)
install -o root -g wheel -m 555   umass.ko /boot/kernel
===> umct (install)
install -o root -g wheel -m 555   umct.ko /boot/kernel
===> umodem (install)
install -o root -g wheel -m 555   umodem.ko /boot/kernel
===> ums (install)
install -o root -g wheel -m 555   ums.ko /boot/kernel
===> unionfs (install)
install -o root -g wheel -m 555   unionfs.ko /boot/kernel
===> uplcom (install)
install -o root -g wheel -m 555   uplcom.ko /boot/kernel
===> ural (install)
install -o root -g wheel -m 555   if_ural.ko /boot/kernel
===> urio (install)
install -o root -g wheel -m 555   urio.ko /boot/kernel
===> usb (install)
install -o root -g wheel -m 555   usb.ko /boot/kernel
===> uscanner (install)
install -o root -g wheel -m 555   uscanner.ko /boot/kernel
===> uslcom (install)
install -o root -g wheel -m 555   uslcom.ko /boot/kernel
===> utopia (install)
install -o root -g wheel -m 555   utopia.ko /boot/kernel
===> uvisor (install)
install -o root -g wheel -m 555   uvisor.ko /boot/kernel
===> uvscom (install)
install -o root -g wheel -m 555   uvscom.ko /boot/kernel
===> vesa (install)
install -o root -g wheel -m 555   vesa.ko /boot/kernel
===> vge (install)
install -o root -g wheel -m 555   if_vge.ko /boot/kernel
===> vkbd (install)
install -o root -g wheel -m 555   vkbd.ko /boot/kernel
===> vpo (install)
install -o root -g wheel -m 555   vpo.ko /boot/kernel
===> vr (install)
install -o root -g wheel -m 555   if_vr.ko /boot/kernel
===> vx (install)
install -o root -g wheel -m 555   if_vx.ko /boot/kernel
===> wb (install)
install -o root -g wheel -m 555   if_wb.ko /boot/kernel
===> wi (install)
install -o root -g wheel -m 555   if_wi.ko /boot/kernel
===> wlan (install)
install -o root -g wheel -m 555   wlan.ko /boot/kernel
===> wlan_scan_ap (install)
install -o root -g wheel -m 555   wlan_scan_ap.ko /boot/kernel
===> wlan_scan_sta (install)
install -o root -g wheel -m 555   wlan_scan_sta.ko /boot/kernel
===> wlan_acl (install)
install -o root -g wheel -m 555   wlan_acl.ko /boot/kernel
===> wlan_amrr (install)
install -o root -g wheel -m 555   wlan_amrr.ko /boot/kernel
===> wlan_ccmp (install)
install -o root -g wheel -m 555   wlan_ccmp.ko /boot/kernel
===> wlan_tkip (install)
install -o root -g wheel -m 555   wlan_tkip.ko /boot/kernel
===> wlan_wep (install)
install -o root -g wheel -m 555   wlan_wep.ko /boot/kernel
===> wlan_xauth (install)
install -o root -g wheel -m 555   wlan_xauth.ko /boot/kernel
===> wpi (install)
install -o root -g wheel -m 555   if_wpi.ko /boot/kernel
===> wpifw (install)
install -o root -g wheel -m 555   wpifw.ko /boot/kernel
===> xe (install)
install -o root -g wheel -m 555   if_xe.ko /boot/kernel
===> xfs (install)
install -o root -g wheel -m 555   xfs.ko /boot/kernel
===> xl (install)
install -o root -g wheel -m 555   if_xl.ko /boot/kernel
===> zfs (install)
install -o root -g wheel -m 555   zfs.ko /boot/kernel
===> zlib (install)
install -o root -g wheel -m 555   zlib.ko /boot/kernel
===> zyd (install)
install -o root -g wheel -m 555   if_zyd.ko /boot/kernel
kldxref /boot/kernel
15:05 superserver# reboot   

ПОсле 5минутного ожидания Пуття не коннектит к серваку =(

PS: похеал ровнять руки локально у сервера.

[SteelS]

Подскажите работающие правило (список правил).

всё что я сделал:
Влепил пока что список "Черных ИПов", который ipfw блочит... леплю парсер логов апача, который составляет этот черный список.

[zingel]

Код: Выделить всё

${ipfw} add deny log udp from any to any me 80

[helloworld]

я не понял, а что у вас апач висит на udp 80 ?

[zingel]

какая то ересь

[Soldier]

Код: Выделить всё

${ipfw} add deny log udp from any to any me 80

Зачем резать весь 80 удп порт?

Если заведомо известен ip атакующих - банишь их по ипу и все.ну или подсеть атакующих.

а если с нескольких сторон флудят - пиши скрипт, чтоб флудеров банить не руками.
Еще можно порт поменять у апача, да и похоже настроить его не мешало бы.

И файр собирать срочно надо.

[tyler56]

Обратите внимание на опцию synproxy state у pf.
Я не разу не пользовался командой reboot поэтому не скажу за это.
То что сервер гладко не запустился после обновления это не повод к rm -rf /
Можно загрузиться с старым ядром.

[SteelS]

я поставил IPFW. так как привык его юзать на NT-машинах (синтаксис +/- знаю).

То что сервер гладко не запустился после обновления это не повод к rm -rf /

Это моя подпись вообще-то
Да сервер после ребута перестал отвечать.... забыл прописать путь в rc.conf к firewall.conf (или в мануале rc.firewall), По этому задействовало после перезагрузки правило "запретить все от всех ко всем". Локально правил .

Ддосят тут 2-3 человека... один со статипом на постой (уже висит в блеклисте...+ получает ответную реакцию на свой сайт). еще два иногда, он очеень слабо и у них динамика =(

[Soldier]

То что сервер гладко не запустился после обновления это не повод к rm -rf /

А никто про rm -rf / не говорит. Это не винда, чтобы так сносить ось, а потом заново пытаться отстроить, тем более если сервисов на машине гора.

Ддосят тут 2-3 человека... один со статипом на постой (уже висит в блеклисте...+ получает ответную реакцию на свой сайт). еще два иногда, он очеень слабо и у них динамика =(

А не пробовали "Черную дыру" настроить? плюсов куда больше.

[SteelS]

А не пробовали "Черную дыру" настроить? плюсов куда больше.

Ээм.... а поподробнее? В двух словах о принцыпе (можно схемой)
Ели что - Желательно на русском линку на ман=)

[Soldier]

black holing.
http://www.opennet.ru/cgi-bin/opennet/m ... category=4
http://www.opennet.ru/tips/info/748.shtml
http://www.google.ru/search?hl=ru&sourc ... =&aq=0&oq=

http://www.lissyara.su/articles/freebsd ... ty/sysctl/ - русский ман.

Извиняюсь за посыл к гуглу.

ЗЫ. Тока пакеты не отбрасываются, а съедаются и на них нет реакции. Это и есть принцип черной дыры.

[tyler56]

Суть в том что для атакуемого хоста добавляется маршрут с неправильным шлюзом.
Но так как таблица маршрутизации не резиновая есть вероятность ее переполнения.
Проще создать запрещающее правило в фаерволе с таблицей и добавлять в нее адреса.

[Soldier]

Проще создать запрещающее правило в фаерволе с таблицей и добавлять в нее адреса.

Проще запретить локальные сети на внешнем ифейсе и все.
Да и правилами фаера позакрывать все что не используется из вне.
Да и с провом согласовать более жесткую подсеть типа /30 или /29.

[SteelS]

Вы наверное немного не так поняли. у нас поннятие "локальная сеть" - все клиенты провайдера.

Фряшный сервер подключается к роутеру (держит инет, режит порно сайты) кабелем. имеет ИП провайдера (нам выдаются реальные внешние Ипы). Запрещать локаль полностью - неверное (в моём лучае).
а локальную сеть офиса 192.168.2.0/16 смысла что-то закрывать вообще нету. там хоть оставь сервер с вкл монитором и без logout - через месяц никто не тронет.... Почемуто у нас люди боятся слов "Свинной грип", "Кризис" но больше всего их пугают "Linux" и "FreeBSD"

[Гость]

сталкивался с проблемой ддоса - наваял примитивный скриптик (тестировалось на linux):
http://tty.org.ru/node/30

[Neus]

... локальную сеть офиса 192.168.2.0/16 ...

Вы наверно удивитесь, но ваша локальная сеть вовсе не 192.168.2.0/16, а 192.168.0.0/16