Безопасность: защита от DDOS-атак

Настройка сетевых служб, маршрутизации, фаерволлов. Проблемы с сетевым оборудованием.
Правила форума
Убедительная просьба юзать теги [code] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
Аватара пользователя
SteelS
сержант
Сообщения: 169
Зарегистрирован: 2008-07-21 10:12:58
Откуда: Chicago, USA

Безопасность: защита от DDOS-атак

Непрочитанное сообщение SteelS » 2009-11-08 2:12:41

Появилась проблема - малолетние гамнюки откопали где-то ддосера, ддосят порт 80 UDP флудом.
Защита от TCP я поставил на роутер, с ним он отлично справляется... с UDP еще не умеет =(

В гугле выкопал модуль под апач, якобы спасающий от ддосинга - 0 на массу. Интересует работающие варианты от ддоса для Фри, желательно
без обязательного присутствия у сервера.

FreeBSD 7.0 Without IPFW ( ну нету времени подойти к серваку локально и ядро пересобрать =()
Linux - на десктоп
FreeBSD - на сервер
Вывод: NIX - В массы.

Хостинговая компания Host-Food.ru
Хостинг HostFood.ru
 

Услуги хостинговой компании Host-Food.ru

Хостинг HostFood.ru

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

reLax
лейтенант
Сообщения: 638
Зарегистрирован: 2007-04-08 5:50:16

Re: Безопасность: защита от DDOS-атак

Непрочитанное сообщение reLax » 2009-11-08 9:30:02

SteelS писал(а):ну нету времени подойти к серваку локально и ядро пересобрать =(

Код: Выделить всё

# kldload ipfw.ko

tyler56
сержант
Сообщения: 198
Зарегистрирован: 2009-06-03 18:10:15

Re: Безопасность: защита от DDOS-атак

Непрочитанное сообщение tyler56 » 2009-11-08 12:45:10

Я обновляю как ядро так и мир по ssh. Причем были переходы с 5 на 6 и с 6 на 7.
С Вашей задачей справится pf.

Аватара пользователя
SteelS
сержант
Сообщения: 169
Зарегистрирован: 2008-07-21 10:12:58
Откуда: Chicago, USA

Re: Безопасность: защита от DDOS-атак

Непрочитанное сообщение SteelS » 2009-11-08 16:42:24

tyler56 писал(а):С Вашей задачей справится pf.
Ядрышко не хотело хавать опции (я же надеюсь это опции касающиеся PF`а?))) )

Код: Выделить всё

options	PFIL_HOOKS
options	RANDOM_IP_ID
Собрал с IPFW
tyler56 писал(а):Я обновляю как ядро так и мир по ssh. Причем были переходы с 5 на 6 и с 6 на 7.

Код: Выделить всё

===> udbp (install)
install -o root -g wheel -m 555   udbp.ko /boot/kernel
===> udf (install)
install -o root -g wheel -m 555   udf.ko /boot/kernel
===> udf_iconv (install)
install -o root -g wheel -m 555   udf_iconv.ko /boot/kernel
===> ufm (install)
install -o root -g wheel -m 555   ufm.ko /boot/kernel
===> ufoma (install)
install -o root -g wheel -m 555   ufoma.ko /boot/kernel
===> uftdi (install)
install -o root -g wheel -m 555   uftdi.ko /boot/kernel
===> ugen (install)
install -o root -g wheel -m 555   ugen.ko /boot/kernel
===> uhid (install)
install -o root -g wheel -m 555   uhid.ko /boot/kernel
===> ukbd (install)
install -o root -g wheel -m 555   ukbd.ko /boot/kernel
===> ulpt (install)
install -o root -g wheel -m 555   ulpt.ko /boot/kernel
===> umass (install)
install -o root -g wheel -m 555   umass.ko /boot/kernel
===> umct (install)
install -o root -g wheel -m 555   umct.ko /boot/kernel
===> umodem (install)
install -o root -g wheel -m 555   umodem.ko /boot/kernel
===> ums (install)
install -o root -g wheel -m 555   ums.ko /boot/kernel
===> unionfs (install)
install -o root -g wheel -m 555   unionfs.ko /boot/kernel
===> uplcom (install)
install -o root -g wheel -m 555   uplcom.ko /boot/kernel
===> ural (install)
install -o root -g wheel -m 555   if_ural.ko /boot/kernel
===> urio (install)
install -o root -g wheel -m 555   urio.ko /boot/kernel
===> usb (install)
install -o root -g wheel -m 555   usb.ko /boot/kernel
===> uscanner (install)
install -o root -g wheel -m 555   uscanner.ko /boot/kernel
===> uslcom (install)
install -o root -g wheel -m 555   uslcom.ko /boot/kernel
===> utopia (install)
install -o root -g wheel -m 555   utopia.ko /boot/kernel
===> uvisor (install)
install -o root -g wheel -m 555   uvisor.ko /boot/kernel
===> uvscom (install)
install -o root -g wheel -m 555   uvscom.ko /boot/kernel
===> vesa (install)
install -o root -g wheel -m 555   vesa.ko /boot/kernel
===> vge (install)
install -o root -g wheel -m 555   if_vge.ko /boot/kernel
===> vkbd (install)
install -o root -g wheel -m 555   vkbd.ko /boot/kernel
===> vpo (install)
install -o root -g wheel -m 555   vpo.ko /boot/kernel
===> vr (install)
install -o root -g wheel -m 555   if_vr.ko /boot/kernel
===> vx (install)
install -o root -g wheel -m 555   if_vx.ko /boot/kernel
===> wb (install)
install -o root -g wheel -m 555   if_wb.ko /boot/kernel
===> wi (install)
install -o root -g wheel -m 555   if_wi.ko /boot/kernel
===> wlan (install)
install -o root -g wheel -m 555   wlan.ko /boot/kernel
===> wlan_scan_ap (install)
install -o root -g wheel -m 555   wlan_scan_ap.ko /boot/kernel
===> wlan_scan_sta (install)
install -o root -g wheel -m 555   wlan_scan_sta.ko /boot/kernel
===> wlan_acl (install)
install -o root -g wheel -m 555   wlan_acl.ko /boot/kernel
===> wlan_amrr (install)
install -o root -g wheel -m 555   wlan_amrr.ko /boot/kernel
===> wlan_ccmp (install)
install -o root -g wheel -m 555   wlan_ccmp.ko /boot/kernel
===> wlan_tkip (install)
install -o root -g wheel -m 555   wlan_tkip.ko /boot/kernel
===> wlan_wep (install)
install -o root -g wheel -m 555   wlan_wep.ko /boot/kernel
===> wlan_xauth (install)
install -o root -g wheel -m 555   wlan_xauth.ko /boot/kernel
===> wpi (install)
install -o root -g wheel -m 555   if_wpi.ko /boot/kernel
===> wpifw (install)
install -o root -g wheel -m 555   wpifw.ko /boot/kernel
===> xe (install)
install -o root -g wheel -m 555   if_xe.ko /boot/kernel
===> xfs (install)
install -o root -g wheel -m 555   xfs.ko /boot/kernel
===> xl (install)
install -o root -g wheel -m 555   if_xl.ko /boot/kernel
===> zfs (install)
install -o root -g wheel -m 555   zfs.ko /boot/kernel
===> zlib (install)
install -o root -g wheel -m 555   zlib.ko /boot/kernel
===> zyd (install)
install -o root -g wheel -m 555   if_zyd.ko /boot/kernel
kldxref /boot/kernel
15:05 superserver# reboot   
ПОсле 5минутного ожидания Пуття не коннектит к серваку =(

PS: похеал ровнять руки локально у сервера.
Linux - на десктоп
FreeBSD - на сервер
Вывод: NIX - В массы.

Аватара пользователя
SteelS
сержант
Сообщения: 169
Зарегистрирован: 2008-07-21 10:12:58
Откуда: Chicago, USA

Re: Безопасность: защита от DDOS-атак

Непрочитанное сообщение SteelS » 2009-11-08 20:15:53

Подскажите работающие правило (список правил).

всё что я сделал:
Влепил пока что список "Черных ИПов", который ipfw блочит... леплю парсер логов апача, который составляет этот черный список.
Linux - на десктоп
FreeBSD - на сервер
Вывод: NIX - В массы.

Аватара пользователя
zingel
beastie
Сообщения: 6204
Зарегистрирован: 2007-10-30 3:56:49
Откуда: Moscow
Контактная информация:

Re: Безопасность: защита от DDOS-атак

Непрочитанное сообщение zingel » 2009-11-08 20:52:49

Код: Выделить всё

${ipfw} add deny log udp from any to any me 80
Z301171463546 - можно пожертвовать мне денег

Аватара пользователя
helloworld
ст. сержант
Сообщения: 368
Зарегистрирован: 2007-10-03 8:06:37
Откуда: Northern Colorado

Re: Безопасность: защита от DDOS-атак

Непрочитанное сообщение helloworld » 2009-11-09 1:41:01

я не понял, а что у вас апач висит на udp 80 ?

Аватара пользователя
zingel
beastie
Сообщения: 6204
Зарегистрирован: 2007-10-30 3:56:49
Откуда: Moscow
Контактная информация:

Re: Безопасность: защита от DDOS-атак

Непрочитанное сообщение zingel » 2009-11-09 2:08:10

какая то ересь =)
Z301171463546 - можно пожертвовать мне денег

Soldier
ст. сержант
Сообщения: 364
Зарегистрирован: 2008-10-02 9:28:30

Re: Безопасность: защита от DDOS-атак

Непрочитанное сообщение Soldier » 2009-11-09 14:05:27

zingel писал(а):

Код: Выделить всё

${ipfw} add deny log udp from any to any me 80
Зачем резать весь 80 удп порт?

Если заведомо известен ip атакующих - банишь их по ипу и все.ну или подсеть атакующих.

а если с нескольких сторон флудят - пиши скрипт, чтоб флудеров банить не руками.
Еще можно порт поменять у апача, да и похоже настроить его не мешало бы.

И файр собирать срочно надо.
Tux: "Kill Bill !!!"

tyler56
сержант
Сообщения: 198
Зарегистрирован: 2009-06-03 18:10:15

Re: Безопасность: защита от DDOS-атак

Непрочитанное сообщение tyler56 » 2009-11-09 19:06:01

Обратите внимание на опцию synproxy state у pf.
Я не разу не пользовался командой reboot поэтому не скажу за это.
То что сервер гладко не запустился после обновления это не повод к rm -rf /
Можно загрузиться с старым ядром.

Аватара пользователя
SteelS
сержант
Сообщения: 169
Зарегистрирован: 2008-07-21 10:12:58
Откуда: Chicago, USA

Re: Безопасность: защита от DDOS-атак

Непрочитанное сообщение SteelS » 2009-11-12 13:24:44

я поставил IPFW. так как привык его юзать на NT-машинах (синтаксис +/- знаю).
То что сервер гладко не запустился после обновления это не повод к rm -rf /
Это моя подпись вообще-то =)
Да сервер после ребута перестал отвечать.... забыл прописать путь в rc.conf к firewall.conf (или в мануале rc.firewall), По этому задействовало после перезагрузки правило "запретить все от всех ко всем". Локально правил =).

Ддосят тут 2-3 человека... один со статипом на постой (уже висит в блеклисте...+ получает ответную реакцию на свой сайт). еще два иногда, он очеень слабо и у них динамика =(
Linux - на десктоп
FreeBSD - на сервер
Вывод: NIX - В массы.

Soldier
ст. сержант
Сообщения: 364
Зарегистрирован: 2008-10-02 9:28:30

Re: Безопасность: защита от DDOS-атак

Непрочитанное сообщение Soldier » 2009-11-13 7:11:19

tyler56 писал(а):То что сервер гладко не запустился после обновления это не повод к rm -rf /
А никто про rm -rf / не говорит. Это не винда, чтобы так сносить ось, а потом заново пытаться отстроить, тем более если сервисов на машине гора.
SteelS писал(а):Ддосят тут 2-3 человека... один со статипом на постой (уже висит в блеклисте...+ получает ответную реакцию на свой сайт). еще два иногда, он очеень слабо и у них динамика =(
А не пробовали "Черную дыру" настроить? плюсов куда больше.
Tux: "Kill Bill !!!"

Аватара пользователя
SteelS
сержант
Сообщения: 169
Зарегистрирован: 2008-07-21 10:12:58
Откуда: Chicago, USA

Re: Безопасность: защита от DDOS-атак

Непрочитанное сообщение SteelS » 2009-11-19 3:47:03

Soldier писал(а): А не пробовали "Черную дыру" настроить? плюсов куда больше.
Ээм.... а поподробнее? В двух словах о принцыпе (можно схемой)
Ели что - Желательно на русском линку на ман=)
Linux - на десктоп
FreeBSD - на сервер
Вывод: NIX - В массы.

Soldier
ст. сержант
Сообщения: 364
Зарегистрирован: 2008-10-02 9:28:30

Re: Безопасность: защита от DDOS-атак

Непрочитанное сообщение Soldier » 2009-11-19 21:22:04

black holing.
http://www.opennet.ru/cgi-bin/opennet/m ... category=4
http://www.opennet.ru/tips/info/748.shtml
http://www.google.ru/search?hl=ru&sourc ... =&aq=0&oq=

http://www.lissyara.su/articles/freebsd ... ty/sysctl/ - русский ман.

Извиняюсь за посыл к гуглу. ;-)

ЗЫ. Тока пакеты не отбрасываются, а съедаются и на них нет реакции. Это и есть принцип черной дыры.
Tux: "Kill Bill !!!"

tyler56
сержант
Сообщения: 198
Зарегистрирован: 2009-06-03 18:10:15

Re: Безопасность: защита от DDOS-атак

Непрочитанное сообщение tyler56 » 2009-11-20 10:59:10

Суть в том что для атакуемого хоста добавляется маршрут с неправильным шлюзом.
Но так как таблица маршрутизации не резиновая есть вероятность ее переполнения.
Проще создать запрещающее правило в фаерволе с таблицей и добавлять в нее адреса.

Soldier
ст. сержант
Сообщения: 364
Зарегистрирован: 2008-10-02 9:28:30

Re: Безопасность: защита от DDOS-атак

Непрочитанное сообщение Soldier » 2009-11-20 13:48:55

tyler56 писал(а):Проще создать запрещающее правило в фаерволе с таблицей и добавлять в нее адреса.
Проще запретить локальные сети на внешнем ифейсе и все.
Да и правилами фаера позакрывать все что не используется из вне.
Да и с провом согласовать более жесткую подсеть типа /30 или /29.
Tux: "Kill Bill !!!"

Аватара пользователя
SteelS
сержант
Сообщения: 169
Зарегистрирован: 2008-07-21 10:12:58
Откуда: Chicago, USA

Re: Безопасность: защита от DDOS-атак

Непрочитанное сообщение SteelS » 2009-11-20 14:21:24

Вы наверное немного не так поняли. у нас поннятие "локальная сеть" - все клиенты провайдера.

Фряшный сервер подключается к роутеру (держит инет, режит порно сайты) кабелем. имеет ИП провайдера (нам выдаются реальные внешние Ипы). Запрещать локаль полностью - неверное (в моём лучае).
а локальную сеть офиса 192.168.2.0/16 смысла что-то закрывать вообще нету. там хоть оставь сервер с вкл монитором и без logout - через месяц никто не тронет.... Почемуто у нас люди боятся слов "Свинной грип", "Кризис" но больше всего их пугают "Linux" и "FreeBSD" :Yahoo!:
Linux - на десктоп
FreeBSD - на сервер
Вывод: NIX - В массы.

Гость
проходил мимо

Re: Безопасность: защита от DDOS-атак

Непрочитанное сообщение Гость » 2009-11-25 14:54:02

сталкивался с проблемой ддоса - наваял примитивный скриптик (тестировалось на linux):
http://tty.org.ru/node/30

Аватара пользователя
Neus
капитан
Сообщения: 1920
Зарегистрирован: 2008-09-08 21:59:56

Re: Безопасность: защита от DDOS-атак

Непрочитанное сообщение Neus » 2009-11-25 16:53:22

SteelS писал(а):... локальную сеть офиса 192.168.2.0/16 ...
Вы наверно удивитесь, но ваша локальная сеть вовсе не 192.168.2.0/16, а 192.168.0.0/16 :)