Страница 1 из 1
Безопасность: защита от DDOS-атак
Добавлено: 2009-11-08 2:12:41
SteelS
Появилась проблема - малолетние гамнюки откопали где-то ддосера, ддосят порт 80 UDP флудом.
Защита от TCP я поставил на роутер, с ним он отлично справляется... с UDP еще не умеет =(
В гугле выкопал модуль под апач, якобы спасающий от ддосинга - 0 на массу. Интересует работающие варианты от ддоса для Фри, желательно
без обязательного присутствия у сервера.
FreeBSD 7.0 Without IPFW ( ну нету времени подойти к серваку локально и ядро пересобрать =()
Re: Безопасность: защита от DDOS-атак
Добавлено: 2009-11-08 9:30:02
reLax
SteelS писал(а):ну нету времени подойти к серваку локально и ядро пересобрать =(
Re: Безопасность: защита от DDOS-атак
Добавлено: 2009-11-08 12:45:10
tyler56
Я обновляю как ядро так и мир по ssh. Причем были переходы с 5 на 6 и с 6 на 7.
С Вашей задачей справится pf.
Re: Безопасность: защита от DDOS-атак
Добавлено: 2009-11-08 16:42:24
SteelS
tyler56 писал(а):С Вашей задачей справится pf.
Ядрышко не хотело хавать опции (я же надеюсь это опции касающиеся PF`а?))) )
Собрал с IPFW
tyler56 писал(а):Я обновляю как ядро так и мир по ssh. Причем были переходы с 5 на 6 и с 6 на 7.
Код: Выделить всё
===> udbp (install)
install -o root -g wheel -m 555 udbp.ko /boot/kernel
===> udf (install)
install -o root -g wheel -m 555 udf.ko /boot/kernel
===> udf_iconv (install)
install -o root -g wheel -m 555 udf_iconv.ko /boot/kernel
===> ufm (install)
install -o root -g wheel -m 555 ufm.ko /boot/kernel
===> ufoma (install)
install -o root -g wheel -m 555 ufoma.ko /boot/kernel
===> uftdi (install)
install -o root -g wheel -m 555 uftdi.ko /boot/kernel
===> ugen (install)
install -o root -g wheel -m 555 ugen.ko /boot/kernel
===> uhid (install)
install -o root -g wheel -m 555 uhid.ko /boot/kernel
===> ukbd (install)
install -o root -g wheel -m 555 ukbd.ko /boot/kernel
===> ulpt (install)
install -o root -g wheel -m 555 ulpt.ko /boot/kernel
===> umass (install)
install -o root -g wheel -m 555 umass.ko /boot/kernel
===> umct (install)
install -o root -g wheel -m 555 umct.ko /boot/kernel
===> umodem (install)
install -o root -g wheel -m 555 umodem.ko /boot/kernel
===> ums (install)
install -o root -g wheel -m 555 ums.ko /boot/kernel
===> unionfs (install)
install -o root -g wheel -m 555 unionfs.ko /boot/kernel
===> uplcom (install)
install -o root -g wheel -m 555 uplcom.ko /boot/kernel
===> ural (install)
install -o root -g wheel -m 555 if_ural.ko /boot/kernel
===> urio (install)
install -o root -g wheel -m 555 urio.ko /boot/kernel
===> usb (install)
install -o root -g wheel -m 555 usb.ko /boot/kernel
===> uscanner (install)
install -o root -g wheel -m 555 uscanner.ko /boot/kernel
===> uslcom (install)
install -o root -g wheel -m 555 uslcom.ko /boot/kernel
===> utopia (install)
install -o root -g wheel -m 555 utopia.ko /boot/kernel
===> uvisor (install)
install -o root -g wheel -m 555 uvisor.ko /boot/kernel
===> uvscom (install)
install -o root -g wheel -m 555 uvscom.ko /boot/kernel
===> vesa (install)
install -o root -g wheel -m 555 vesa.ko /boot/kernel
===> vge (install)
install -o root -g wheel -m 555 if_vge.ko /boot/kernel
===> vkbd (install)
install -o root -g wheel -m 555 vkbd.ko /boot/kernel
===> vpo (install)
install -o root -g wheel -m 555 vpo.ko /boot/kernel
===> vr (install)
install -o root -g wheel -m 555 if_vr.ko /boot/kernel
===> vx (install)
install -o root -g wheel -m 555 if_vx.ko /boot/kernel
===> wb (install)
install -o root -g wheel -m 555 if_wb.ko /boot/kernel
===> wi (install)
install -o root -g wheel -m 555 if_wi.ko /boot/kernel
===> wlan (install)
install -o root -g wheel -m 555 wlan.ko /boot/kernel
===> wlan_scan_ap (install)
install -o root -g wheel -m 555 wlan_scan_ap.ko /boot/kernel
===> wlan_scan_sta (install)
install -o root -g wheel -m 555 wlan_scan_sta.ko /boot/kernel
===> wlan_acl (install)
install -o root -g wheel -m 555 wlan_acl.ko /boot/kernel
===> wlan_amrr (install)
install -o root -g wheel -m 555 wlan_amrr.ko /boot/kernel
===> wlan_ccmp (install)
install -o root -g wheel -m 555 wlan_ccmp.ko /boot/kernel
===> wlan_tkip (install)
install -o root -g wheel -m 555 wlan_tkip.ko /boot/kernel
===> wlan_wep (install)
install -o root -g wheel -m 555 wlan_wep.ko /boot/kernel
===> wlan_xauth (install)
install -o root -g wheel -m 555 wlan_xauth.ko /boot/kernel
===> wpi (install)
install -o root -g wheel -m 555 if_wpi.ko /boot/kernel
===> wpifw (install)
install -o root -g wheel -m 555 wpifw.ko /boot/kernel
===> xe (install)
install -o root -g wheel -m 555 if_xe.ko /boot/kernel
===> xfs (install)
install -o root -g wheel -m 555 xfs.ko /boot/kernel
===> xl (install)
install -o root -g wheel -m 555 if_xl.ko /boot/kernel
===> zfs (install)
install -o root -g wheel -m 555 zfs.ko /boot/kernel
===> zlib (install)
install -o root -g wheel -m 555 zlib.ko /boot/kernel
===> zyd (install)
install -o root -g wheel -m 555 if_zyd.ko /boot/kernel
kldxref /boot/kernel
15:05 superserver# reboot
ПОсле 5минутного ожидания Пуття не коннектит к серваку =(
PS: похеал ровнять руки локально у сервера.
Re: Безопасность: защита от DDOS-атак
Добавлено: 2009-11-08 20:15:53
SteelS
Подскажите работающие правило (список правил).
всё что я сделал:
Влепил пока что список "Черных ИПов", который ipfw блочит... леплю парсер логов апача, который составляет этот черный список.
Re: Безопасность: защита от DDOS-атак
Добавлено: 2009-11-08 20:52:49
zingel
Код: Выделить всё
${ipfw} add deny log udp from any to any me 80
Re: Безопасность: защита от DDOS-атак
Добавлено: 2009-11-09 1:41:01
helloworld
я не понял, а что у вас апач висит на udp 80 ?
Re: Безопасность: защита от DDOS-атак
Добавлено: 2009-11-09 2:08:10
zingel
какая то ересь
Re: Безопасность: защита от DDOS-атак
Добавлено: 2009-11-09 14:05:27
Soldier
zingel писал(а):Код: Выделить всё
${ipfw} add deny log udp from any to any me 80
Зачем резать весь 80 удп порт?
Если заведомо известен ip атакующих - банишь их по ипу и все.ну или подсеть атакующих.
а если с нескольких сторон флудят - пиши скрипт, чтоб флудеров банить не руками.
Еще можно порт поменять у апача, да и похоже настроить его не мешало бы.
И файр собирать срочно надо.
Re: Безопасность: защита от DDOS-атак
Добавлено: 2009-11-09 19:06:01
tyler56
Обратите внимание на опцию synproxy state у pf.
Я не разу не пользовался командой reboot поэтому не скажу за это.
То что сервер гладко не запустился после обновления это не повод к rm -rf /
Можно загрузиться с старым ядром.
Re: Безопасность: защита от DDOS-атак
Добавлено: 2009-11-12 13:24:44
SteelS
я поставил IPFW. так как привык его юзать на NT-машинах (синтаксис +/- знаю).
То что сервер гладко не запустился после обновления это не повод к rm -rf /
Это моя подпись вообще-то
Да сервер после ребута перестал отвечать.... забыл прописать путь в rc.conf к firewall.conf (или в мануале rc.firewall), По этому задействовало после перезагрузки правило "запретить все от всех ко всем". Локально правил
.
Ддосят тут 2-3 человека... один со статипом на постой (уже висит в блеклисте...+ получает ответную реакцию на свой сайт). еще два иногда, он очеень слабо и у них динамика =(
Re: Безопасность: защита от DDOS-атак
Добавлено: 2009-11-13 7:11:19
Soldier
tyler56 писал(а):То что сервер гладко не запустился после обновления это не повод к rm -rf /
А никто про
rm -rf / не говорит. Это не винда, чтобы так сносить ось, а потом заново пытаться отстроить, тем более если сервисов на машине гора.
SteelS писал(а):Ддосят тут 2-3 человека... один со статипом на постой (уже висит в блеклисте...+ получает ответную реакцию на свой сайт). еще два иногда, он очеень слабо и у них динамика =(
А не пробовали "Черную дыру" настроить? плюсов куда больше.
Re: Безопасность: защита от DDOS-атак
Добавлено: 2009-11-19 3:47:03
SteelS
Soldier писал(а):
А не пробовали "Черную дыру" настроить? плюсов куда больше.
Ээм.... а поподробнее? В двух словах о принцыпе (можно схемой)
Ели что - Желательно на русском линку на ман=)
Re: Безопасность: защита от DDOS-атак
Добавлено: 2009-11-19 21:22:04
Soldier
Re: Безопасность: защита от DDOS-атак
Добавлено: 2009-11-20 10:59:10
tyler56
Суть в том что для атакуемого хоста добавляется маршрут с неправильным шлюзом.
Но так как таблица маршрутизации не резиновая есть вероятность ее переполнения.
Проще создать запрещающее правило в фаерволе с таблицей и добавлять в нее адреса.
Re: Безопасность: защита от DDOS-атак
Добавлено: 2009-11-20 13:48:55
Soldier
tyler56 писал(а):Проще создать запрещающее правило в фаерволе с таблицей и добавлять в нее адреса.
Проще запретить локальные сети на внешнем ифейсе и все.
Да и правилами фаера позакрывать все что не используется из вне.
Да и с провом согласовать более жесткую подсеть типа /30 или /29.
Re: Безопасность: защита от DDOS-атак
Добавлено: 2009-11-20 14:21:24
SteelS
Вы наверное немного не так поняли. у нас поннятие "локальная сеть" - все клиенты провайдера.
Фряшный сервер подключается к роутеру (держит инет, режит порно сайты) кабелем. имеет ИП провайдера (нам выдаются реальные внешние Ипы). Запрещать локаль полностью - неверное (в моём лучае).
а локальную сеть офиса 192.168.2.0/16 смысла что-то закрывать вообще нету. там хоть оставь сервер с вкл монитором и без logout - через месяц никто не тронет.... Почемуто у нас люди боятся слов "Свинной грип", "Кризис" но больше всего их пугают "Linux" и "FreeBSD"
Re: Безопасность: защита от DDOS-атак
Добавлено: 2009-11-25 14:54:02
Гость
сталкивался с проблемой ддоса - наваял примитивный скриптик (тестировалось на linux):
http://tty.org.ru/node/30
Re: Безопасность: защита от DDOS-атак
Добавлено: 2009-11-25 16:53:22
Neus
SteelS писал(а):... локальную сеть офиса 192.168.2.0/16 ...
Вы наверно удивитесь, но ваша локальная сеть вовсе не 192.168.2.0/16, а 192.168.0.0/16