поиск:    
  Бесплатная почта на E1.ru почта @E1.ru:  (регистрация)
пароль:

 
переход:  

Технологии
Технологии
Екатеринбург Онлайн
Публикации:  Айвоська  |  Каталог:  ПК, ноутбуки, планшеты  |  Форумы:  Операторы связи,   Модели телефонов,   Цифровое фото,   Обсуждение гаджетов,   Интернет

  Общение > Форумы  > Технологии > Технические вопросы > UNIX, Linux, Open Source Software  

Защита от Dos и DDos атак. Debian.


Список Тем  |   Поиск  |   Правила  |   Статистика  |   Подписаться на тему
1 | 2 | следующая страницапоследняя страница
Защита от Dos и DDos атак. Debian.   #23242 
Автор: 
Дата:   

Доброго всем времени суток! Перепробовал уже много чего и Dos deflate и arno iptables firewall а также пробовал модуль evasive для apache2, но ничего не помогает, все равно проходит дос атака. Подскажите что еще можно сделать.
PS зарание буду очень благодарен! ;-)
Ответить   |  Поделиться:  
Re: Защита от Dos и DDos атак. Debian.   #23243 
Автор: Логовас 
Дата:   

Характер атаки опишите.
1/0 |  Ответить   |  Поделиться:  
Re: Защита от Dos и DDos атак. Debian.   #23244 
Автор: FuLLMetaLL
Дата:   

Судя по tcpdump -v -i eth0 dst port 80 идет целый поток пакетов, соответственно просто переполняется канал....
Ответить   |  Поделиться:  
Re: Защита от Dos и DDos атак. Debian.   #23254 
Автор: Ars 
Дата:   



Цитата:
От пользователя: FuLLMetaLL


Судя по tcpdump -v -i eth0 dst port 80 идет целый поток пакетов

дропать по src?
Ответить   |  Поделиться:  
Re: Защита от Dos и DDos атак. Debian.   #23255 
Автор: FuLLMetaLL
Дата:   

если кому не сложно напишите на аску 7049613, в линуксях еще слабоват и нужна помощь....
Ответить   |  Поделиться:  
Re: Защита от Dos и DDos атак. Debian.   #23256 
Автор: ITihonov   (О пользователе)
Дата:   

если вы сидите после канала, который переполняется, то просить провайдера фильтровать.

можете еще в отдел К позвонить, но это так, от безисходности
Ответить   |  Поделиться:  
Re: Защита от Dos и DDos атак. Debian.   #23258 
Автор: BlackDeath[моцк(LED)] 
Дата:   

snort+snortsam ?
Ответить   |  Поделиться:  
Re: Защита от Dos и DDos атак. Debian.   #23260 
Автор: maroon  (О пользователе)
Дата:   

в Хакере от 09.09 стр. 126, советы есть
http://torrents.ru/forum/viewtopic.php?t=2043452
Ответить   |  Поделиться:  
Re: Защита от Dos и DDos атак. Debian.   #23261 
Автор: Антон 
Дата:   

Судя по описанию, варианты решения просты:
1. Собрать ip-адреса ботнета
2. Засунуть их в iptables и грохать все пакеты от них
3. Если тем не менее канал забит, выслать их провайдеру чтобы он заблокировал

Чтобы предложить более хитрые варианты, надо знать больше деталей. В частности, сколько сайтов на 80м порту, какова ширина канала, сколько примерно ip досит, какого характера этот ddos - tcp/udp/syn-flood, запрос какой-то страницы, что-то еще
Ответить   |  Поделиться:  
Re: Защита от Dos и DDos атак. Debian.   #23262 
Автор: maxmin 
Дата:   

В качестве гомеопатической биодобавки от ддос-атак на 80 порт могу предложить следующее:

1. Ограничение на 10 запросов в секунду к порту 80.
iptables --new-chain ddos
iptables --insert OUTPUT 1 -p tcp --destination-port 80 -o eth0 --jump ddos
iptables --append ddos -m limit --limit 10/sec --jump RETURN
iptables --append ddos --jump DROP

2. Ограничение на 10 одновременных соединений с одного IP.
iptables -A INPUT-p tcp --dport 80 -m iplimit --iplimit-above 10 -j REJECT

3. Блокировка более 10 SYN
iptables -I INPUT -p tcp --syn --dport 80 -j DROP -m iplimit --iplimit-above 10

4. Ограничение на 20 соединений из сети класса С
iptables -p tcp --dport 80 -m iplimit --iplimit-above 20 --iplimit-mask 24 -j REJECT

Попробуйте. Диарея должна пройти.


[Сообщение изменено пользователем 16.11.2009 10:23]
1/1 |  Ответить   |  Поделиться:  
Re: Защита от Dos и DDos атак. Debian.   #23263 
Автор: Антон 
Дата:   


Цитата:
От пользователя: maxmin

Попробуйте. Диарея должна пройти.

Как тебе вот такая диарея:


давайте не будем советовать пока не узнаем подробности :-)
1/0 |  Ответить   |  Поделиться:  
Re: Защита от Dos и DDos атак. Debian.   #23264 
Автор: FuLLMetaLL
Дата:   



Цитата:
От пользователя: maxmin



ip tables ругаются на плохой аргумент tcp...
Ответить   |  Поделиться:  
Re: Защита от Dos и DDos атак. Debian.   #23265 
Автор: ITihonov   (О пользователе)
Дата:   


Цитата:
iptables -i INPUT -p tcp --dport 80 -m iplimit --iplimit-above 20 --iplimit-mask 24 -j REJECT


там выделенное пропущено в последней строчке

[Сообщение изменено модератором 16.11.2009 13:23]
Ответить   |  Поделиться:  
Re: Защита от Dos и DDos атак. Debian.   #23266 
Автор: FuLLMetaLL
Дата:   



Цитата:

2. Ограничение на 10 одновременных соединений с одного IP.
iptables -A INPUT-p tcp --dport 80 -m iplimit --iplimit-above 10 -j REJECT

3. Блокировка более 10 SYN
iptables -I INPUT -p tcp --syn --dport 80 -j DROP -m iplimit --iplimit-above 10

4. Ограничение на 20 соединений из сети класса С
iptables -p tcp --dport 80 -m iplimit --iplimit-above 20 --iplimit-mask 24 -j REJECT


ругается уже со 2 пункта....
Ответить   |  Поделиться:  
Re: Защита от Dos и DDos атак. Debian.   #23267 
Автор: Ars 
Дата:   



Цитата:
От пользователя: FuLLMetaLL

ругается уже со 2 пункта....

добавить пробел после INPUT?
1/0 |  Ответить   |  Поделиться:  
Re: Защита от Dos и DDos атак. Debian.   #23268 
Автор: BlackDeath[моцк(LED)] 
Дата:   



Цитата:
От пользователя: Ars

добавить пробел после INPUT?

:lol: :lol: :lol: :lol: :lol:
0/1 |  Ответить   |  Поделиться:  
Re: Защита от Dos и DDos атак. Debian.   #23274 
Автор: FuLLMetaLL
Дата:   

не подскажите где исходники libipt_iplimit.so взять?

[Сообщение изменено пользователем 16.11.2009 16:02]
Ответить   |  Поделиться:  
Re: Защита от Dos и DDos атак. Debian.   #23275 
Автор: wRAR 
Дата:   



Цитата:
От пользователя: FuLLMetaLL

не подскажите где исходники libipt_iplimit.so взять?

Нахрена?
Ответить   |  Поделиться:  
Re: Защита от Dos и DDos атак. Debian.   #23276 
Автор: FuLLMetaLL
Дата:   

iptables -A INPUT-p tcp --dport 80 -m iplimit --iplimit-above 10 -j REJECT
ругается что в /lib/xtables нет модуля libipt_iplimit.so
Ответить   |  Поделиться:  
Re: Защита от Dos и DDos атак. Debian.   #23289 
Автор: wRAR 
Дата:   

Быстрый гуглинг говорит, что "в новых iptables это называется не iplimit, а connlimit".
Так нет же, всё бы лишь бы собрать.
Ответить   |  Поделиться:  
Re: Защита от Dos и DDos атак. Debian.   #23300 
Автор: maxmin 
Дата:   


Цитата:
От пользователя: wRAR
это называется не iplimit, а connlimit

Ну, типа да...
Ответить   |  Поделиться:  
Re: Защита от Dos и DDos атак. Debian.   #23366 
Автор: BlackDeath[моцк(LED)] 
Дата:   

Так как седня ставил новую версию снорта, решил запостить маленький мануал для тех кто не в теме.

Итаг, введение:
чего это сопственно из википедии:

"Snort является бесплатной сетевой системой предотвращения вторжений (IPS) и сетевой системой

обнаружения вторжений (IDS) с открытым исходным кодом, способной выполнять регистрацию пакетов и

в реальном времени осуществлять анализ трафика в IP сетях. Snort была написана Мартином Роешом и

в настоящее время разрабатывается компанией Sourcefire, основателем и техническим директором

которой является Роеш. Sourcefire предлагает так же коммерческие версии систем для предприятий,

специализированные аппаратные платформы и услуги по поддержке.

Snort выполняет протоколирование, анализ, поиск по содержимому, а также широко используется для

активного блокирования или пассивного обнаружения целого ряда нападений и зондирований, таких как

переполнение буфера, стелс-сканирование портов, атаки на веб-приложения, SMB-зондирование и

попытки определения ОС. Программное обеспечение в основном используется для предотвращения

проникновения, блокирования атак, если они имеют место."

Непосредственно пляски с бубном или установка Snort с рулем и пидалями.
(т.к. у меня жента - есть свои нюансЫ, но у каждого свой бубен + мануалы к софту в комплекте :-) )

Часть первая. Простая :-)

1. Идем на сайт разработчика (http://www.snort.org/)и качаем последнюю версию

http://dl.snort.org/snort-current/snort-2.8.5.1.ta...

в женту емерджем не собираем, несмотря на то, что он там есть, иначе ниче работать не буит :-)

2. Качаем отсюда же рулесы snortrules-snapshot-CURRENT.tar.gz.


3. Идем на сайт руля (в качестве руля, тобиш механизма управления техникой :-) используется

snortsam) http://www.snortsam.net/
Качаем пач для нашей версии снорта

http://www.snortsam.net/files/snort-plugin/snortsa...

качаем сам snortsam (в женту можно ставить емержем)

Итог: Имеем исходники снорта, пач снортсама для снорта, рулесы сорта и сам снортсам.
Идем за пивом и приступаем ко второй части

Часть вторая. С бубном.

Исходник:
mkdir /tmp/snort
cp snort-2.8.5.1.tar.gz /tmp/snort
cp snortsam-2.8.5.diff.gz
gzip -d snortsam-2.8.5.diff.gz
gzip -d snort-2.8.5.1.tar.gz
tar -xf snort-2.8.5.1.tar
cd snort-2.8.5.1
patch -p1 <../snortsam-2.8.5.diff


пач должен запатчить, ошибок быть не должно.

Исходник:
chmod +x autojunk.sh
./autojunk.sh
./configure
make
если без ошибок - повезло :) 
делаем
make install


вуаля. снорт стоит. У меня все поставилось, но, несоздался каталог /etc/snort
поэтому я скопировал папку etc из дистрибута как /etc/snort. Фигню в ней типа Makefile можно

убить.

далее
Исходник:
mkdir /etc/snort/rules
cp snortrules-snapshot-CURRENT.tar.gz /tmp
gzip, tar snortrules-snapshot-CURRENT.tar.gz

копируем из полученного каталога рулей etc в /etc/snort, rules в /etc/snort/rules
копируем из /tmp/snort/snort-2.8.5.1/preproc_rules в /etc/snort

Часть третья. Конфиг

открываем snort.conf
ищем и правим на наши

var RULE_PATH /etc/snort/rules
var PREPROC_RULE_PATH /etc/snort/preproc_rules

Заводим снорт
Исходник:
NIDS#snort -c /etc/snort/snort.conf

Начинает бежать по экрану всякая ахинея от снорта, пока на нее забиваем, ждем нормального запуска 

и волшебных строчек

   ,,_     -*> Snort! <*-
  o"  )~   Version 2.8.5.1 (Build 114)
   ''''    By Martin Roesch & The Snort Team: http://www.snort.org/snort/snort-team
           Copyright (C) 1998-2009 Sourcefire, Inc., et al.
           Using PCRE version: 7.9 2009-04-11

           Rules Engine: SF_SNORT_DETECTION_ENGINE  Version 1.11  <Build 17>
           Preprocessor Object: SF_DCERPC2  Version 1.0  <Build 2>
           Preprocessor Object: SF_SSLPP  Version 1.1  <Build 3>
           Preprocessor Object: SF_DNS  Version 1.1  <Build 3>
           Preprocessor Object: SF_DCERPC  Version 1.1  <Build 5>
           Preprocessor Object: SF_SSH  Version 1.1  <Build 2>
           Preprocessor Object: SF_SMTP  Version 1.1  <Build 8>
           Preprocessor Object: SF_FTPTELNET  Version 1.2  <Build 12>
Not Using PCAP_FRAMES


Если такое есть - снорт работает.
Приделываем ему руль

в конфиге snort.conf втыкаем строчку в output plugin

Исходник:
output alert_syslog: LOG_AUTH LOG_ALERT
output alert_fwsam: 192.168.1.1:898/snort
192.168.1.1 - ip где стоит снортсам
898 - дефолтный порт снортсама
snort - сопственно пароль для снортсама


со снортом все.
приступаем к снортсаму

копируем из дистрибута snortsam.conf.sample в /etc/snortsam.conf
В принципе в нем все довольно подробно описано, поэтому ставим только
loglevel 3
screenlevel 3
logfile /var/log/snortsam.log

Раздел Firewall specific options пока не трогаем.

Теперь нужно родить файл банов. Делаем пока по простому, дальше понятно будет
Я ленивый, поэтому скрипты не точил до блеску :-)

Исходник:
cd /etc/snort
cat sid-msg.map | cut -f 1 -d " " > sidb


делаем файлик sid.sh
Исходник:
cat sidb | while read file
do
echo $file: src, 15 min
done


запускаем его ./sid.sh > sid-block.map
sid-block.map - это файлик с сидами, тобиш номерами атак и временем блокировки.


Идем за пивом :-) и приступаем к испытаниям

Часть 4. Испытания :-)

Еще раз зупускаем снорт, убеждаемся в наличии строчек в ахинее при запуске

Исходник:
INFO => [Alert_FWsam](AlertFWsamSetup) Using sid-map file: /etc/snort/sid-block.map
WARNING => [Alert_FWsam](FWsamCheckIn) Could not connect to host . Will try later.

Если это есть, то повезло :-)
Глушим снорт, запускаем все вместе в разных консолях. Демонами пока не ставим.

Сперва руль (в конфиге снортсама должна быть закоменчена стройка daemon)

Исходник:
snortsam /etc/snortsam.conf

Убеждаемся что работает

SnortSam, v 2.50.
Copyright (c) 2001-2006 Frank Knobbe <frank@knobbe.us>. All rights reserved.

Plugin 'fwsam': v 2.4, by Frank Knobbe
Plugin 'fwexec': v 2.4, by Frank Knobbe
Plugin 'pix': v 2.8, by Frank Knobbe
Plugin 'ciscoacl': v 2.10, by Ali Basel <alib@sabanciuniv.edu>
Plugin 'cisconullroute': v 2.2, by Frank Knobbe
Plugin 'netscreen': v 2.8, by Frank Knobbe
Plugin 'ipchains': v 2.7, by Hector A. Paterno <apaterno@dsnsecurity.com>
Plugin 'iptables': v 2.7, by Fabrizio Tivano <fabrizio@sad.it>
Plugin 'ebtables': v 2.3, by Bruno Scatolin <ipsystems@uol.com.br>
Plugin 'watchguard': v 2.5, by Thomas Maier <thomas.maier@arcos.de>
Plugin 'email': v 2.10, by Frank Knobbe
Plugin 'email-blocks-only': v 2.10, by Frank Knobbe
Plugin 'snmpinterfacedown': v 2.1, by Ali BASEL <ali@basel.name.tr>
Plugin 'forward': v 2.1, by Frank Knobbe

Parsing config file /etc/snortsam.conf...
Checking for existing state file "/var/db/snortsam.state".
Found. Reading state file.
Starting to listen for Snort alerts.


затем цепляем к нему снорт

Исходник:
snort -c /etc/snort/snort.conf


Убеждаемся что снорт прицепился к рулю
В окне со снортсамом появляется


Accepted connection from 192.168.1.1.
Adding sensor 192.168.1.1 to list.



Олелуя, все работает.
Теперь че по чем:

Сетевой зонд - тобиш снорт - слушает сетку и отправляет распознанные атаки (полезно лить

переодически новые рулесы кстати) на мозги - снортсам. Снортсам через плагины рулит или цисками

или правилами, например к iptables.
У нас пока не рулит, ибо есть шанс забанить че-нить нужное на 15 минут :-)

Поэтому какое то время просто изучаем чего в сетке творится.

для этого (у меня снорт гадид в /var/log/syslog)
tail -f /var/log/syslog

Атаки выгледят типа:


Nov 18 18:52:48 NIDS snort: [1:1384:10] MISC UPnP malformed advertisement [Classification: Misc

Attack] [Priority: 2]: {UDP} 192.168.1.20:1024 -> 239.255.255.250:1900


Соотвественно видно время атаки, в скобках стоит сид 1384, описание атаки, классификация,

приоритет (3 - фигня, 2- че то надо делать, 1 - туши свет), кто, с какого порта, кого и куда :-)

снортсам будет писать в свой лог snortsam.log что адрес забанен или уже в бане.

Соотвественно сидим и смотрим кто шарахается в сетке, рабираемся с атаками которые лезут. Атаки

которые идут типа как у меня симофорит принтер upnp - выкидваем из sid-block.map. Атаки которые

существенные - в sid-block.map делаем время поболе.

Как только освоились - можно включать в снортсаме плагины.
Для iptables просто раскоментариваем iptables iface (iface меняем на свой)
и вуаля, проходит атака, зонд ловит, пинает мозг, мозг сливает правила в iptables. Правило там

живет время стоящее в sid-block.map.

Часть 5. Всякое.

Зондов может быть несколько с одним мозгом.
По научному - один зонд в интернет, второй в интранет. Мониторим и рулим :-)
ЗЫ: плагины к цискам - унылое гавно. будет время - переточу как надо :-) А то телнет юзать для залифки правил это просто жесть :-)

Чего означает конкретный сид атаки - можно посмотреть по сцылке

http://rootedyour.com/snortsid?sid=xxxx
где xxxx номер сида

По сцылке http://www.snortgroup.ru/taxonomy/term/61 умный дядько рассказывает как можно стряпать

свои правила на примере youtube :-)

Да, забыл про педали :-)

http://jeremy.chartier.free.fr/snortalog/ Есть анализатор логов снорта :-) Фиговый, но хоть че-то

суммарно посмотреть можно :-)

Вобщем как то вот так.

Соотвественно дальше надо крутить snort.conf, включать в нем дополнительные рули и модули

анализа, ну это как гритсо по вкусу и как это все делать есть в мануалах. Худо-бедно, но даже в

дефолтном конфиге хватает чтоб отбится от доморощенных кулхацкеров :-)

Да, в качестве дополнения - работающий торрент шибко гадит атаками :-) поэтому торрент клиента

можно использовать как генератор атак :-) соотвественно потом надо закоментить строчки торрент

атак в sid-block.map а то не буит ни кина, ни вина, ни домена.




[Сообщение изменено пользователем 18.11.2009 20:11]
1/0 |  Ответить   |  Поделиться:  
Re: Защита от Dos и DDos атак. Debian.   #23391 
Автор: BlackDeath[моцк(LED)] 
Дата:   

если надо - напишу как сопственные плагины к снортсаму стряпать по тупому :-)

[Сообщение изменено пользователем 19.11.2009 11:29]
Ответить   |  Поделиться:  
Re: Защита от Dos и DDos атак. Debian.   #23393 
Автор: FuLLMetaLL
Дата:   

Спасибо большое за мануальчег, работает как часы. Но при установке и настройке свои бубный конечно тоге были применены. Если комуто нужна помощь по настройке именно на дистрибутиве debian пишити в лс либо в icq 7049613=)
PS автору зочот пеши исчо)
Ответить   |  Поделиться:  
Re: Защита от Dos и DDos атак. Debian.   #23400 
Автор: BlackDeath[моцк(LED)] 
Дата:   

Итак, в духе моего дневничка :-) продолжаем точить снорт :-)
Речь пойдет о гуйне к нему. Не, канечно snortalog хорошо, можно видеть кто, куда и в какую дырку пекает, но как бы хотелось че-то более удоботворимого. Поэтому переходим к

Часть 6. Установка Basic Analysis and Security Engine (BASE)

BASE - вебморда из набора php скриптов для работы с логом снорта. Вебморда довольно удачная и довольно информативная.

Главная страничка


Страничка где можно посмотреть содержимое пакета атаки



Так же можно делать разных юзеров с ролями, смотреть всякие отчеты по атакам и дофигу еще всего. Подробней можно зачитать на сайте производителя http://base.secureideas.net/

Теперь пассы бубном для получения такой вот красоты у себя.
Как видно из вышесказанного нам понадобитсо апач, php, mysql для базы и дофигу плагинов к php (необходимые плагины описаны в доках к проге) ну и собственно сама прога, сливаемая через download на сайте.

1. Пересобираем снорт сделав ему configure --with-mysql. Если исходник распаковали вновь - незабываем как писалось выше запатчить для snortsam.

2. Делаем и заливаем в mysql базу из исходников снорта папка schemas

Исходник:
создаем базу
mysql -u user_mysql -p
mysql>create database snort;
exit
заливаем таблицы
mysql -u юзер_mysql -p snort <  create_mysql


3. В snort.conf пишем строку
output database: log, mysql, user=юзер_mysql password=пароль_mysql dbname=snort host=localhost

4. заводим снорт, убеждаемся что все заработало без ошибок.

5. Распаковываем base в каталог нашего web сервера.

6. браузером заходим, попадаем на страничку сетапа. Что приятно порадовало - наличие русского языка в интерфейсе :-) Сопственно заполняем данные для подключения к базе снорта, заводим админа с вуаля :-)


Фотография из Фотогалереи на E1.ru


Теперь сенсор ловит, руль рулит, и поглазеть есть на чего :-)

[Сообщение изменено пользователем 19.11.2009 20:10]
Ответить   |  Поделиться:  
Список Тем  |   Поиск  |   Правила  |   Статистика  |   Подписаться на тему
1 | 2 | следующая страницапоследняя страница

Внимание! сейчас Вы не авторизованы и не можете подавать сообщения как зарегистрированный пользователь. Чтобы авторизоваться, нажмите на эту ссылку (после авторизации вы вернетесь на эту же страницу)


 Мой E1 : Вход 
 
Вход для зарегистрированных пользователей:
E-mail:
Пароль:
Если Вы не зарегистрированы, то добро пожаловать на страницу регистрации.
Если Вы зарегистрированы, но забыли пароль, Вы можете его запросить.

Развернуть блок
 Погода