Форум русскоязычного сообщества Ubuntu


Хотите сделать посильный вклад в развитие Ubuntu и русскоязычного сообщества?
Помогите нам с документацией!

Автор Тема: Как защитить сервер от мелких и средних атак?  (Прочитано 1283 раз)

0 Пользователей и 1 Гость просматривают эту тему.

Оффлайн stixia007

  • Автор темы
  • Участник
  • *
  • Сообщений: 133
    • Просмотр профиля
Здравствуйте! Вот столкнулся с проблемой. Что я только не читал, у кого только не спрашивал все как-то разводят руками и ничего кнретно не сказав. Просто переходите на платную защиту, ну есть-же способы хотя-бы примитивные атаки (школо дос, флуд) отбить по средствам самого сервера? Стоит ubuntu.

Вот что я нашёл для моих нужд:

#!/bin/sh

# Находим все соединения на все порты и записываем их в файл ddos.iplist
netstat -ntu | awk '{print $5}' | cut -d: -f1 | sort | uniq -c | sort -nr | grep -v "127.0.0.1" > /usr/local/ddos/ddos.iplist

# создаем DROP правила (не выдавать ответа сервера на запросы забаненых) для IP с количеством подключений более 50 и добавляем их в файл
awk '{if ($1 > 50) {print "/sbin/iptables -A INPUT -s " $2 " -j DROP"; print "/sbin/iptables -A INPUT -d " $2 " -j DROP";}}' /usr/local/ddos/ddos.iplist >> /usr/local/ddos/iptables_ban.sh

# запускаем скрипт бана IP атакующих
bash /usr/local/ddos/iptables_ban.sh

# Очищаем скрипт, который производит бан
cat /dev/null > /usr/local/ddos/iptables_ban.sh

Потребуется точно выяснить кол-во нужных активных соединений и установить свой лимит.
Точно нужно добавить фильтр какие ip не учитывать и не добавлять в бан:

netstat -ntu | awk '{print $5}' | cut -d: -f1 | sort | uniq -c | sort -n | grep -v "Ваш IP сервера" > /tmp/ddos.iplist
Хотел бы у вас поинтересоваться. Т.к. уровень администрирования начальный, как добавить правило на диапазон ip что их скрипт не добавлял в баню в случае чего?

alexxnight

  • Гость
Посмотрите ipset, чтобы не засорять цепочки iptables и проще работать, чем с файлами...

Оффлайн stixia007

  • Автор темы
  • Участник
  • *
  • Сообщений: 133
    • Просмотр профиля
ipset это когда более 100 наверное ip шников нужно блочить. У меня максимум 10 штук бывает, раз в месяц. :)

Оффлайн Дмитрий Бо

  • Погонщик серверов
  • Модератор раздела
  • Старожил
  • *
  • Сообщений: 3538
  • Я не техподдержка, я за порядком слежу
    • Просмотр профиля
    • LinkedIn
По-моему, всё это уже умеет fail2ban.
Не опускай рук, а то пропустишь в бороду

Оффлайн stixia007

  • Автор темы
  • Участник
  • *
  • Сообщений: 133
    • Просмотр профиля
На сколько я знаю данный модуль блокирует ip если он ошибся сколько-то там раз? То-же поставлю, интересная штука :D

Оффлайн Дмитрий Бо

  • Погонщик серверов
  • Модератор раздела
  • Старожил
  • *
  • Сообщений: 3538
  • Я не техподдержка, я за порядком слежу
    • Просмотр профиля
    • LinkedIn
stixia007, да, блокирует адрес на заданное время. Можно указать исключения.
В общем случае, он срабатывает на какое-то количество появлений адреса в логах. Это может быть лог ошибок аутентификации, а может быть лог слишком большого количества подключений (в этом случае лог можно писать правилом iptables).
Не опускай рук, а то пропустишь в бороду

Оффлайн AnrDaemon

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 26086
    • Просмотр профиля
И будем досить сами себя :D
Вы не забывайте, что защита от атаки - это тоже работа, на которую расходуются ресурсы вашего сервера.
Вам не просто так предложили услуги внешнего сервиса.
Хотите получить помощь? Потрудитесь представить запрошенную информацию в полном объёме.

Прежде чем [Отправить], нажми [Просмотр] и прочти собственное сообщение. Сам-то понял, что написал?…

Оффлайн stixia007

  • Автор темы
  • Участник
  • *
  • Сообщений: 133
    • Просмотр профиля
Меня то-же интересует этот вопрос. Каждые 5 минут выполнять данный скрипт, сколько ресурсов будет затрачено? Подсказали несколько.
Другое дело если правил будет около 100.

Школьник скачал программу, задосил сайт на вдс-ке. Идти в контору? Я думаю тут по средствам ОС можно настроить всё.
Проще говоря, нет денег.

Да и вообще я считаю при средних атаках можно самому защититься - если правильно всё настроить. Другое дело когда атаки идут "заказные", в таком случае нужно обращаться в контору.
« Последнее редактирование: 17 Июнь 2016, 15:28:22 от stixia007 »


 

Страница сгенерирована за 0.061 секунд. Запросов: 25.