DDoS agus ionsaithe eile vs iptables (Slándáil frith-DDoS in iptables)

Seachain ionsaí DDoS le iptables Tá go leor bealaí ann chun é a dhéanamh, de réir mhéid an phaicéid, de réir teorann ceangail, srl. Feicfimid anseo conas a bhainfimid an cuspóir amach, ar bhealach éasca, iomasach agus mínithe go maith, chomh maith le hionsaithe cráite eile ar ár bhfreastalaithe a stopadh.

# Iptables

IPT="/sbin/iptables"
ETH="eth0"

#Todo el tráfico syn
$IPT -P INPUT DROP
$IPT -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
$IPT -A INPUT -p tcp ! --syn -j REJECT --reject-with tcp-reset
$IPT -A INPUT -m state --state INVALID -j DROP
$IPT -P OUTPUT DROP
$IPT -A OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
$IPT -A OUTPUT -p tcp ! --syn -j REJECT --reject-with tcp-reset
$IPT -A OUTPUT -m state --state INVALID -j DROP
$IPT -P FORWARD DROP
$IPT -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
$IPT -A FORWARD -p tcp ! --syn -j REJECT --reject-with tcp-reset
$IPT -A FORWARD -m state --state INVALID -j DROP
$IPT -A INPUT -i lo -j ACCEPT
$IPT -A OUTPUT -o lo -j ACCEPT
$IPT -A FORWARD -i lo -o lo -j ACCEPT

#Cuando sube la carga
$IPT -A INPUT -p tcp --syn -j REJECT --reject-with icmp-port-unreachable

#La que mejor va
$IPT -N syn-flood
$IPT -A syn-flood -m limit --limit 100/second --limit-burst 150 -j RETURN
$IPT -A syn-flood -j LOG --log-prefix "SYN flood: "
$IPT -A syn-flood -j DROP

#Igual que el de arriba pero muy raw
$IPT -N syn-flood
$IPT -A INPUT -i eth0:2 -p tcp --syn -j syn-flood
$IPT -A syn-flood -m limit --limit 1/s --limit-burst 4 -j RETURN
$IPT -A syn-flood -j DROP
$IPT -A INPUT -p tcp -m tcp --tcp-flags SYN,RST,ACK SYN -m limit --limit 1/sec -j ACCEPT
$IPT -A INPUT -p tcp -m tcp --tcp-flags FIN,SYN,RST,ACK RST -m limit --limit 1/sec -j ACCEPT

#Descartar paquetes mal formados
$IPT -N PKT_FAKE
$IPT -A PKT_FAKE -m state --state INVALID -j DROP
$IPT -A PKT_FAKE -p tcp --dport 80 --tcp-flags ALL ACK,RST,SYN,FIN -j DROP
$IPT -A PKT_FAKE -p tcp --dport 80 --tcp-flags SYN,FIN SYN,FIN -j DROP
$IPT -A PKT_FAKE -p tcp --dport 80 --tcp-flags SYN,RST SYN,RST -j DROP
$IPT -A PKT_FAKE -p tcp --dport 80 ! --syn -m state --state NEW -j DROP
$IPT -A PKT_FAKE -f -j DROP
$IPT -A PKT_FAKE -j RETURN

#Syn-flood
$IPT -N syn-flood
$IPT -A INPUT -i eth+ -p tcp --tcp-flags SYN,ACK,FIN,RST RST -j syn-flood
$IPT -A FORWARD -i eth+ -p tcp --tcp-flags SYN,ACK,FIN,RST RST -j syn-flood
$IPT -A syn-flood -m limit --limit 4/s --limit-burst 16 -j RETURN
$IPT -A syn-flood -m limit --limit 75/s --limit-burst 100 -j RETURN -A syn-flood -j LOG --log-prefix "SYN FLOOD " --log-tcp-sequence --log-tcp-options --log-ip-options -m limit --limit 1/second
$IPT -A syn-flood -j DROP

#Requiere módulo "recent"
modprobe ipt_recent
$IPT -A INPUT -p tcp --dport 80 -m state --state NEW -m recent --set
$IPT -A INPUT -p tcp --dport 80 -m state --state NEW -m recent --update --seconds 10 --hitcount 10 -j DROP

# explicación:
# Se añade cada ip que se conecte a la tabla de recent
# Por por cada ip en la tabla de recent si hace mas de x hits en x segundos, se dropea.
$IPT -I INPUT -p tcp --syn -m recent --set
$IPT -I INPUT -p tcp --syn -m recent --update --seconds 10 --hitcount 30 -j DROP

#UDP Flood
$IPT -A OUTPUT -p udp -m state --state NEW -j ACCEPT
$IPT -A OUTPUT -p udp -m limit --limit 100/s -j ACCEPT
$IPT -A OUTPUT -p udp -j DROP

Is é a dhéanann sé ná líon na bpaicéad SYN a chomhaireamh (Tús nasc TCP) do gach seoladh IP le 10 soicind anuas. Má shroicheann sé 30, déanann sé an paicéad sin a scriosadh ionas nach mbunófar an nasc (Déanfaidh TCP atriail arís agus arís eile, nuair a thiteann sé faoi bhun na teorann is féidir a shocrú).

#Evitando Layer7 DoS limitando a 80 la máxima cantidad de conexiones
$IPT -A INPUT -p tcp --dport 80 -m hashlimit --hashlimit-upto 50/min --hashlimit-burst 80 --hashlimit-mode srcip --hashlimit-name http -j ACCEPT
$IPT -A INPUT -p tcp --dport 80 -j DROP

#Permitir el ping, pero a 1 paquete por segundo, para evitar un ataque ICMP Flood
$IPT -A INPUT -p icmp -m state --state NEW --icmp-type echo-request -m limit --limit 1/s --limit-burst 1 -j ACCEPT
$IPT -A INPUT -p icmp -j DROP

#Evitando que escaneen la máquina
$IPT -A INPUT -i $ETH -p tcp -m tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG NONE –j DROP
$IPT -A INPUT -i $ETH -p tcp -m tcp --tcp-flags SYN,FIN SYN,FIN –j DROP
$IPT -A INPUT -i $ETH -p tcp -m tcp --tcp-flags SYN,RST SYN,RST –j DROP
$IPT -A INPUT -i $ETH -p tcp -m tcp --tcp-flags FIN,RST FIN,RST –j DROP
$IPT -A INPUT -i $ETH -p tcp -m tcp --tcp-flags ACK,FIN FIN –j DROP
$IPT -A INPUT -i $ETH -p tcp -m tcp --tcp-flags ACK,URG URG –j DROP

Seo an script inár Greamaigh: Paste.FromLinux.net (Script roimhe seo)

Tagairtí:

 


Cloíonn ábhar an ailt lenár bprionsabail eitic eagarthóireachta. Chun earráid a thuairisciú cliceáil anseo.

14 trácht, fág mise

Fág do thrácht

Ní thabharfar do sheoladh r-phoist a fhoilsiú. Réimsí riachtanacha atá marcáilte le *

*

*

  1. Freagrach as na sonraí: Miguel Ángel Gatón
  2. Cuspóir na sonraí: SPAM a rialú, bainistíocht trácht.
  3. Legitimation: Do thoiliú
  4. Na sonraí a chur in iúl: Ní chuirfear na sonraí in iúl do thríú páirtithe ach amháin trí oibleagáid dhlíthiúil.
  5. Stóráil sonraí: Bunachar sonraí arna óstáil ag Occentus Networks (EU)
  6. Cearta: Tráth ar bith is féidir leat do chuid faisnéise a theorannú, a aisghabháil agus a scriosadh.

  1.   KZKG ^ Gaara a dúirt

    Agus is é seo an fáth gur chuir mé rang teagaisc roimh ionsaithe DDoS 😉
    Chun an chúis nó an fhadhb (rang teagaisc roimhe seo) a chur / a mhíniú, agus an réiteach (an rang teagaisc seo) a thabhairt duit freisin 🙂

    1.    diazepam a dúirt

      foirfe.

  2.   Coratsuki a dúirt

    Candy leanaí ...

  3.   Hugo a dúirt

    Alt maith

    Mo dhá cent:

    I gcás paicéid UDP, níl bratach SYN ann toisc gur prótacal í gan rialú stáit. Go paradóideach, áfach, tá na stáit NUA agus BUNAITHE ann toisc go bhfuil táblaí chun na críche seo ag iptables go hinmheánach.

    Ar an láimh eile, is é mo thuairim gur fearr ceann scríbe DROP a úsáid in ionad REJECT, ar dhá chúis: ar dtús, le diúltú tá ceann ag tabhairt faisnéise d’ionsaitheoir féideartha, agus freisin tá an ríomhaire ag úsáid cuid dá nascacht chun é a sheoladh fógra a thabhairt don fhoireann ionsaí.

    Rud eile is ea go bhfuil sé áisiúil, i gcás an phrótacail ICMP (agus go ginearálta) na hiarrataí agus na freagraí a rialáil, mar is dócha go bhfuil suim againn ag pointe éigin sinn féin a phiocadh, agus tríd an bhfeidhmiúlacht seo a chumasú, d’fhéadfadh duine botnet a úsáid agus an seoladh foinse chun go leor de na ríomhairí pearsanta comhréitigh seo a chur i gcrích gan deireadh, agus rachadh na freagraí chuig ár bhfreastalaí, ag titim as a chéile mura bhforchuirfí aon teorainneacha.

    De ghnáth ligim do chineálacha ICMP 0,3,8,11 agus 12 le teorainn ionchuir de cheann in aghaidh an tsoicind agus pléasctha de dhá nó ceithre uasmhéid, agus fágtar DROP ar gach rud eile.

    I ndáiríre, ach amháin an prótacal TCP is féidir a rialáil níos fearr, ba cheart gach ceann eile a chosaint le beart frith-DDoS trí mheaitseáil de chineál le déanaí. Maidir leis seo, mar fhiosracht, is maith le húdar an mhodúil seo an nuashonrú a chur ar dtús agus ansin an tacar.

    Tá Iptables an-solúbtha agus cumhachtach i ndáiríre, go dtí seo is é an t-aon rud atá beartaithe agam a dhéanamh agus nár bhain mé amach é fós (cé go bhfuilim gar dá bhaint amach), ná an modúl psd a chumasú chun calafoirt a sheachaint, ach fiú le gach rud atá foghlamtha agam faoi seo uirlis, ní dóigh liom go ndearna mé an dromchla a scríobadh fós. 😉

    Ar aon chaoi, ar an saol seo caithfidh tú staidéar a dhéanamh i gcónaí.

  4.   Coratsuki a dúirt

    Pointí maithe Hugo, ar chomhad dár ngluais: D, mar is gnách, ag foghlaim ...

    1.    Hugo a dúirt

      Dála an scéil, fuair mé an modúl psd cheana féin chun obair dom. Ba í an fhadhb a bhí ann ná go raibh sé ag brath i dtosach ar fheidhmiúlacht eithne a ndearnadh dímheas air in éineacht le paiste-o-matic, agus mar sin baineadh é as na modúil ionsuite netfilter réamhshocraithe. Mar sin anois i Debian chun an síneadh psd a úsáid, ar dtús caithfidh tú é seo a dhéanamh:


      aptitude -RvW install iptables-dev xtables-addons-{common,source} module-assistant
      module-assistant auto-install xtables-addons-source

      Is féidir é a úsáid de ghnáth ansin, de réir na dtreoracha:

      man xtables-addons

      1.    ar shiúl a dúirt

        Hugo, cén fáth nach bhfoilsíonn tú iptables.sh le do mholtaí chun script an phoist seo (atá go maith) a fheabhsú, lena n-áirítear psd

        Go raibh maith agat

  5.   nelson a dúirt

    Alt den scoth, iptables den scoth agus míniú den scoth ó @hugo. Táim ag éirí níos cinnte go bhfuil a lán le foghlaim agam fós.

  6.   Coratsuki a dúirt

    Ní tusa amháin, mise ar a laghad ... tá milliún in easnamh orm ... 😀

  7.   Aingeal Miguel a dúirt

    Dia duit gach duine, agus go raibh maith agat as an gcion, ach is í an fhírinne go bhfuil éadóchas orainn, níl a fhios againn cad atá le déanamh anois, agus tagaimid chugat as seo de na iptables a bhfuil a fhios againn gur saineolaithe i gcórais tú.
    Is mise ceannaire pobail sa Spáinn a bhaineann le foinse frith-stailce agus táimid ar dhuine den bheagán atá fós ina seasamh ar éigean, táimid ag fáil ionsaithe leanúnacha ón meaisín agus ó ionsaithe eile ag eatraimh ama, is beag a bhaineann an tairiseach as ach déanann sé an freastalaí beag ach déanann an ceann atá in am níos mó damáiste. Tá ár meaisín suite ar 6.2 centos
    agus tá an tcadmin againn chun na freastalaithe a rialú. D’fhéadfá cumraíocht a dhéanamh dúinn a d’fhéadfadh stop a chur leis an gcineál seo ionsaithe fiú beagáinín, tá éadóchas orainn cheana féin,
    agus níl a fhios againn cé leis a rachaidh siad, tá a fhios againn go bhfuil dhá bhotún, ceann baile agus an ceann eile íoctha as am agus fórsa. Mar sin táimid ag fulaingt ionsaithe brúidiúla den chineál seo le beagnach bliain, dá bhféadfá cabhrú linn bheimis buíoch go síoraí toisc go bhfuil sé neamh-inbhuanaithe anois, is breá liom freastalaithe mar hoobie a chumrú, agus ní leanbh mé a geallaim duit ach is mór domsa é seo. Más mian leat go labhródh mo ts3 nó aon rud ba bhreá liom cabhrú leat ionas go ndéanfaimis na torthaí agus gach rud a réitíodh ar mhaithe le go leor daoine a phostáil anseo, bheadh ​​sé ar an mblag is mó a bhfuil cuairt á tabhairt air sa bhliain a geallaim duit toisc go bhfuil sé dochreidte mar a chuireann sé na hionsaithe seo ar neamhní. ddos. Ó rinneamar iarracht é a chumrú linn féin agus chuir muid bac ar rochtain ar an meaisín, bhí orainn é a fhormáidiú ó na bios mar sin samhlaigh conas atáimid.
    Seolaim beannacht croíúil. Agus mo chomhghairdeas as an mblag atá in easnamh, aimsíonn a lán daoine ceann a nuashonraíodh leis an gceann seo. -Miguel Angel-

    1.    KZKG ^ Gaara a dúirt

      Dia duit conas atá tú 🙂
      Scríobh chugam chuig mo r-phost, cabhróimid leat le pléisiúr 😀 - »kzkggaara [@] desdelinux [.] Glan

  8.   ArthurShelby a dúirt

    Dia duit a dhaoine, go dtí seo go bhfuilim ag obair, tóg an script seo, an-mhaith dála an scéil ... níl aon amhras ach: Nach laghdaíonn an modúl "le déanaí" feidhmíocht?

    Beannachtaí - Go raibh maith agat / Cé is maith leat?

  9.   Jose tapia a dúirt

    Ranníocaíocht den scoth mo chara, cuirfidh mé tú sna tagairtí d’fhíseán teagaisc atá á chur suas againn, barróg ó Costa Rica

  10.   Cristian Marfil Reinoso a dúirt

    Dia duit,

    Ní féidir an script a úsáid ar ilphort?
    Tá freastalaí cluiche agam agus faighim ionsaithe ar an ngréasán agus ar na calafoirt freastalaí cluiche.

    A Beannacht.