હુમલો ટાળો DDoS કોન iptables પેકેટના કદ દ્વારા, કનેક્શનની મર્યાદા દ્વારા, વગેરે કરવા માટે તેની પાસે ઘણી રીતો છે. અહીં આપણે જોઈશું કે કેવી રીતે, સરળ, સાહજિક અને સારી રીતે સમજાયેલી રીતે આપણે ઉદ્દેશ્ય પ્રાપ્ત કરીશું, તેમજ આપણા સર્વરો પરના અન્ય નકામી હુમલાઓને કેવી રીતે અટકાવીશું.
# Iptables
IPT="/sbin/iptables"
ETH="eth0"
#Todo el tráfico syn
$IPT -P INPUT DROP
$IPT -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
$IPT -A INPUT -p tcp ! --syn -j REJECT --reject-with tcp-reset
$IPT -A INPUT -m state --state INVALID -j DROP
$IPT -P OUTPUT DROP
$IPT -A OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
$IPT -A OUTPUT -p tcp ! --syn -j REJECT --reject-with tcp-reset
$IPT -A OUTPUT -m state --state INVALID -j DROP
$IPT -P FORWARD DROP
$IPT -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
$IPT -A FORWARD -p tcp ! --syn -j REJECT --reject-with tcp-reset
$IPT -A FORWARD -m state --state INVALID -j DROP
$IPT -A INPUT -i lo -j ACCEPT
$IPT -A OUTPUT -o lo -j ACCEPT
$IPT -A FORWARD -i lo -o lo -j ACCEPT
#Cuando sube la carga
$IPT -A INPUT -p tcp --syn -j REJECT --reject-with icmp-port-unreachable
#La que mejor va
$IPT -N syn-flood
$IPT -A syn-flood -m limit --limit 100/second --limit-burst 150 -j RETURN
$IPT -A syn-flood -j LOG --log-prefix "SYN flood: "
$IPT -A syn-flood -j DROP
#Igual que el de arriba pero muy raw
$IPT -N syn-flood
$IPT -A INPUT -i eth0:2 -p tcp --syn -j syn-flood
$IPT -A syn-flood -m limit --limit 1/s --limit-burst 4 -j RETURN
$IPT -A syn-flood -j DROP
$IPT -A INPUT -p tcp -m tcp --tcp-flags SYN,RST,ACK SYN -m limit --limit 1/sec -j ACCEPT
$IPT -A INPUT -p tcp -m tcp --tcp-flags FIN,SYN,RST,ACK RST -m limit --limit 1/sec -j ACCEPT
#Descartar paquetes mal formados
$IPT -N PKT_FAKE
$IPT -A PKT_FAKE -m state --state INVALID -j DROP
$IPT -A PKT_FAKE -p tcp --dport 80 --tcp-flags ALL ACK,RST,SYN,FIN -j DROP
$IPT -A PKT_FAKE -p tcp --dport 80 --tcp-flags SYN,FIN SYN,FIN -j DROP
$IPT -A PKT_FAKE -p tcp --dport 80 --tcp-flags SYN,RST SYN,RST -j DROP
$IPT -A PKT_FAKE -p tcp --dport 80 ! --syn -m state --state NEW -j DROP
$IPT -A PKT_FAKE -f -j DROP
$IPT -A PKT_FAKE -j RETURN
#Syn-flood
$IPT -N syn-flood
$IPT -A INPUT -i eth+ -p tcp --tcp-flags SYN,ACK,FIN,RST RST -j syn-flood
$IPT -A FORWARD -i eth+ -p tcp --tcp-flags SYN,ACK,FIN,RST RST -j syn-flood
$IPT -A syn-flood -m limit --limit 4/s --limit-burst 16 -j RETURN
$IPT -A syn-flood -m limit --limit 75/s --limit-burst 100 -j RETURN -A syn-flood -j LOG --log-prefix "SYN FLOOD " --log-tcp-sequence --log-tcp-options --log-ip-options -m limit --limit 1/second
$IPT -A syn-flood -j DROP
#Requiere módulo "recent"
modprobe ipt_recent
$IPT -A INPUT -p tcp --dport 80 -m state --state NEW -m recent --set
$IPT -A INPUT -p tcp --dport 80 -m state --state NEW -m recent --update --seconds 10 --hitcount 10 -j DROP
# explicación:
# Se añade cada ip que se conecte a la tabla de recent
# Por por cada ip en la tabla de recent si hace mas de x hits en x segundos, se dropea.
$IPT -I INPUT -p tcp --syn -m recent --set
$IPT -I INPUT -p tcp --syn -m recent --update --seconds 10 --hitcount 30 -j DROP
#UDP Flood
$IPT -A OUTPUT -p udp -m state --state NEW -j ACCEPT
$IPT -A OUTPUT -p udp -m limit --limit 100/s -j ACCEPT
$IPT -A OUTPUT -p udp -j DROP
તે શું કરે છે તે SYN પેકેટોની સંખ્યા ગણતરી છે (ટીસીપી કનેક્શન પ્રારંભ) છેલ્લા 10 સેકંડમાં દરેક આઇપી સરનામાં માટે. જો તે 30 સુધી પહોંચે છે, તો તે પેકેટને કાardsી નાખશે જેથી કનેક્શન સ્થાપિત થશે નહીં.ટીસીપી ઘણી વખત ફરી પ્રયાસ કરશે, જ્યારે તે સેટ કરી શકાય તે મર્યાદાથી નીચે જશે).
#Evitando Layer7 DoS limitando a 80 la máxima cantidad de conexiones
$IPT -A INPUT -p tcp --dport 80 -m hashlimit --hashlimit-upto 50/min --hashlimit-burst 80 --hashlimit-mode srcip --hashlimit-name http -j ACCEPT
$IPT -A INPUT -p tcp --dport 80 -j DROP
#Permitir el ping, pero a 1 paquete por segundo, para evitar un ataque ICMP Flood
$IPT -A INPUT -p icmp -m state --state NEW --icmp-type echo-request -m limit --limit 1/s --limit-burst 1 -j ACCEPT
$IPT -A INPUT -p icmp -j DROP
#Evitando que escaneen la máquina
$IPT -A INPUT -i $ETH -p tcp -m tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG NONE –j DROP
$IPT -A INPUT -i $ETH -p tcp -m tcp --tcp-flags SYN,FIN SYN,FIN –j DROP
$IPT -A INPUT -i $ETH -p tcp -m tcp --tcp-flags SYN,RST SYN,RST –j DROP
$IPT -A INPUT -i $ETH -p tcp -m tcp --tcp-flags FIN,RST FIN,RST –j DROP
$IPT -A INPUT -i $ETH -p tcp -m tcp --tcp-flags ACK,FIN FIN –j DROP
$IPT -A INPUT -i $ETH -p tcp -m tcp --tcp-flags ACK,URG URG –j DROP
અહીં અમારી પેસ્ટની સ્ક્રિપ્ટ છે: પેસ્ટ કરો.DesdeLinux.net (Script anterior)
સંદર્ભો:
- ડીડીઓએસ બંધ કરવાનો પ્રયાસ કરી રહ્યા છીએ (ElHacker.net મંચ)
- ડીડીઓએસ હુમલોને કેવી રીતે ટાળવો અને તેને વાસ્તવિક સર્વર્સ પર કેવી રીતે અનુભવી શકાય? (ElHacker.net મંચ)
- શરતી વાળો સ્ક્રિપ્ટ (માલીબાઇટ.નેટ)
- એક ખૂબ જ સારું ઉદાહરણ (LinuxGuruz.org)
- ડીડીઓએસ હુમલો અટકાવી રહ્યા છીએ (LinuxSecurity.com)
- હુમલાઓને રોકવા માટે TCP / IP સ્ટેકને કડક બનાવવું (સિક્યુરિટીફોકસ.કોમ)
અને તેથી જ હું DDoS એટેક કરતા પહેલા ટ્યુટોરિયલ મૂકું છું 😉
કારણ અથવા સમસ્યા (અગાઉના ટ્યુટોરિયલ) મૂકવા / સમજાવવા માટે, અને તમને સોલ્યુશન (આ ટ્યુટોરિયલ) give
સંપૂર્ણ
ચિલ્ડ્રન્સ કેન્ડી ...
બુન આર્ટિક્યુલો.
મારા બે સેન્ટ:
યુડીપી પેકેટોના કિસ્સામાં, ત્યાં કોઈ એસવાયવાય ફ્લેગ નથી કારણ કે તે રાજ્યના નિયંત્રણ વિનાનો પ્રોટોકોલ છે. જો કે, વિરોધાભાસી રીતે, નવા અને સ્થાપિત થયેલ રાજ્યો અસ્તિત્વમાં છે કારણ કે iptables આ હેતુ માટે આંતરિક રીતે કોષ્ટકો ધરાવે છે.
બીજી બાજુ, મારા મતે, બે કારણોસર, અસ્વીકારને બદલે ડ્રોપ ગંતવ્યનો ઉપયોગ કરવો વધુ સારું છે: પ્રથમ, અસ્વીકાર સાથે કોઈ સંભવિત હુમલાખોરને માહિતી આપી રહ્યું છે, અને કમ્પ્યુટર મોકલવા માટે તેની કનેક્ટિવિટીના ભાગનો ઉપયોગ કરી રહ્યું છે હુમલો કરનાર ટીમને સૂચના.
બીજી બાબત એ છે કે આઇસીએમપી પ્રોટોકોલ (અને સામાન્ય રીતે) ની સ્થિતિમાં, વિનંતીઓ અને જવાબો બંનેને નિયંત્રિત કરવું અનુકૂળ છે, કારણ કે આપણને કદાચ પોતાને પિંગ કરવામાં કોઈ બાબતમાં રસ છે, અને આ કાર્યક્ષમતાને સક્ષમ કરવાથી, કોઈ બોટનેટનો ઉપયોગ કરી શકે છે અને ખોટી માહિતી આપી શકે છે આ સમાધાન કરનારા ઘણા પીસીને સમાપ્ત કર્યા વિના પિંગ કરવા માટેનો સ્રોત સરનામું, અને જો કોઈ મર્યાદા લાદવામાં ન આવે તો પ્રતિક્રિયાઓ આપણા સર્વર પર જશે.
હું સામાન્ય રીતે આઇસીએમપી પ્રકારોને 0,3,8,11 અને 12 ને મંજૂરી આપું છું, જેમાં પ્રતિ સેકન્ડની એક ઇનપુટ મર્યાદા હોય અને બે કે ચાર મહત્તમનો વિસ્ફોટ થાય, અને બાકીનું બધું ડ્રોપ પર છોડી દે.
ખરેખર, ટીસીપી પ્રોટોકોલ સિવાય, જેને વધુ સારી રીતે નિયમન કરી શકાય છે, બાકીના બધાને તાજેતરના પ્રકારનાં મેચ દ્વારા એન્ટી-ડીડોએસ માપથી સુરક્ષિત રાખવું જોઈએ. આને વિષે, એક જિજ્ .ાસા તરીકે, આ મોડ્યુલના લેખકને પહેલા અપડેટ અને પછી સેટ મૂકવાનું પસંદ છે.
ઇપ્ટેબલ્સ ખરેખર ખૂબ જ લવચીક અને શક્તિશાળી છે, અત્યાર સુધીમાં એકમાત્ર વસ્તુ જે મેં કરવાનું સૂચન કર્યું છે અને મેં હજી સુધી તે હાંસલ કર્યું નથી (જોકે હું તેને પ્રાપ્ત કરવા માટે નજીક છું), જે પોર્ટસ્કેન્સને ટાળવા માટે પીએસડી મોડ્યુલને સક્ષમ કરવા માટે છે, પરંતુ તે પણ બધું જ હું આ વિશે શીખી છું ટૂલ, મને લાગે છે કે મેં સપાટીને હજી સુધી ખંજવાળી નથી. 😉
કોઈપણ રીતે, આ વિશ્વમાં તમારે હંમેશાં અભ્યાસ કરવો પડશે.
સારા શબ્દો હ્યુગો, અમારી ગ્લોસરી માટે ફાઇલ પર: ડી, હંમેશની જેમ, ભણતર ...
માર્ગ દ્વારા, મારા માટે કામ કરવા માટે મને પહેલેથી જ psd મોડ્યુલ મળી ગયું છે. સમસ્યા એ હતી કે તે શરૂઆતમાં કર્નલ વિધેય પર આધારીત છે જે પેચ-ઓ-મેટિકની સાથે અવમૂલ્યન કરાઈ હતી, તેથી તે મૂળભૂત રીતે નેટફિલ્ટરના બિલ્ટ-ઇન મોડ્યુલોથી દૂર કરવામાં આવી હતી. તેથી હવે ડેબિયનમાં પીએસડી એક્સ્ટેંશનનો ઉપયોગ કરવા માટે, પ્રથમ તમારે આ કરવું પડશે:
aptitude -RvW install iptables-dev xtables-addons-{common,source} module-assistant
module-assistant auto-install xtables-addons-source
તે પછી સૂચનો અનુસાર, સામાન્ય રીતે તેનો ઉપયોગ કરી શકાય છે:
man xtables-addonsહુગો, તમે psd સહિત આ પોસ્ટની સ્ક્રિપ્ટ (જે સારી છે) ને સુધારવા માટે તમારા સૂચનો સાથે iptables.sh કેમ પ્રકાશિત કરતા નથી?
ગ્રાસિઅસ
@ હ્યુગો તરફથી ઉત્તમ લેખ, ઉત્તમ iptables અને ઉત્તમ સમજૂતી. હું વધુને વધુ ખાતરી કરું છું કે મારે હજી ઘણું શીખવાનું બાકી છે.
તે તમે એકલા નથી, ઓછામાં ઓછું હું ... હું એક મિલિયન ગુમાવી રહ્યો છું ... 😀
બધાને નમસ્તે, અને યોગદાન બદલ આભાર, પણ સત્ય એ છે કે આપણે ભયાવહ છીએ, હવે શું કરવું તે અમે નથી જાણતા, અને અમે તમને આ iptables માટે આવ્યાં છે જે આપણે જાણીએ છીએ કે તમે સિસ્ટમોના નિષ્ણાત છો.
હું કાઉન્ટર હડતાલ સ્ત્રોત સ્પેનના સમુદાયનો નેતા છું અને અમે થોડા લોકોમાંથી એક છીએ જે હજી માંડ માંડ standingભા છે, અમને મશીન પર સતત હુમલાઓ મળી રહ્યા છે અને સમય-સમય પર અન્ય હુમલાઓ થઈ રહ્યા છે, સતત થોડું દૂર કરે છે પરંતુ લેઝ્સ સર્વર થોડો પરંતુ એક જે સમયનો છે તે વધુ નુકસાન કરે છે. અમારું મશીન 6.2 સેન્ટો પર માઉન્ટ થયેલ છે
અને અમારી પાસે સર્વરોને નિયંત્રિત કરવા માટે tcadmin છે. તમે અમને એક રૂપરેખાંકન બનાવી શકો છો જે આ પ્રકારના હુમલાને થોડોક રોકે પણ, તે છે કે આપણે પહેલેથી જ ભયાવહ છીએ,
અને કોને તરફ વળવું તે આપણે જાણતા નથી, આપણે જાણીએ છીએ કે બે બોટનેટ છે, એક હોમમેઇડ અને બીજો સમય અને બળ માટે ચૂકવણી કરે છે. અમે આ રીતે લગભગ એક વર્ષથી આ પ્રકારના ક્રૂર હુમલા સહન કરી રહ્યા છીએ, જો તમે અમારી સહાય કરી શકો તો અમે સનાતન આભારી હોઈશું કારણ કે તે હવે બિનસલાહભર્યું છે, હું હૂબી જેવા સર્વરોને ગોઠવવાનું પસંદ કરું છું, અને હું બાળક નથી કે હું તમને ખાતરી આપું છું પરંતુ આ મારા માટે ઘણું બધું છે. જો તમે મારો ts3 વાત કરવા માંગતા હો અથવા કોઈ પણ વસ્તુ મને ગમશે જો તમે અમારી સહાય કરી શકો તો અમે અહીં પરિણામો અને ઘણા લોકોના સારા માટે ઉકેલી ગયેલા બધા પોસ્ટ્સ પોસ્ટ કરીશું, તે વર્ષનો સૌથી વધુ મુલાકાત લેવાયેલો બ્લોગ હશે જે હું તમને ખાતરી આપું છું કારણ કે તે આ હુમલાઓને કેવી રીતે હેરાન કરે છે તે આશ્ચર્યજનક છે ddos. અમે તેને જાતે જ ગોઠવવાની કોશિશ કરી છે અને મશીન પરનો પ્રવેશ અવરોધિત કર્યો છે, તેથી આપણે તેને બાયોસથી ફોર્મેટ કરવું પડ્યું તેથી કલ્પના કરીએ કે આપણે કેવી રીતે છીએ.
હું હાર્દિક શુભેચ્છા પાઠવું છું. અને ગુમ થયેલ બ્લોગ માટે મારી અભિનંદન, ઘણા લોકો પાસે એક છે જે આ સાથે અપડેટ કરવામાં આવ્યું હતું. -મગ્યુએલ એન્જલ-
હેલો તમે કેવી રીતે છો 🙂
Escríbeme a mi email, te ayudamos con mucho gusto 😀 -» kzkggaara[@]desdelinux[.]નેટ
નમસ્તે મિત્રો, હમણાં સુધી કે હું કામ કરું છું, આ સ્ક્રિપ્ટ લો, માર્ગ દ્વારા ખૂબ સારું ... ફક્ત એક શંકા: શું «તાજેતરનું« મોડ્યુલ પ્રભાવ ઘટાડતું નથી?
શુભેચ્છાઓ - આભાર / તમને કોણ ગમે છે?
મારા મિત્ર, ઉત્તમ ફાળો, હું તમને ટ્યુટોરીયલ વિડિઓના સંદર્ભમાં મૂકીશ, જે આપણે કોસ્ટા રિકાથી આલિંગન કરી રહ્યા છીએ.
હેલો,
બહુવિધ બંદરો પર સ્ક્રિપ્ટનો ઉપયોગ કરી શકતા નથી?
મારી પાસે એક ગેમ સર્વર છે અને મને વેબ અને ગેમ સર્વર બંદરો બંને પર હુમલો આવે છે.
આભાર.