DDoS او د نورو بریدونو په وړاندې iptables (په iptables کې د DDoS ضد امنیت)

د برید مخنیوی وکړئ انټرنیټه سره iptables دا د کولو لپاره ډیری لارې لري ، د پاکټ اندازه ، د ارتباط حد پورې ، او داسې نور. دلته به موږ وګورو چې څنګه ، په اسانۍ ، هوښیاري او ښه تشریح شوې لاره کې به موږ دا هدف ترلاسه کړو ، او همدا رنګه زموږ په سرورونو د نورو ځورونکي بریدونو مخه ونیسو.

# Iptables

IPT="/sbin/iptables"
ETH="eth0"

#Todo el tráfico syn
$IPT -P INPUT DROP
$IPT -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
$IPT -A INPUT -p tcp ! --syn -j REJECT --reject-with tcp-reset
$IPT -A INPUT -m state --state INVALID -j DROP
$IPT -P OUTPUT DROP
$IPT -A OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
$IPT -A OUTPUT -p tcp ! --syn -j REJECT --reject-with tcp-reset
$IPT -A OUTPUT -m state --state INVALID -j DROP
$IPT -P FORWARD DROP
$IPT -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
$IPT -A FORWARD -p tcp ! --syn -j REJECT --reject-with tcp-reset
$IPT -A FORWARD -m state --state INVALID -j DROP
$IPT -A INPUT -i lo -j ACCEPT
$IPT -A OUTPUT -o lo -j ACCEPT
$IPT -A FORWARD -i lo -o lo -j ACCEPT

#Cuando sube la carga
$IPT -A INPUT -p tcp --syn -j REJECT --reject-with icmp-port-unreachable

#La que mejor va
$IPT -N syn-flood
$IPT -A syn-flood -m limit --limit 100/second --limit-burst 150 -j RETURN
$IPT -A syn-flood -j LOG --log-prefix "SYN flood: "
$IPT -A syn-flood -j DROP

#Igual que el de arriba pero muy raw
$IPT -N syn-flood
$IPT -A INPUT -i eth0:2 -p tcp --syn -j syn-flood
$IPT -A syn-flood -m limit --limit 1/s --limit-burst 4 -j RETURN
$IPT -A syn-flood -j DROP
$IPT -A INPUT -p tcp -m tcp --tcp-flags SYN,RST,ACK SYN -m limit --limit 1/sec -j ACCEPT
$IPT -A INPUT -p tcp -m tcp --tcp-flags FIN,SYN,RST,ACK RST -m limit --limit 1/sec -j ACCEPT

#Descartar paquetes mal formados
$IPT -N PKT_FAKE
$IPT -A PKT_FAKE -m state --state INVALID -j DROP
$IPT -A PKT_FAKE -p tcp --dport 80 --tcp-flags ALL ACK,RST,SYN,FIN -j DROP
$IPT -A PKT_FAKE -p tcp --dport 80 --tcp-flags SYN,FIN SYN,FIN -j DROP
$IPT -A PKT_FAKE -p tcp --dport 80 --tcp-flags SYN,RST SYN,RST -j DROP
$IPT -A PKT_FAKE -p tcp --dport 80 ! --syn -m state --state NEW -j DROP
$IPT -A PKT_FAKE -f -j DROP
$IPT -A PKT_FAKE -j RETURN

#Syn-flood
$IPT -N syn-flood
$IPT -A INPUT -i eth+ -p tcp --tcp-flags SYN,ACK,FIN,RST RST -j syn-flood
$IPT -A FORWARD -i eth+ -p tcp --tcp-flags SYN,ACK,FIN,RST RST -j syn-flood
$IPT -A syn-flood -m limit --limit 4/s --limit-burst 16 -j RETURN
$IPT -A syn-flood -m limit --limit 75/s --limit-burst 100 -j RETURN -A syn-flood -j LOG --log-prefix "SYN FLOOD " --log-tcp-sequence --log-tcp-options --log-ip-options -m limit --limit 1/second
$IPT -A syn-flood -j DROP

#Requiere módulo "recent"
modprobe ipt_recent
$IPT -A INPUT -p tcp --dport 80 -m state --state NEW -m recent --set
$IPT -A INPUT -p tcp --dport 80 -m state --state NEW -m recent --update --seconds 10 --hitcount 10 -j DROP

# explicación:
# Se añade cada ip que se conecte a la tabla de recent
# Por por cada ip en la tabla de recent si hace mas de x hits en x segundos, se dropea.
$IPT -I INPUT -p tcp --syn -m recent --set
$IPT -I INPUT -p tcp --syn -m recent --update --seconds 10 --hitcount 30 -j DROP

#UDP Flood
$IPT -A OUTPUT -p udp -m state --state NEW -j ACCEPT
$IPT -A OUTPUT -p udp -m limit --limit 100/s -j ACCEPT
$IPT -A OUTPUT -p udp -j DROP

هغه څه چې دا یې کوي د SYN پاکټونو شمیرل دي (د TCP پیوستون پیل) په وروستي 10 ثانیو کې د هر IP پتې لپاره. که دا 30 ته ورسیږي ، نو دا پاکټ خارجوي نو پیوستون به رامینځته نشي (TCP به څو ځله هڅه وکړي ، کله چې دا له حد څخه ښکته راشي دا ټاکل کیدی شي).

#Evitando Layer7 DoS limitando a 80 la máxima cantidad de conexiones
$IPT -A INPUT -p tcp --dport 80 -m hashlimit --hashlimit-upto 50/min --hashlimit-burst 80 --hashlimit-mode srcip --hashlimit-name http -j ACCEPT
$IPT -A INPUT -p tcp --dport 80 -j DROP

#Permitir el ping, pero a 1 paquete por segundo, para evitar un ataque ICMP Flood
$IPT -A INPUT -p icmp -m state --state NEW --icmp-type echo-request -m limit --limit 1/s --limit-burst 1 -j ACCEPT
$IPT -A INPUT -p icmp -j DROP

#Evitando que escaneen la máquina
$IPT -A INPUT -i $ETH -p tcp -m tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG NONE –j DROP
$IPT -A INPUT -i $ETH -p tcp -m tcp --tcp-flags SYN,FIN SYN,FIN –j DROP
$IPT -A INPUT -i $ETH -p tcp -m tcp --tcp-flags SYN,RST SYN,RST –j DROP
$IPT -A INPUT -i $ETH -p tcp -m tcp --tcp-flags FIN,RST FIN,RST –j DROP
$IPT -A INPUT -i $ETH -p tcp -m tcp --tcp-flags ACK,FIN FIN –j DROP
$IPT -A INPUT -i $ETH -p tcp -m tcp --tcp-flags ACK,URG URG –j DROP

دلته زموږ په پاست کې سکریپټ دی: پسټ.فرم لاینټس.net (پخوانی سکریپټ)

سرچینې:

 


د مقالې مینځپانګه زموږ د اصولو سره سمون لري ایډیټیک اخلاق. د غلطۍ راپور ورکولو لپاره کلیک وکړئ دلته.

14 نظرونه ، خپل پریږدئ

خپله نظر پرېږدئ

ستاسو د بریښنا لیک پته به خپره نه شي. اړین برخو سره په نښه شوي دي *

*

*

  1. د معلوماتو لپاره مسؤل: میګیوانجل ګاتین
  2. د معلوماتو هدف: د سپیم کنټرول ، د نظر مدیریت.
  3. قانونیت: ستاسو رضایت
  4. د معلوماتو راټولول: معلومات به د قانوني مکلفیت پرته دریمې ډلې ته نه لیږدول کیږي.
  5. د معلوماتو ذخیره: ډیټابیس د Occentus شبکې (EU) لخوا کوربه شوی
  6. حقونه: په هر وخت کې تاسو کولی شئ خپل معلومات محدود ، له سره تنظیم او حذف کړئ.

  1.   KZKG ^ ګارا dijo

    او له همدې امله زه د DDoS بریدونو دمخه یو ټیوټوریل ایښودم 😉
    د دلیل یا ستونزې مینځلو / تشریح کولو لپاره (پخوانۍ ښوونې) ، او تاسو ته د حل لاره هم درکوي (دا ټیوټوریل) 🙂

    1.    ډیازیپان dijo

      پوره.

  2.   کوراتسوکي dijo

    د ماشومانو شمعې ...

  3.   هوګو dijo

    ښه مقاله.

    زما دوه سینټ:

    د UDP پاکټونو په حالت کې ، د SYN بیرغ شتون نلري ځکه چې دا د دولت کنټرول پرته پروتوکول دی. په هرصورت ، په تناقض کې ، د نوي او انسټاليشید ایالتونه شتون لري ځکه چې iptables په داخلي توګه د دې هدف لپاره میزونه لري.

    له بل پلوه ، زما په اند دا غوره ده چې د دوه دلایلو له مخې د REJECT پرځای د DROP منزل وکاروئ: لومړی ، د رد سره یو څوک یو احتمالي برید کونکي ته معلومات ورکوي ، او همدارنګه کمپیوټر د لیږلو لپاره د دې ارتباط یوه برخه کاروي برید کونکي ټیم ته خبرداری.

    بله خبره دا ده چې د ICMP پروتوکول په حالت کې (او په عمومي ډول) دا مناسب دي چې دواړه غوښتنې او ځوابونه تنظیم کړئ ، ځکه چې موږ شاید د ځان د ping کولو لپاره په یو وخت کې علاقه لرو ، او د دې فعالیت وړولو سره ، یو څوک کولی شي بوټنیټ وکاروي او جعلي د دې ډیری جوړجاړي شوي کمپیوټرونو پای ته رسیدو لپاره سرچینې پته ، او ځوابونه به زموږ سرور ته لاړشي ، که چیرې محدودیتونه نه وي وضع شوي نو دا سقوط کوي.

    زه عموما د ICMP ډولونو ته 0,3,8,11،12،XNUMX،XNUMX او XNUMX ته اجازه درکوم چې په هر ثانیه کې د یوې آخذې حد سره او دوه یا څلور اعظمي اعظمي حد سره ، او نور هرڅه DROP ته پریښودل کیږي.

    په حقیقت کې ، د TCP پروتوکول پرته چې ښه تنظیم کیدی شي ، نور ټول باید د وروستي ډول میچ له لارې د DDoS ضد اقدام سره خوندي شي. پدې اړه ، د تجسس په توګه ، د دې ماډل لیکوال خوښوي چې لومړی تازه او بیا سیټ ځای په ځای کړي.

    Iptables واقعیا خورا انعطاف وړ او پیاوړی دی ، تر دې دمه یوازینی شی چې ما یې وړاندیز کړی دی او ما تراوسه دا لاسته نه دی رسولی (که څه هم زه دې ترلاسه کولو ته نږدې یم) ، د پورټسینز مخنیوي لپاره د PSd انډول وړ کول دي ، مګر حتی د هرڅه سره ما پدې اړه زده کړل. وسیله ، زه فکر کوم ما تر دې دمه سطح هم نه دی خراب کړی. 😉

    په هرصورت ، پدې نړۍ کې تاسو تل باید زده کړه وکړئ.

  4.   کوراتسوکي dijo

    ښه ټکي هیوګو ، زموږ د لینکونو لپاره په دوسیه کې: D ، د تل په څیر ، زده کړه ...

    1.    هوګو dijo

      د لارې په اوږدو کې ، ما دمخه زما لپاره کار کولو لپاره د PSd انډول ترلاسه کړی. ستونزه دا وه چې دا په پیل کې د کارنال فعالیت پورې اړه لري چې د پیچ-او-میټیک سره تخریب شوی و ، نو دا د ډیفالټ په واسطه په नेटفیلټر کې جوړ شوي انډولونو څخه لرې شوی. نو اوس په دیبیان کې د psd توسیع کارولو لپاره ، لومړی تاسو باید دا ترسره کړئ:


      aptitude -RvW install iptables-dev xtables-addons-{common,source} module-assistant
      module-assistant auto-install xtables-addons-source

      دا بیا د لارښوونو سره سم ، په نورمال ډول کارول کیدی شي:

      man xtables-addons

      1.    لرې dijo

        هوګو ، ولې تاسو د دې پوسټ سکریپټ ته وده ورکولو لپاره د خپلو وړاندیزونو سره iptables.sh نه خپروئ (کوم چې ښه دی) په شمول د psd

        Gracias

  5.   نیلسن dijo

    غوره مقاله ، غوره iptables او د @ هوګو څخه غوره توضیحات. هر ځل چې زه ډیر باوري یم چې زه لاهم د زده کړې لپاره ډیر څه لرم.

  6.   کوراتسوکي dijo

    دا تاسو یوازې نه یاست ، لږترلږه زه ... زه یو ملیون ورکوم ... 😀

  7.   میګویل فرشتې dijo

    ټولو ته سلام ، او د مرستې لپاره مننه ، مګر حقیقت دا دی چې موږ نا امید یو ، موږ نه پوهیږو چې اوس باید څه وکړو ، او موږ تاسو ته د دې اپیټایبونو لپاره راځو چې موږ پوهیږو چې تاسو په سیسټمونو کې ماهر یاست.
    زه په هسپانیه کې د برید ضد سرچینې یوې ټولنې مشر یم او موږ یو له هغه څو تنو څخه یو چې اوس هم لږ ولاړ دي ، موږ د ماشین څخه دوامداره بریدونه ترلاسه کوو او د وخت په تیرو وختونو کې نور بریدونه ، دوامداره لږ لرې کوي مګر سرور پریږدي یوڅه مګر هغه څوک چې وخت لري ډیر زیان کوي. زموږ ماشین په 6.2 سینټو کې نصب شوی
    او موږ د سرورونو کنټرول لپاره ټیکادیمین لرو. تاسو کولی شئ موږ ته تشکیلات چمتو کړئ چې کولی شي د دې ډول برید حتی یو څه مخه ونیسي ، دا دا چې موږ لا دمخه نا امید یو ،
    او موږ نه پوهیږو چې چاته مخ واړو ، موږ پوهیږو چې دوه بوټنیټونه شتون لري ، یو یې کور جوړ او بل یې د وخت او ځواک لپاره تادیه کړې. موږ پدې توګه نږدې یو کال راهیسې دا ډول وحشي بریدونه برداشت کوو ، که تاسو زموږ سره مرسته وکړئ موږ به د تل لپاره مننه وکړو ځکه چې دا اوس بې ثباته دی ، زه د هوبي په څیر سرورونو ترتیبولو سره مینه لرم ، او زه ماشوم نه یم چې تاسو ته ډاډ درکړم مګر دا زما لپاره ډیر څه دي. که تاسو غواړئ زما ts3 خبرې وکړئ یا زه تاسو سره مینه لرم ترڅو زموږ سره مرسته وکړو نو موږ به دلته پایلې او هرڅه چې د ډیری خلکو د خیر لپاره حل شوي وي دلته پوسټ کړو ، دا به د کال ترټولو لیدل شوی بلاګ وي چې زه یې درته ډاډ درکوم ځکه چې دا د باور وړ نده چې دا څنګه دا بریدونه ddos ​​وځوروي. له هغه ځایه چې موږ هڅه کړې چې دا پخپله تنظیم کړئ او ماشین ته لاسرسی بند کړی ، نو موږ باید دا د بایوس څخه ب formatه کړو نو تصور وکړئ چې موږ څنګه یو.
    زه د زړه له کومی سلامونه لیږم او د ورک شوي بلاګ لپاره زما مبارکي ، ډیری خلک داسې یو ومومي چې د دې یو سره تازه شوی و. -میګول فرشتہ-

    1.    KZKG ^ ګارا dijo

      سلام تاسو څنګه یاست 🙂
      ما ته زما بریښنالیک ته ولیکئ ، موږ به ستاسو سره په خوښۍ کې مرسته وکړو 😀 - z kzkggaara [@] desdelinux [.] شبکه

  8.   آرتر شیلبي dijo

    سلام ملګرو ، تر دې دمه چې زه کار کوم ، دا سکریپټ واخلئ ، د لارې په واسطه خورا ښه ... یوازې یو شک: ایا د "وروستي" ماډل فعالیت کم نه کوي؟

    سلامونه - مننه / څوک مو خوښوي؟

  9.   جوس ټاپیه dijo

    زما عالي ملګري عالي ونډه ، زه به تاسو ته د ټیټوریل ویډیو حوالې کې ورکړم چې موږ یې پورته کوو ، د کوسټا ریکا څخه یوه غېږه

  10.   کریسټین مارفیل رینسو dijo

    سلام،

    سکریپټ په ګortsو درشلونو نشي کارولی؟
    زه د لوبې سرور لرم او زه دواړه ویب او د لوبې سرور بندرونو ته بریدونه لرم.

    مننه.