Dzivisa kurwisa DDoS game iptables Iyo ine nzira dzakawanda dzekuzviita, nehukuru hwepaketi, nemuganhu wekubatanidza, nezvimwe. Pano tichaona kuti, nenzira iri nyore, inonzwisisika uye yakanyatsotsanangurwa nzira yatichawana nayo chinangwa, pamwe nekumisa kumwe kurwiswa kunotsamwisa pamaseva edu.
# Iptables
IPT="/sbin/iptables"
ETH="eth0"
#Todo el tráfico syn
$IPT -P INPUT DROP
$IPT -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
$IPT -A INPUT -p tcp ! --syn -j REJECT --reject-with tcp-reset
$IPT -A INPUT -m state --state INVALID -j DROP
$IPT -P OUTPUT DROP
$IPT -A OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
$IPT -A OUTPUT -p tcp ! --syn -j REJECT --reject-with tcp-reset
$IPT -A OUTPUT -m state --state INVALID -j DROP
$IPT -P FORWARD DROP
$IPT -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
$IPT -A FORWARD -p tcp ! --syn -j REJECT --reject-with tcp-reset
$IPT -A FORWARD -m state --state INVALID -j DROP
$IPT -A INPUT -i lo -j ACCEPT
$IPT -A OUTPUT -o lo -j ACCEPT
$IPT -A FORWARD -i lo -o lo -j ACCEPT
#Cuando sube la carga
$IPT -A INPUT -p tcp --syn -j REJECT --reject-with icmp-port-unreachable
#La que mejor va
$IPT -N syn-flood
$IPT -A syn-flood -m limit --limit 100/second --limit-burst 150 -j RETURN
$IPT -A syn-flood -j LOG --log-prefix "SYN flood: "
$IPT -A syn-flood -j DROP
#Igual que el de arriba pero muy raw
$IPT -N syn-flood
$IPT -A INPUT -i eth0:2 -p tcp --syn -j syn-flood
$IPT -A syn-flood -m limit --limit 1/s --limit-burst 4 -j RETURN
$IPT -A syn-flood -j DROP
$IPT -A INPUT -p tcp -m tcp --tcp-flags SYN,RST,ACK SYN -m limit --limit 1/sec -j ACCEPT
$IPT -A INPUT -p tcp -m tcp --tcp-flags FIN,SYN,RST,ACK RST -m limit --limit 1/sec -j ACCEPT
#Descartar paquetes mal formados
$IPT -N PKT_FAKE
$IPT -A PKT_FAKE -m state --state INVALID -j DROP
$IPT -A PKT_FAKE -p tcp --dport 80 --tcp-flags ALL ACK,RST,SYN,FIN -j DROP
$IPT -A PKT_FAKE -p tcp --dport 80 --tcp-flags SYN,FIN SYN,FIN -j DROP
$IPT -A PKT_FAKE -p tcp --dport 80 --tcp-flags SYN,RST SYN,RST -j DROP
$IPT -A PKT_FAKE -p tcp --dport 80 ! --syn -m state --state NEW -j DROP
$IPT -A PKT_FAKE -f -j DROP
$IPT -A PKT_FAKE -j RETURN
#Syn-flood
$IPT -N syn-flood
$IPT -A INPUT -i eth+ -p tcp --tcp-flags SYN,ACK,FIN,RST RST -j syn-flood
$IPT -A FORWARD -i eth+ -p tcp --tcp-flags SYN,ACK,FIN,RST RST -j syn-flood
$IPT -A syn-flood -m limit --limit 4/s --limit-burst 16 -j RETURN
$IPT -A syn-flood -m limit --limit 75/s --limit-burst 100 -j RETURN -A syn-flood -j LOG --log-prefix "SYN FLOOD " --log-tcp-sequence --log-tcp-options --log-ip-options -m limit --limit 1/second
$IPT -A syn-flood -j DROP
#Requiere módulo "recent"
modprobe ipt_recent
$IPT -A INPUT -p tcp --dport 80 -m state --state NEW -m recent --set
$IPT -A INPUT -p tcp --dport 80 -m state --state NEW -m recent --update --seconds 10 --hitcount 10 -j DROP
# explicación:
# Se añade cada ip que se conecte a la tabla de recent
# Por por cada ip en la tabla de recent si hace mas de x hits en x segundos, se dropea.
$IPT -I INPUT -p tcp --syn -m recent --set
$IPT -I INPUT -p tcp --syn -m recent --update --seconds 10 --hitcount 30 -j DROP
#UDP Flood
$IPT -A OUTPUT -p udp -m state --state NEW -j ACCEPT
$IPT -A OUTPUT -p udp -m limit --limit 100/s -j ACCEPT
$IPT -A OUTPUT -p udp -j DROP
Izvo zvazvinoita kuverenga huwandu hweSYN mapaketi (TCP yekubatanidza kutanga) kune yega yega kero ye IP mumasekondi gumi apfuura. Kana ikasvika makumi matatu, inorasa iyo packet kuitira kuti kubatana kusazogadzwa (TCP ichaedzazve kanoverengeka, painodonha pazasi pemuganhu iyo inogona kuiswa).
#Evitando Layer7 DoS limitando a 80 la máxima cantidad de conexiones
$IPT -A INPUT -p tcp --dport 80 -m hashlimit --hashlimit-upto 50/min --hashlimit-burst 80 --hashlimit-mode srcip --hashlimit-name http -j ACCEPT
$IPT -A INPUT -p tcp --dport 80 -j DROP
#Permitir el ping, pero a 1 paquete por segundo, para evitar un ataque ICMP Flood
$IPT -A INPUT -p icmp -m state --state NEW --icmp-type echo-request -m limit --limit 1/s --limit-burst 1 -j ACCEPT
$IPT -A INPUT -p icmp -j DROP
#Evitando que escaneen la máquina
$IPT -A INPUT -i $ETH -p tcp -m tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG NONE –j DROP
$IPT -A INPUT -i $ETH -p tcp -m tcp --tcp-flags SYN,FIN SYN,FIN –j DROP
$IPT -A INPUT -i $ETH -p tcp -m tcp --tcp-flags SYN,RST SYN,RST –j DROP
$IPT -A INPUT -i $ETH -p tcp -m tcp --tcp-flags FIN,RST FIN,RST –j DROP
$IPT -A INPUT -i $ETH -p tcp -m tcp --tcp-flags ACK,FIN FIN –j DROP
$IPT -A INPUT -i $ETH -p tcp -m tcp --tcp-flags ACK,URG URG –j DROP
Heino script mune yedu Namatira: Namatidza.DesdeLinux.net (Previous script)
Refer:
- Kuedza kumisa DDoS (ElHacker.net foramu)
- Nzira yekudzivirira kurwisa kweDDoS uye maitiro ekuzviwana pane chaiwo maseva? (ElHacker.net foramu)
- Chinyorwa chine mamiriro (MaliByte.net)
- Muenzaniso wakanaka kwazvo (LinuxGuruz.org)
- Kudzivirira DDoS kurwisa (LinuxSecurity.com)
- Kuomesa iyo TCP / IP Stack kudzivirira kurwiswa (SecurityFocus.com)
Uye ndokusaka ndakaisa dzidziso pamberi peDDoS kurwisa 😉
Kuisa / kutsanangura chikonzero kana dambudziko (dzidziso yapfuura), uye zvakare kukupa mhinduro (iyi dzidziso) 🙂
perfecto.
Candy yevana ...
Chinyorwa chakanaka.
Masendi angu maviri:
Panyaya yeUDP mapaketi, hapana SYN mureza nekuti iprotocol isina kutonga kwenyika. Nekudaro, zvinoshamisira, iyo ITSVA uye ESTABLISHED nyika dziripo nekuti iptables mukati anotakura matafura echinangwa ichi.
Kune rimwe divi, mumaonero angu zvirinani kushandisa DROP kuenda panzvimbo ye REJECT, nekuda kwezvikonzero zviviri: chekutanga, neanoramba mumwe arikupa ruzivo kune anogona kurwisa, uye zvakare komputa iri kushandisa chikamu chekubatanidza kwayo kutumira chiziviso kuchikwata chiri kurwisa.
Chimwe chinhu ndechekuti mune iyo ICMP protocol (uye zvakajairika) zviri nyore kudzora zvese zvikumbiro nemhinduro, nekuti isu pamwe tinofarira pane imwe nguva kuzvibaya pachedu, uye nekugonesa kuita uku, mumwe munhu anogona kushandisa botnet uye kunyepera kero sosi kuti ping mazhinji eaya maPC akanganisirwa asina magumo, uye mhinduro dzaizoenda kuseva yedu, ichidonha kana pasina miganho yakaiswa.
Ini ndinowanzo bvumidza ICMP mhando 0,3,8,11 uye 12 ine yekuisa muganho weimwe pasekondi uye kuputika kwemaviri kana mana ekupedzisira, uye zvimwe zvese zvasara kuDROP.
Chaizvoizvo, kunze kweprotocol yeTCP, iyo inogona kudzorwa zvirinani, mamwe ese anofanira kuchengetedzwa neiyo anti-DDoS chiyero nenzira yemhando ichangoburwa. Nezve izvi, sekuda kuziva, munyori weiyi module anofarira kuisa iyo yekuvandudza pekutanga uyezve iyo seti.
Iptable inonyatso kuchinjika uye ine simba, kusvika parizvino chinhu chega chandaronga kuti ndiite uye ndisati ndachiwana (kunyangwe ndiri padhuze kuzviita), kugonesa iyo psd module kudzivirira mapareti, asi kunyangwe nezvose Ini ndadzidza nezve chishandiso ichi, ndinofunga handisati ndatombokwenya pamusoro pacho izvozvi. 😉
Zvisinei, munyika ino unogara uchifanira kudzidza.
Akanaka mapoinzi Hugo, pane faira regirosari yedu: D, senguva dzose, kudzidza ...
Nenzira, ini ndatova neiyo psd module yekundishandira. Dambudziko raive rekuti pakutanga raitsamira pane kernel mashandiro ayo akadzikiswa pamwe chete ne patch-o-matic, saka yakabviswa kubva mune zvakavakirwa-mukati ma module mune netfilter nekutadza. Saka ikozvino muDebian kushandisa iyo psd yekuwedzera, kutanga iwe unofanirwa kuita izvi:
aptitude -RvW install iptables-dev xtables-addons-{common,source} module-assistant
module-assistant auto-install xtables-addons-source
Iyo inogona ipapo kushandiswa zvakajairwa, zvinoenderana nemirairo.
man xtables-addonsHugo, wadii kushambadzira iptables.sh nemazano ako ekuvandudza script yenyaya ino (iri yakanaka) inosanganisira psd
gracias
Yakanaka chinyorwa, yakanakisa iptables uye yakanakisa tsananguro kubva @hugo. Ndiri kuramba ndichiwedzera kugutsikana kuti ndichine zvakawanda zvekudzidza.
Hausi iwe wega, zvirinani ini ... ndiri kushaya miriyoni ... 😀
Mhoroi munhu wese, uye nekutenda nemupiro, asi chokwadi ndechekuti isu takapererwa, hatizive zvekuita izvozvi, uye tinouya kwamuri kune izvi zve iptables zvatinoziva kuti muri nyanzvi mumasisitimu.
Ini ndiri mutungamiri wenzanga muSpain yeanopikisa stereki sosi uye isu tiri vamwe vevashoma vachiri vakamira zvishoma, tiri kugamuchira kugara tichirwiswa pamushini uye kumwe kurwiswa panguva dzenguva, izvo zvinogara zvichibvisa zvishoma asi zvinoregedza sevha zvishoma asi iyo iri yenguva inokuvadza zvakanyanya. Muchina wedu wakaiswa pane 6.2 centos
uye isu tine tcadmin yekudzora maseva. Iwe unogona kutiitira gadziriso inogona kumisa rudzi urwu rwekurwisa kunyangwe zvishoma, ndezvekuti isu tatova neshungu
uye isu hatizive wekutendeukira kwaari, tinoziva kuti kune mabhodhoro maviri, rimwe rakagadzirwa uye rimwe rakabhadharwa nguva nesimba. Isu tanga tichitsungirira kurwiswa kwoutsinye kwerudzi urwu kwerinenge gore, kana iwe uchikwanisa kutibatsira isu tichave nekusingaperi nekutenda nekuti haina kugadzikana izvozvi, ini ndoda kumisikidza maseva sehoobie, uye ini handisi mwana wandinokuvimbisa asi izvi zvakawanda kwandiri. Kana iwe uchida yangu ts3 kutaura kana chero chinhu chandingade kana iwe ukakwanisa kutibatsira saka isu tinotumira pano mhedzisiro uye zvese zvakagadziriswa kuitira zvakanaka kwevanhu vazhinji, ingave iri yakashanyirwa blog yegore iyo ini ndinokuvimbisa iwe nekuti hazvishamise kuti zvinoshungurudza sei kurwiswa uku ddos. Sezvo isu takaedza kumisikidza pedu tega uye tikadzivira kupinda mumushini, taifanira kuimisa kubva kuma bios saka fungidzira kuti tiri sei.
Ini ndinotumira kwaziso yakanaka. Uye makorokoto angu eblog rakashaikwa, vanhu vazhinji vane imwe yakagadziridzwa neiyi. -Miguel Ngirozi-
Mhoroi makadii 🙂
Nyora kune email yangu, isu tichafara kukubatsira 😀 -» kzkggaara[@]desdelinux[.] mambure
Mhoroi vakomana, kusvikira zvino pandiri kushanda, tora chinyorwa ichi, chakanyanya kunaka nenzira ... kungoita kusahadzika kumwe chete: Ko iyo «yazvino» module haina kudzikisira kuita?
Kwaziso - Maita basa / Ndiani akafanana newe?
Yakanakisa mupiro shamwari yangu, ini ndinokuisa iwe mune zvinongedzo zveyedzidziso vhidhiyo yatiri kukwira, hug kubva kuCosta Rica
Sawa,
Haugone kushandisa script pane akawanda madoko?
Ndine sevha yemutambo uye ini ndinowana kurwiswa pane ese webhu uye nemaseva server madoko.
Thanks.