DDoS iyo weerarada kale vs iptables (Anti-DDoS amniga ee iptables)

Koratsuki

Daqiiqado 4

Ka fogow weerar DDoS con Iptables Waxay leedahay siyaabo badan oo loo sameeyo, cabirka baakadka, xadka isku xirnaanta, iwm. Halkan waxaan ku arki doonaa sida, qaab fudud, dareen leh oo si fiican loo sharaxay aan ku gaari doonno ujeedada, iyo sidoo kale joojinta weerarada kale ee dhibka leh ee ku saabsan adeegeena.

# Iptables

IPT="/sbin/iptables"
ETH="eth0"

#Todo el tráfico syn
$IPT -P INPUT DROP
$IPT -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
$IPT -A INPUT -p tcp ! --syn -j REJECT --reject-with tcp-reset
$IPT -A INPUT -m state --state INVALID -j DROP
$IPT -P OUTPUT DROP
$IPT -A OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
$IPT -A OUTPUT -p tcp ! --syn -j REJECT --reject-with tcp-reset
$IPT -A OUTPUT -m state --state INVALID -j DROP
$IPT -P FORWARD DROP
$IPT -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
$IPT -A FORWARD -p tcp ! --syn -j REJECT --reject-with tcp-reset
$IPT -A FORWARD -m state --state INVALID -j DROP
$IPT -A INPUT -i lo -j ACCEPT
$IPT -A OUTPUT -o lo -j ACCEPT
$IPT -A FORWARD -i lo -o lo -j ACCEPT

#Cuando sube la carga
$IPT -A INPUT -p tcp --syn -j REJECT --reject-with icmp-port-unreachable

#La que mejor va
$IPT -N syn-flood
$IPT -A syn-flood -m limit --limit 100/second --limit-burst 150 -j RETURN
$IPT -A syn-flood -j LOG --log-prefix "SYN flood: "
$IPT -A syn-flood -j DROP

#Igual que el de arriba pero muy raw
$IPT -N syn-flood
$IPT -A INPUT -i eth0:2 -p tcp --syn -j syn-flood
$IPT -A syn-flood -m limit --limit 1/s --limit-burst 4 -j RETURN
$IPT -A syn-flood -j DROP
$IPT -A INPUT -p tcp -m tcp --tcp-flags SYN,RST,ACK SYN -m limit --limit 1/sec -j ACCEPT
$IPT -A INPUT -p tcp -m tcp --tcp-flags FIN,SYN,RST,ACK RST -m limit --limit 1/sec -j ACCEPT

#Descartar paquetes mal formados
$IPT -N PKT_FAKE
$IPT -A PKT_FAKE -m state --state INVALID -j DROP
$IPT -A PKT_FAKE -p tcp --dport 80 --tcp-flags ALL ACK,RST,SYN,FIN -j DROP
$IPT -A PKT_FAKE -p tcp --dport 80 --tcp-flags SYN,FIN SYN,FIN -j DROP
$IPT -A PKT_FAKE -p tcp --dport 80 --tcp-flags SYN,RST SYN,RST -j DROP
$IPT -A PKT_FAKE -p tcp --dport 80 ! --syn -m state --state NEW -j DROP
$IPT -A PKT_FAKE -f -j DROP
$IPT -A PKT_FAKE -j RETURN

#Syn-flood
$IPT -N syn-flood
$IPT -A INPUT -i eth+ -p tcp --tcp-flags SYN,ACK,FIN,RST RST -j syn-flood
$IPT -A FORWARD -i eth+ -p tcp --tcp-flags SYN,ACK,FIN,RST RST -j syn-flood
$IPT -A syn-flood -m limit --limit 4/s --limit-burst 16 -j RETURN
$IPT -A syn-flood -m limit --limit 75/s --limit-burst 100 -j RETURN -A syn-flood -j LOG --log-prefix "SYN FLOOD " --log-tcp-sequence --log-tcp-options --log-ip-options -m limit --limit 1/second
$IPT -A syn-flood -j DROP

#Requiere módulo "recent"
modprobe ipt_recent
$IPT -A INPUT -p tcp --dport 80 -m state --state NEW -m recent --set
$IPT -A INPUT -p tcp --dport 80 -m state --state NEW -m recent --update --seconds 10 --hitcount 10 -j DROP

# explicación:
# Se añade cada ip que se conecte a la tabla de recent
# Por por cada ip en la tabla de recent si hace mas de x hits en x segundos, se dropea.
$IPT -I INPUT -p tcp --syn -m recent --set
$IPT -I INPUT -p tcp --syn -m recent --update --seconds 10 --hitcount 30 -j DROP

#UDP Flood
$IPT -A OUTPUT -p udp -m state --state NEW -j ACCEPT
$IPT -A OUTPUT -p udp -m limit --limit 100/s -j ACCEPT
$IPT -A OUTPUT -p udp -j DROP

Waxay qabato waa tirinta tirada xirmooyinka SYN (Xiriirinta TCP ayaa bilaabmaya) cinwaan kasta oo IP ah 10-kii ilbiriqsi ee ugu dambeeyay. Hadduu gaadho 30, baakaddaas wuu tuurayaa si khadku u dhismi waayo (TCP waxay isku dayeysaa dhowr jeer, markay hoos uga dhacdo xadka la dejin karo).

#Evitando Layer7 DoS limitando a 80 la máxima cantidad de conexiones
$IPT -A INPUT -p tcp --dport 80 -m hashlimit --hashlimit-upto 50/min --hashlimit-burst 80 --hashlimit-mode srcip --hashlimit-name http -j ACCEPT
$IPT -A INPUT -p tcp --dport 80 -j DROP

#Permitir el ping, pero a 1 paquete por segundo, para evitar un ataque ICMP Flood
$IPT -A INPUT -p icmp -m state --state NEW --icmp-type echo-request -m limit --limit 1/s --limit-burst 1 -j ACCEPT
$IPT -A INPUT -p icmp -j DROP

#Evitando que escaneen la máquina
$IPT -A INPUT -i $ETH -p tcp -m tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG NONE –j DROP
$IPT -A INPUT -i $ETH -p tcp -m tcp --tcp-flags SYN,FIN SYN,FIN –j DROP
$IPT -A INPUT -i $ETH -p tcp -m tcp --tcp-flags SYN,RST SYN,RST –j DROP
$IPT -A INPUT -i $ETH -p tcp -m tcp --tcp-flags FIN,RST FIN,RST –j DROP
$IPT -A INPUT -i $ETH -p tcp -m tcp --tcp-flags ACK,FIN FIN –j DROP
$IPT -A INPUT -i $ETH -p tcp -m tcp --tcp-flags ACK,URG URG –j DROP

Waa tan qoraalka ku dheggan: DhajiDesdeLinux.net (Script anterior)

Tixraacyada:


Ka tag faalladaada

cinwaanka email aan la daabacin doonaa. Beeraha loo baahan yahay waxaa lagu calaamadeeyay la *

*

*

  1. Masuul ka ah xogta: Miguel Ángel Gatón
  2. Ujeedada xogta: Xakamaynta SPAM, maaraynta faallooyinka.
  3. Sharci: Oggolaanshahaaga
  4. Isgaarsiinta xogta: Xogta looma gudbin doono dhinacyada saddexaad marka laga reebo waajibaadka sharciga ah.
  5. Kaydinta xogta: Macluumaadka ay martigelisay Shabakadaha Occentus (EU)
  6. Xuquuqda: Waqti kasta oo aad xadidi karto, soo ceshan karto oo tirtiri karto macluumaadkaaga.

  1.   KZKG ^ Gaara dijo
    samee 12 sano

    Waana tan sababta aan u dhigo cashar kahor weerarada DDoS 😉
    Si aad u dhigto / u sharaxdo sababta ama dhibaatada (casharkii hore), sidoo kalena ku siinaya xalka (casharkaan) 🙂

    Jawaab KZKG ^ Gaara
    1.    diazepam dijo
      samee 12 sano

      kaamil.

      Ku jawaab diazepan
  2.   koratsuki dijo
    samee 12 sano

    Nacnaca carruurta ...

    Jawaab ku sii Koratsuki
  3.   Hugo dijo
    samee 12 sano

    Maqaal wanaagsan.

    Labadaydoodii meelood:

    Marka la eego baakadaha UDP, ma jiro calan SYN maxaa yeelay waa maamuus aan lahayn maamul dawladeed. Si kastaba ha noqotee, si kadis ah, dowladaha CUSUB iyo DHISMAHA ayaa jira maxaa yeelay iptables gudaha ayaa xambaarsan miisas ujeedadan.

    Dhinaca kale, feker ahaanteyda waxaa fiican in la isticmaalo meel lagu QAADO halkii laga DIIDI lahaa, laba arrimood awgood: marka hore, diidmada mid ayaa macluumaad siineysa weeraryahan suurtagal ah, sidoo kale kombuyuutarku wuxuu adeegsanayaa qeyb ka mid ah isku xirkiisa inuu diro ogeysiis kooxda weerarka ah.

    Waxyaabo kale ayaa ah marka laga hadlayo borotokoolka ICMP (iyo guud ahaan) inay ku habboon tahay in la xakameeyo codsiyada iyo jawaabaha labadaba, maxaa yeelay waxaan u maleyneynaa inaan mar uun xiiseyneyno nafteenna, oo aan karti u siineyno shaqadan, qof ayaa isticmaali kara a botnet iyo been abuur ka Soo xigashada cinwaanka isha, ku samee ping aan dhammaad lahayn qaar badan oo ka mid ah kombiyuutarada waxyeelleeyey, jawaabihiisuna waxay aadi doonaan adeegeena, wayna burburayaan haddii aan xaddid lagu soo rogin.

    Badanaa waxaan u oggolaadaa noocyada ICMP 0,3,8,11 iyo 12 oo leh xaddiga gelinta ee hal sekankii iyo dilaac laba ama afar ah ugu badnaan, wax walbana wixii kale ayaa loo daayaa.

    Xaqiiqdii, marka laga reebo borotokoolka TCP ee sida ugu wanaagsan loo xakamayn karo, kuwa kale oo dhan waa in lagu ilaaliyaa cabir ka hortag ah DDoS iyadoo loo adeegsanayo nooc dhowaan dhacay. Tan ku saabsan, xiisaha, qoraaga qaybtani waxay jeceshahay inay cusbooneysiiso marka hore ka dibna setka.

    Iptables waa runti aad u dabacsan oo awood badan, illaa iyo hadda waxa kaliya ee aan soo jeediyay in la sameeyo walina aanan ku guuleysan (in kasta oo aan ku dhow ahay in aan gaaro), waa in loo suurtogeliyo moduleka psd in laga fogaado dekedaha, laakiin xitaa wax kasta oo aan ka bartay tan qalab, Uma maleynayo inaan xitaa dusha ka xoqay weli. 😉

    Sikastaba, aduunkan markasta waa inaad waxbarto.

    Ku jawaab Hugo
  4.   koratsuki dijo
    samee 12 sano

    Dhibco wanaagsan Hugo, oo ku jira faylka qaamuuskeenna: D, sidii had iyo jeer, barashada ...

    Jawaab ku sii Koratsuki
    1.    Hugo dijo
      samee 12 sano

      By the way, waxaan horey uhelay moduleka psd inuu aniga iishaqeeyo. Dhibaatadu waxay ahayd in markii hore ay ku tiirsaneyd shaqeynta kernel ee hoos u dhacday oo ay weheliso patch-o-matic, sidaa darteed waxaa looga saaray modules-ka lagu dhisay netfilter ahaan. Marka hadda Debian si aad u isticmaasho kordhinta psd, marka hore waa inaad tan sameysaa:


      aptitude -RvW install iptables-dev xtables-addons-{common,source} module-assistant
      module-assistant auto-install xtables-addons-source

      Kadib waxaa loo isticmaali karaa si caadi ah, sida ku cad tilmaamaha:

      man xtables-addons

      Ku jawaab Hugo
      1.    ka fog dijo
        samee 11 sano

        Hugo, maxaad u daabici weyday iptables.sh talooyinkaaga si aad u hagaajiso qoraalka qoraalkan (oo wanaagsan) oo ay ku jiraan psd

        Gracias

        Jawaab alej
  5.   nelson dijo
    samee 12 sano

    Maqaal wanaagsan, iptables aad u fiican iyo sharaxaad aad u fiican @hugo. Waxaan aad iyo aad ugu sii qanacsanahay inaan weli haysto waxyaabo badan oo aan barto.

    Ku jawaab nelson
  6.   koratsuki dijo
    samee 12 sano

    Adiga kaligaa maahan, uguyaraan aniga ... waxaa iga maqan malyan ... 😀

    Jawaab ku sii Koratsuki
  7.   Miguel Angel dijo
    samee 12 sano

    Waad salaaman tihiin dhammaantiin, waadna ku mahadsan tihiin wax ku biirinta, laakiin runtu waxay tahay inaan rajo beel nahay, ma naqaanno waxa aan hadda yeelno, oo waxaannu idiinku nimid arrimo la taaban karo oo aan ognahay inaad khabiir ku tihiin nidaamyada.
    Anigu waxaan ahay hogaamiyaha jaaliyada Spain ee ilo shaqo joojinta waxaanan ka mid nahay kuwa yar oo wali si dhib yar u taagan, waxaan heleynaa weeraro joogto ah oo lagu qaado mashiinka iyo weerarada kale xilliyada qaar, joogtayntu wax yar ayey ka saartaa laakiin waxay ku xareysaa serverka waxyar laakiin kan waqtiga ku jiraa waxyeello intaas ka badan ayuu keenayaa. Mashiinkayagu wuxuu kuxiran yahay 6.2 centos
    waxaanan leenahay tcadmin si aan u xakameyno serverka. Waxaad naga yeeli kartaa qaabeyn joojin kara noocan ah weerarka xitaa in yar, mar hore ayaan quusanahay,
    mana garanayno cidda aan u noqonno, waxaan ognahay inay jiraan laba botnets, mid guriga lagu sameeyo iyo mid kale oo lagu bixiyo waqti iyo xoog. Waxaan sidaa ugu adkaysanayeen weerarada naxariis darada ah ee noocan ah muddo ku dhow hal sano, haddii aad na caawin kartid waxaan ku noqon doonnaa weligiis mahadnaq maxaa yeelay waa wax aan la sii wadi karin hadda, waxaan jeclahay in aan u habeeyo adeegeyaasha sida hoobie, oo anigu ma ihi ilmo aan kuu xaqiijiyo laakiin tani waa wax badan aniga. Haddii aad rabto ts3daydu inay hadasho ama wax kasta waan jeclaan lahaa haddii aad na caawin karto sidaa darteed waxaan halkan ku soo dhajin doonnaa natiijooyinka iyo wax kasta oo lagu xalliyay wanaagga dad badan, waxay noqon doontaa barta ugu booqashada badan ee sannadka ee aan kuu xaqiijiyo maxaa yeelay waa wax la yaab leh sida ay uga careysiiso weerarradan. ddos. Tan iyo markii aan isku daynay inaan iskudayno oo aan xannibno helitaanka mashiinka, waa inaan ka qaabeynaa bios-ka bal qiyaas sida aan nahay.
    Waxaan u dirayaa salaan diiran. Anigana waxaan kuugu hanbalyaynayaa barta la waayey, dad badan ayaa leh mid lagu cusbooneysiiyay kan. -Miguel Angel-

    Jawaab Miguel Angel
    1.    KZKG ^ Gaara dijo
      samee 12 sano

      Waad salaaman tahay sidee tahay 🙂
      Escríbeme a mi email, te ayudamos con mucho gusto 😀 -» kzkggaara[@]desdelinux[.]net

      Jawaab KZKG ^ Gaara
  8.   Arthur Shelby dijo
    samee 11 sano

    Walaalayaal waad salaaman tihiin, illaa iyo hadda aan shaqeynayo, qaado qoraalkan, oo aad ugu fiican jidka ... kaliya hal shaki: Miyuusigga «dhowaa» miyuusan yareynin waxqabadka?

    Salaan - Mahadsanid / Kumaa ku jecel?

    Ku jawaab ArthurShelby
  9.   Jose tapia dijo
    samee 10 sano

    Wax ku darsiga wanaagsan ee saaxiibkay, waxaan kugu ridi doonaa tixraacyada fiidiyowga casharka ah ee aan kor u qaadaynno, oo ah habsiinta Costa Rica

    Jawaab Jose Tapia
  10.   Cristian Ivory Reinoso dijo
    samee 9 sano

    Hello,

    Ma isticmaali karaa qoraalka ku yaal dekedo badan?
    Waxaan hayaa server ciyaarta waxaanan ku weerarayaa labada websaydh iyo dekedaha ciyaarta ciyaarta.

    Thanks.

    Jawaab ku sii Cristian Marfil Reinoso