Ddos. Защищаемся от мелких ботнетов.

В одной из моих заметок, я перечислял некоторые методы защиты от DDos. В этой заметке опишу минимальную настройку сервера, для защиты от мелких ботнетов.Первое что нам необходимо, это установленый и настроеный APF. Тут я уже описывал установку и настройку APF. Для выявления ботов будем использовать пакет (D)DoS-Deflate. Механизм его работы очень прост. Скрипт через определенные интервалы времени выполняет следующий код:

netstat -ntu | awk '{print $5}' | cut -d: -f1 | sort | uniq -c | sort -n

В результате работы скрипта вычисляется количесвто соединений к серверу с определенного IP адреса. Если количество соединений превышает допустимые в конфигурационном файле пределы, то ip адрес источника запросов передается в APF и там заносится в черный список на определенное время. То есть IP адрес банится, запросы с него перестают поступать.
Итак, устанавливаем и настраиваем DoS-Deflate.

cd /usr/local/src
wget http://www.inetbase.com/scripts/ddos/install.sh
chmod 0700 install.sh
./install.sh

Пакет устанваливается в каталог /usr/local/ddos. Открываем для редактирования конфигурационный файл ddos.conf

vi /usr/local/ddos/ddos.conf

Конфиг хорошо прокоментирован. Остановлюсь на одном параметре:
NO_OF_CONNECTIONS=150
Количество одновременных соединений. Тут нужно экспериментировать. Все зависит от вашего хостинга. Возможно есть такие сайты, которые совершенно нормально требуют 150 одновременных соединений с сервером. Лично я считаю что этот параметр необходимо уменьшить как минимум до 50.

Также было обнаружено, что на некоторых дистрибутивах Linux скрипт работает не так как нужно. Решение - замена в файле /usr/local/ddos/ddos.sh строки


netstat -ntu | awk '{print $5}' | cut -d: -f1 | sort | uniq -c | sort -n

на строку:
netstat -ntu | grep ffff | awk ‘{print $5}’ | cut -d: -f4 | sort | uniq -c | sort -nr

Поправляем (по необходимости) конфиг и ждем нападения :-)
Хочу пожелать только, поменьше атак на ваши хосты ))

Рейтинг@Mail.ru

Эхолоты. Распродажа: gps навигатор garmin - приобрести далее. Просто!
альбумин заказ молниеносно
Производим шумозащитные заборы . Установим шумозащитные заборы по Москве.

5 Comments


  1. если получится будем защищатся)))

    Quote | Posted October 27, 2008, 7:04 pm

  2. будем, будем, спасибо за статью

    Quote | Posted November 9, 2008, 7:24 pm

  3. совет принят, огромное спс)))

    Quote | Posted November 10, 2008, 12:08 pm

  4. Подскажите где найти информацию по настройке apf

    Quote | Posted November 29, 2008, 4:46 pm

  5. уже начал защищаться и готов к атаке :)

    Quote | Posted December 16, 2008, 12:26 am

Leave a reply

*
To prove that you're not a bot, enter this code
Anti-Spam Image