S125.ru - форумы
Правила форума Помощь Поиск Пользователи Календарь
 
Ответить в данную темуНачать новую тему
Нубский дефенс сервера от лёгких и средних ддос атак?, Первый взгляд
kitaytsev
сообщение 17.6.2016, 17:08
Сообщение #1





Группа: Пользователи
Сообщений: 104
Регистрация: 1.11.2015




Добрый день всем. Лу, артур и всем остальным кто мне помогал когда-то освоится в nix системе, работа в чёрной дыре, настройка эксплуатации и прочее - спасибо!
В принципе азы выучил, настроить сервак, установить что нужно не проблема, всё работает.

Вот следующий шаг. Это ссаный дос, ддос. Бывают случае атаки на сервер, если атака с одного ip или нескольких, в принципе найти и изолировать легко - если говорить о "нубском досе". Но было-бы прекрасно это дело автоматизировать, хотя-бы самым минимальным способом. Я не буду пока что рассматривать связку nginx фронтендом к апаче. Это уже не много другой уровень, я это оставлю как решу первостепенную задачу, отъсеять школоту.

В основном атаки на различные порты с нескольких ip по ~100+ запросов\с.

Нашёл скрипт:

Код
#!/bin/sh

# Находим все соединения на все порты и записываем их в файл ddos.iplist
netstat -ntu | awk '{print $5}' | cut -d: -f1 | sort | uniq -c | sort -nr | grep -v "127.0.0.1" > /usr/local/ddos/ddos.iplist

# создаем DROP правила (не выдавать ответа сервера на запросы забаненых) для IP с количеством подключений более 50 и добавляем их в файл
awk '{if ($1 > 50) {print "/sbin/iptables -A INPUT -s " $2 " -j DROP"; print "/sbin/iptables -A INPUT -d " $2 " -j DROP";}}' /usr/local/ddos/ddos.iplist >> /usr/local/ddos/iptables_ban.sh

# запускаем скрипт бана IP атакующих
bash /usr/local/ddos/iptables_ban.sh

# Очищаем скрипт, который производит бан
cat /dev/null > /usr/local/ddos/iptables_ban.sh


Нужно ещё добавить правило фильтра белых ip чтоб их не блочило:

Код
netstat -ntu | awk '{print $5}' | cut -d: -f1 | sort | uniq -c | sort -n | grep -v "Ваш IP сервера" > /tmp/ddos.iplist


Уровень администрирования сами понимаете > 0. Не могу понять как добавить в правило чтоб не блочило определённые ip + диапазоны ip.
Другой вопрос не попадут-ли в бан поисковые боты?

Вот собственно и вопрос, в организации скрипта с фильтром нужны ip и диапазона ip, чтоб их не заблочило.

Сообщение отредактировал kitaytsev - 17.6.2016, 17:09
Перейти в начало страницы
 
+Цитировать сообщение
mainframe
сообщение 28.6.2016, 10:00
Сообщение #2





Группа: Пользователи
Сообщений: 245
Регистрация: 2.9.2010
Из: Владивосток




Всё это особого практического смысла не имеет.

Если атака идёт на полосу - абсолютно пофиг, забанишь ты бота фаерволом или нет, канал тебе уже сожрали.
Если на конкретный сервис - надо смотреть уже его логи на предмет некорректных подключений, т.е. в/у скрипт бесполезен.
Перейти в начало страницы
 
+Цитировать сообщение

Ответить в данную темуНачать новую тему
1 чел. читают эту тему (гостей: 1, скрытых пользователей: 0)
Пользователей: 0

 



Для

Тема
Сообщение
Текстовая версия Сейчас: 23.11.2019, 12:41