Προς το περιεχόμενο

Δέχομαι επίθεσης ddos μπορώ να βάλω κάποιο protect σε linux?


pilitss

Προτεινόμενες αναρτήσεις

Δεν δινεις καθολου πληροφοριες φιλε μου..

 

Αυτο που δουλευει πολλες φορες ειναι συνδυασμος του fail2ban + iptables...

 

Το 1ο τσεκαρει τα log files και αμα δει καποια υποπτη κινηση , τσιμπαει το υποπτο ip και δημιουργει ενα rule στο iptables...και του τραβαει ενα ban για καποιο χρονικο διαστημα.

 

Ολο αυτο που περιεγραψα ειναι αποτελεσμα καποιου set-αρισματος που πρεπει να κανεις απο μεριας σου.

 

Δεν ειναι παρτο δουλεψε κατασταση...

Συνδέστε για να σχολιάσετε
Κοινοποίηση σε άλλες σελίδες

Να προσθέσω κάτι το οποίο ίσως αυξήσει λίγο την ασφάλεια κατά του DDoS.

Αν αυτός που κάνει το DDoS είναι script kiddie και έχει καμιά 500 botάκια από κανένα IRC channel ή ότι άλλο τέλος πάντων δεν θα βοηθούσε να κάνεις drop το ICMP;(με λίγα λόγια να κάνω εγώ - ο κακόβουλος- ping την σελίδα σου και εσύ να μην αφήνεις τον server σου να δώσει response)

Δεν ξέρω κατά πόσο ισχύει σαν "τακτική",αλλά καλού κακού το αφήνω εδώ και αν κάποιος γνωρίζει περισσότερα θα ήθελα να το σχολιάσει να μάθω 2 πράγματα παραπάνω για το αν μετράει έστω και λίγο.

Συνδέστε για να σχολιάσετε
Κοινοποίηση σε άλλες σελίδες

Eγω δεν καταλαβα , ο TS εχει γινει "στοχος" ? :)

 

Εγω που χω dedicated server πανω απο χρονο ποτε δεν ειχα ιδιαιτερο προβλημα με επιθεσεις....κατι κλασικες που σκανε απο bots που τσεκαρουν ssh , telnet , ftp , apache κλπ...ειναι αναμενομενες αλλα καθαριζει οπως εγραψα παραπανω το fail2ban+iptables αυτοματα.

Ουτε καν που ασχολουμαι , ουτε καν που ανησυχω...και δεν με εχουν χακαρει μεχρι τωρα :)

 

Αλλα οπως ειπα...δεν ειμαι ΣΤΟΧΟΣ :)

Συνδέστε για να σχολιάσετε
Κοινοποίηση σε άλλες σελίδες

αλλα καθαριζει οπως εγραψα παραπανω το fail2ban+iptables αυτοματα.

Έχεις/ξέρεις κάποιο guide(Αγγλικά | Γερμανικά | Ελληνικά)  για το στήσιμο αυτών των δύο σε συνδυασμό;

Συνδέστε για να σχολιάσετε
Κοινοποίηση σε άλλες σελίδες

Έχεις/ξέρεις κάποιο guide(Αγγλικά | Γερμανικά | Ελληνικά)  για το στήσιμο αυτών των δύο σε συνδυασμό;

 

http://www.the-art-of-web.com/system/fail2ban/#.UXHHI7X-F24

 

Δες στο λινκ...τα ψιλολεει καλα

 

Στην ουσια θες εγκατεστημενο iptables (και το αφηνεις ησυχο) και προφανως fail2ban

Στο λινκ υποθετει καποιο debian-based συστημα αλλα τα πακετα υπαρχουν σε ολες τις διανομες.

 

Απο κει και περα πειραζεις κυριως το /etc/fail2ban/jail.conf οπου ρυθμιζεις ποιες "υπηρεσιες" να τσεκαρει (ssh , apache , proftp , sendmail , κλπ κλπ) και να επεμβαινει δημιουργοντας εγγραφες στο iptables αυτοματα.

 

Κυριως το fail2ban αναλαμβανει περιπτωσεις οπου καποιο ip κανει πολλαπλες προσπαθειες για να συνδεθει (καποιο bot δηλ) ειτε μεσω ssh , ειτε σε καποιον ftp server που ισως τρεχει , ειτε σε καποιο apache (ξερεις κανα σαιτ που χει υποσελιδες με passwords...)

 

Δες στο λινκ αναφερει λιγο πολυ τι παιζει με το jail.conf.

Συνδέστε για να σχολιάσετε
Κοινοποίηση σε άλλες σελίδες

Ευχαριστώ πολύ,θα το δοκιμάσω όταν ξαναπιάσω  τον dedi στα χέρια μου.
Έχει 2 vm πάνω,αλλά τρέχουν πάνω σε Debian. Θα τα εγκαταστήσω και θα τα setάρω ελπίζοντας να δουλέψουν σωστά!

Συνδέστε για να σχολιάσετε
Κοινοποίηση σε άλλες σελίδες

Eγω δεν καταλαβα , ο TS εχει γινει "στοχος" ? :)

 

Εγω που χω dedicated server πανω απο χρονο ποτε δεν ειχα ιδιαιτερο προβλημα με επιθεσεις....κατι κλασικες που σκανε απο bots που τσεκαρουν ssh , telnet , ftp , apache κλπ...ειναι αναμενομενες αλλα καθαριζει οπως εγραψα παραπανω το fail2ban+iptables αυτοματα.

Ουτε καν που ασχολουμαι , ουτε καν που ανησυχω...και δεν με εχουν χακαρει μεχρι τωρα :)

 

Αλλα οπως ειπα...δεν ειμαι ΣΤΟΧΟΣ :)

 

Να προσθέσω κάτι το οποίο ίσως αυξήσει λίγο την ασφάλεια κατά του DDoS.

 

Αν αυτός που κάνει το DDoS είναι script kiddie και έχει καμιά 500 botάκια από κανένα IRC channel ή ότι άλλο τέλος πάντων δεν θα βοηθούσε να κάνεις drop το ICMP;(με λίγα λόγια να κάνω εγώ - ο κακόβουλος- ping την σελίδα σου και εσύ να μην αφήνεις τον server σου να δώσει response)

 

Δεν ξέρω κατά πόσο ισχύει σαν "τακτική",αλλά καλού κακού το αφήνω εδώ και αν κάποιος γνωρίζει περισσότερα θα ήθελα να το σχολιάσει να μάθω 2 πράγματα παραπάνω για το αν μετράει έστω και λίγο.

 

Το πιο πιθανό είναι αυτό που είπε ο mphxths και τα άλλα παιδιά δηλαδή ο OP όπου DDoS να εννοεί κάποιο αυτοματοποιημένο portscan που παίρνει σβάρνα τις IP και ελέγχει εκατοντάδες γνωστές θύρες. Αν μιλάμε για κανονικό DDoS τότε δεν μπορείς να κάνεις τίποτα. Πες ότι κλείνεις το ICMP και ό,τι άλλο χρειάζεται για να μη στέλνεις response αλλά τι θα κερδίσεις με αυτό ? Και με ανοιχτό ICMP και με κλειστό, τα εισερχόμενα πακέτα θα τα φας οπότε αν είναι να πέσεις θα πέσεις. Επίσης κλείνοντας το ICMP χάνεις σε λειτουργικότητα.

 

Αν στον server σου μπαίνεις μόνο εσύ ή αυτοί που μπαίνουν δεν τους πειράζει να κάνουν μια αλλαγή στις ρυθμίσεις τους (έτσι και αλλιώς θα γίνει μια φορά μόνο) μπορείς να αλλάξεις την θύρα που ακούει ο δαίμονας του SSH έτσι ώστε να μην ακούει στην 22. Αυτό θεωρούταν λάθος (security through obscurity) γιατί δεν διορθώνει τα προβλήματα οπότε αν μιλάμε για ένα πρωτόκολλο με προβλήματα ασφαλείας όπως πχ το telnet τότε σου δημιουργεί μια λανθασμένη αίσθηση ασφάλειας. Στην περίπτωση όμως του SSH που είναι ασφαλές και δεν έχει προβλήματα (τουλάχιστον από όσο γνωρίζουμε), η αλλαγή της θύρας βοηθάει στο να μην σε πρήζουν τέτοια portscan.

 

Μια άλλη τακτική είναι το Port Knocking. Δηλαδή χτυπάς την πόρτα συνθηματικά και σου ανοίγει.

 

iptables -N KNOCK_KNOCK
iptables -A INPUT -p tcp --dport θύρα_του_ssh -j KNOCK_KNOCK

Μαζί με τους άλλους κανόνες του netfilter, έχεις και τους δύο παραπάνω οι οποίοι τι κάνουν ? Ο πρώτος δημιουργεί μια αλυσίδα με όνομα KNOCK_KNOCK και ο δεύτερος λέει όταν προσπαθεί κάποιος να συνδεθεί στην θύρα του SSH τότε πέρνα τον από την τάδε αλυσίδα. Υπό κανονικές συνθήκες η αλυσίδα είναι άδεια οπότε δεν γίνεται τίποτα και το σύστημα αρνείται να αποδεχτεί την σύνδεση.

 

Εγκαθιστούμε ένα δαίμονα για port knocking (πχ τον knockd που βλέπουμε εδώ για debian και εδώ για gentoo) και αυτός αναλαμβάνει να "ακούει" για το συνθηματικό.

 

Το συνθηματικό μας είναι μια αλληλουχία από θύρες έστω 1234, 2345 για να ανοίγει και 3456,4567 για να κλείνει. Όταν εμείς θέλουμε να συνδεθούμε στο μηχάνημα πρέπει να χτυπήσουμε συνθηματικά δηλαδή να κάνουμε "telnet IP_του_server 1234" και αμέσως μετά "telnet IP_του_server 2345". Όταν ο δαίμονας δει αυτή την αλληλουχία τρέχει την εντολή "iptables -A KNOCK_KNOCK -s IP_μας -p tcp --dport θύρα_του_ssh -j ACCEPT".

 

Έτσι τώρα αν προσπαθήσουμε να συνδεθούμε με SSH, αυτό θα επιτύχει γιατί υπάρχει ο κανόνας που κάνει accept. Όταν τελειώσουμε την δουλειά μας, χτυπάμε και πάλι τις θύρες κλεισίματος και ο κανόνας αφαιρείται οπότε δεν μπορεί να συνδεθεί κάποιος άλλος.

 

Ακριβώς το ίδιο μπορούμε να επιτύχουμε και χωρίς κάποιο δαίμονα χρησιμοποιώντας την υποδομή recent του netfilter αλλά η σύνταξη είναι πιο πολύπλοκη από το δαίμονα.

 

Φυσικά η παραπάνω λύση δεν είναι για όλα τα σενάρια και η απλή αλλαγή της πόρτας αρκεί για τον περισσότερο κόσμο.

  • Like 2
Συνδέστε για να σχολιάσετε
Κοινοποίηση σε άλλες σελίδες

Hμιθεε τα ειπες πολυ ωραια για το ssh.

 

Απλα να προσθεσω και εναν αλλον τροπο για να αυξησουμε οσο το δυνατο λιγο παραπανω την συνδεση μας με το ssh.

 

και αυτος δεν ειναι αλλος με την χρηση authentication keys αντι να χτυπαμε τον κωδικο μας κατα την χρηση.

 

Για να μην κουρασω με αναλυσεις επι αναλυσεων..χοντρικα δημιουργουμε ενα rsa key αρχειο..το οποιο το βαζουμε στο home dir του χρηστη που θα συνδεθει...και οταν παει να συνδεθει με ssh ...ανιχνευεται η υπαρξη αυτου του αρχειου..και επειτα ζητειται καποιος κωδικος (passphrase λεγεται στην περιπτωση αυτη).

 

Οποτε υπαρχει μια υποτυπωδης εξτρα ασφαλεια μιας και αν ο "χακερ" δεν εχει το authentication key αρχειο..τρωει ακυρο απο τα αποδυτηρια..

 

Μια ομορφη και λιτη αναλυση του παραπανω υπαρχει εδω -> http://www.debian-administration.org/articles/530

 

Συνηθιζα να το εφαρμοζω αλλα ηταν περιοδος που μαλακιζομουν με διανομες και βαριομουν να ξανακανω ολη την διαδικασια (ναι ξερω , ας εσωζα το key file..ουτε αυτο δεν εκανα :) )

 

 

Τελος οι (d)ddos επιθεσεις ειναι επιθεσεις στοχευμενες με σκοπο να σου τσακισουν την συνδεση/bandwith και επειδη οι στοχοι συνηθως ειναι "χοντροι" για αυτο γινονται συντονισμενες μαζικες τετοιες επιθεσεις...Οποτε  εκτος και αν εισαι κανας κυβερνητικος οργανισμος ξερωγω...λιγο δυσκολο να μιλαμε για τετοιες επιθεσεις...

Συνδέστε για να σχολιάσετε
Κοινοποίηση σε άλλες σελίδες

mphxths DDoS κατά καιρούς τρώνε και απλοί webservers. Είναι μην σου κάτσει. Εξού και πρότεινα το cloudflare γιατί "θεωρητικά" μπορεί να φιλτράρει τα attacks. Επίσης με το κατάλληλο αντίτιμο (200$/month) έχει και advanced anti-DDoS υπηρεσία, πέραν του τι έχει στο απλό πακέτο.

 

 

hmitheos ωραίο το post, συμπυκνωμένη γνώση!

 

 

Το πρόβλημα είναι πάντως το κλασσικό: ο TS έγραψε κάτι και εξαφανίστηκε, και εμείς αναλύουμε και ψάχνουμε. Είτε τελικά του έριξαν το δίκτυο λόγο DDoS είτε ξέχασε ότι μας ρώτησε.

Κρίνοντας από το προφίλ του και τα τελευταία του posts τον κατατάσσω στα ανορθόγραφα help vampires :)

Συνδέστε για να σχολιάσετε
Κοινοποίηση σε άλλες σελίδες

Δημιουργήστε ένα λογαριασμό ή συνδεθείτε για να σχολιάσετε

Πρέπει να είστε μέλος για να αφήσετε σχόλιο

Δημιουργία λογαριασμού

Εγγραφείτε με νέο λογαριασμό στην κοινότητα μας. Είναι πανεύκολο!

Δημιουργία νέου λογαριασμού

Σύνδεση

Έχετε ήδη λογαριασμό; Συνδεθείτε εδώ.

Συνδεθείτε τώρα
  • Δημιουργία νέου...