АнтиDDoS - способы борьбы

DoS — хакерская атака на вычислительную систему с целью довести её до отказа, то есть создание таких условий, при которых добросовестные пользователи системы не могут получить доступ к предоставляемым системным ресурсам (серверам), либо этот доступ затруднён.

DDoS — если атака выполняется одновременно с большого числа компьютеров, говорят о DDoS-атаке. Такая атака проводится в том случае, если требуется вызвать отказ в обслуживании хорошо защищённой крупной компании или правительственной организации

Атаки бывают разного вида, силы, сложности и не всегда можно легко определить какой тип атаки применяется к вам быстрым способом. Но вот некоторый набор инструкций, как можно предпринять первичные действия для детекта и какой либо блокировки.

Команды ANTI-DDOS:


Сколько апачей:
ps aux | grep httpd  |wc -l 


Cколько коннектов на 80 порт:
netstat -na | grep ":80\ " | wc -l


SYN
netstat -na | grep ":80\ " | grep syn


Пример SYN-флуда:
netstat -na | grep ":80\ " | grep SYN | wc -l


Посмотреть много ли разных ай-пи:
netstat -na | grep ":80\ " | grep SYN | sort  -u | more


На какой домен чаще всего идут запросы:
tcpdump -npi eth0 port domain


Статус апача:
apachectl status


Посмотреть откуда IP:
whois xxx.xxx.xxx.xxx


или
jwhois xxx.xxx.xxx.xxx


где xxx.xxx.xxx.xxx IP атакующего

Просниферить траф идущий на domain.ru (атакуемый домен) с записью в файл output.txt:
tcpdump -n -i eth0 -s 0 -w output.txt dst port 80 and host domain.ru


dst также можно поменять на src:
tcpdump -n -i eth0 -s 0 -w output.txt src port 80 and host domain.ru


Допустим нашли IP (xxx.xxx.xxx.xxx) с которого много запросов:
tcpdump и там где был атакуемый домен вводим этот IP:
tcpdump -n -i eth0 -s 0 -w output.txt src port 80 and host xxx.xxx.xxx.xxx


С какого IP сколько запросов:
netstat -ntu | awk '{print $5}'| cut -d: -f1 | sort | uniq -c | sort -nr | more


или просто
netstat -na | grep :80 | sort | uniq -c | sort -nr | more


Посмотреть на какие порты:
netstat -na | grep xxx.xxx.xxx.xxx


где xxx.xxx.xxx.xxx IP атакующего
и блочить начиная с тех, где больше коннектов.

Закрыть доступ для целой подсети IP (xxx.xxx.xxx.xxx), на конкретный протокол(-p) порт(–destination-port) в конкретном направлении(-d или -s:
В одном направлении (-d):
iptables -A INPUT -d xxx.xxx.0.0/16 -p tcp --destination-port http -j DROP


В другом направлении (-s):
iptables -A INPUT -s xxx.xxx.0.0/16  -p tcp --destination-port http -j DROP


Тоже самое, но для конкретного IP (xxx.xxx.xxx.xxx)
iptables -A INPUT -s xxx.xxx.xxx.xxx  -p tcp --destination-port http -j DROP
iptables -A INPUT -d xxx.xxx.xxx.xxx -p tcp --destination-port http -j DROP


Блокировка по всем протоколам и портам, в направления -s и -d:
iptables -A INPUT -s xxx.xxx.xxx.xxx -j DROP
iptables -A INPUT -d xxx.xxx.xxx.xxx -j DROP


Если установлен файрвол APF, можно блочить с его помощью:
apf -d xxx.xxx.xxx.xxx


Где xxx.xxx.xxx.xxx IP атакующего.

0 комментариев

Только зарегистрированные и авторизованные пользователи могут оставлять комментарии.