Главная страница
О проекте Навигация Контакт
Поиск


ru.unix.bsd

 
 - RU.UNIX.BSD ------------------------------------------------------------------
 From : Vladimir Bobarikin                   2:5034/13.1    17 Mar 2005  03:43:56
 To : Rostislav Podgorniy
 Subject : Re: DDOS
 -------------------------------------------------------------------------------- 
 
 
  Среда Март 16 2005, когда Rostislav Podgorniy и Vladimir Bobarikin пытались
 завязать разговор, я решил, что вмешаться в их беседу - мой долг:
 
  RP>>>   Есть какой-то бесплатный софт для защиты от сабжа?
  RP>>>   Бо на FreeBSD-сеpваке один домен досят по стpашному - пpишлось
  RP>>> отключить, не подскажете как защититься?
 
 [...skip...]
  Вот подробнее о моем предложении:
 я бы в твоей ситуации поступил следующим образом (если возможно):
 1. Беру отдельную машинку, гашу на ней все сервисы.
 2. Устанавливаю /usr/ports/sysutils/portsentry
 3. Редактирую конфиг (он там очень простенький), чтобы ps висел на определенных
 портах (напромер - если досят dns - включаю в прослушку 53 порт, и т.д).
 4. Устанавливаю переменную в конфиге "KILL_ROUTE" с параметром блокировки
 атакующего по IP-адресу.
 5. Устанавливаю счетчик соединений (он там в конце файла) на 10, чтобы избежать
 случайностей.
 6. Запускаю PS.
 7. Меняю запись домена, указываю, что сейты, почта, etc, лежат на этом
 сервере-ловушке.
 8. Выжидаю недельку, гляжу лог, и ipfw show - на предмет залоченых IP. В
 принципе, если этот делал человек, а не 1000 зараженных компов :) то должно
 хватить.
 PS действует следующим образом:
 - вешается на указанные тобой порты
 - при достижении максимального количества соединений с 1 IP на порт, который он
 слушает - выполняется команда KILL_ROUTE, в которую ты можешь вбить по-желанию
 что угодно, любую команду
 - ведется побробный лог, который затем можно своим скриптом проанализировать,
 если треба.
 Если такое не возможно (отдельный сервак-ловушку), то можно установить SNORT, в
 нем довольно неплохой механизм слежения за уже работающими сервисами (детектит
 скрытое сканирование, и вообще все классические атаки) + выкладывает сам всю
 статистику в WWW.
 Hе помню его конфига, но если там нельзя делать авто-блокировку, то всегда
 можно написать скрипт, который будет смотреть логи и на основе их анализа
 блокировать тот или иной IP (к примеру при детексте именно ДОСа)
 
 Если что, могу поделиться скриптом, для работы с PS, который на основе логов
 делит IP на "свой-чужой" и соответственно выкладывает в WWW - своих и ipfw deny
 для чужих.
 
 Вот. Hадеюсь поможет. Удачи в борьбе :)
 
 p.s: кста, спрашиваю у тебя разрешения на публикацию этого письма в RU.UNIX.BSD
 - ибо мож кому тоже будет интересно, или, форвардни его сам туда, если
 согласен, и если тебе помогут эти способы.
 
    Hадеюсь, Rostislav, мы ещё спишемся.
 
 ... У вас есть неделя на выполнение этой pаботы и сегодня она заканчивается...
 --- Озаглавилась весна - топором, успокоилась река - декабрём...
  * Origin: ... утро - одиноким выстрелом... (2:5034/13.1)

Вернуться к списку тем, сортированных по: возрастание даты  уменьшение даты  тема  автор 

 Тема:    Автор:    Дата:  
 Re: DDOS   Vladimir Bobarikin   17 Mar 2005 03:43:56 
 Re: DDOS   Cat Cheshirsky   18 Mar 2005 11:16:16 
Архивное /ru.unix.bsd/27094238eef4.html, оценка 1 из 5, голосов 10
Яндекс.Метрика
Valid HTML 4.01 Transitional