Средства защиты от ddos?

Question

[Себастьян Перейра]

Здравствуйте. Пока заключается договор с компанией, которая будет фильтровать наш трафик, есть немного времени разобраться/научиться подавлять атаки. Уже забанил неугодные страны, но тогда основная часть запросов стала идти внутри страны с нашей основной ЦА. Нашел вот такое излечение:

habrahabr.ru/post/204508

Но так как в nix скриптах не силён, не могу разобраться. помогите.

При запуске скрипта получаю:
Bad argument 'DROP'
Стал ковырять скрипт, действительно в iptables_ban.sh записиваются след строчки:

/sbin/iptables -I INPUT -p tcp --dport 80 -s  -j DROP
/sbin/iptables -I INPUT -p tcp --dport 80 -s  -j DROP
/sbin/iptables -I INPUT -p tcp --dport 80 -s  -j DROP

Т.е. ipшников нет. В ddos.iplist - информация по ip есть, снизил порог выборки ip 3 обращения (такие точно есть), но в iptables_ban.sh все равно ip не попадают.

Система: centos

P.S. скрипт заработал, также немного его модифицировал.

Заменил

netstat -ntu | awk '{print $5}' | cut -d: -f1 | sort | uniq -c | sort -n > /tmp/ddos.iplist

На

tcpdump -v -n -w /var/ddos/ddos1.iplist dst port 80 -c 5000
tcpdump -nr /tmp/ddos1.iplist |awk '{print $3}' |grep -oE '[0-9]{1,}\.[0-9]{1,}\.[0-9]{1,}\.[0-9]{1,}' |sort |uniq -c |sort -rn > /tmp/ddos.iplist

Больше промежуток - соответсвенно больше мусора с ip-зомби. И порог повысить до 30-40 - самое то.
Спасибо!

Comments

[Power]

А в ddos.iplist есть адреса IPv6? Скрипт, судя по всему, на такое не рассчитан.

[Себастьян Перейра]

нет, ipv6 нету.
ddos.iplist - 2 колонки
первая - кол-во обращений
вторая - ip (xxx.xxx.xxx.xxx)

Answer 1

[Power]

Вот эта строчка в скрипте у вас точно такая?

awk '{if ($1 > 20) {print "/sbin/iptables -I INPUT -p tcp --dport 80 -s " $2 " -j DROP" }}' /tmp/ddos.iplist >> /tmp/iptables_ban.sh

Особенно проверьте кавычки и наличие $2

Comments

[Себастьян Перейра]

Не знаю, что произошло - кавычки проверял в первую очередь - заработало. Также немного модифицировал скрипт, считаю что так можно будет проще идентифицировать ip-зомби. В P.S. вопроса

[Power]

Круто, но теперь вы уже баните не по количеству соединений, а по интенсивности трафика, что может быть не очень хорошо. Рекомендую, кстати, добавить к первому tcpdump опцию -p, чтобы не включать promiscuous mode и явно указать интерфейс (-i eth0 или типа того).

[Себастьян Перейра]

Спасибо(!!!) большое за разъяснение; честно - не силен в unix, так - потыкать.

Answer 2

[Пума Тайланд]

Если у вас центос 6 то этот скрипт точно работает, так как у вас не добавляются айпи логично что файл с ними не подгружается, если он не подгружается то скорее всего нет прав на его создание у скрипта.
Защищаю всех своих клиентов от ддоса, если сами не разберетесь обращайтесь.

Answer 3

[Сергей Петриков]

Не вижу в скрипте защиты от банального SYN флуда со спуфленых случайных адресов, с этой атаки обычно начинают, как с самой безгеморройной в организации и безопасной для атакующего.