The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

Автоблокировка сетей участвующих в DDoS (security blocking dos)


<< Предыдущая ИНДЕКС Поиск в статьях src Установить закладку Перейти на закладку Следующая >>
Ключевые слова: security, blocking, dos,  (найти похожие документы)
Date: Thu, 17 Mar 2005 02:43:56 +0500 From: Vladimir Bobarikin <Vladimir_Bobarikin@p1.f13.n5034.z2.fidonet.org.> Newsgroups: ftn.ru.unix.bsd Subject: Автоблокировка сетей участвующих в DDoS RP>>> Есть какой-то бесплатный софт для защиты от сабжа? RP>>> Бо на FreeBSD-сеpваке один домен досят по стpашному - пpишлось RP>>> отключить, не подскажете как защититься? Вот подробнее о моем предложении: я бы в твоей ситуации поступил следующим образом (если возможно): 1. Беру отдельную машинку, гашу на ней все сервисы. 2. Устанавливаю /usr/ports/sysutils/portsentry 3. Редактирую конфиг (он там очень простенький), чтобы ps висел на определенных портах (напромер - если досят dns - включаю в прослушку 53 порт, и т.д). 4. Устанавливаю переменную в конфиге "KILL_ROUTE" с параметром блокировки атакующего по IP-адресу. 5. Устанавливаю счетчик соединений (он там в конце файла) на 10, чтобы избежать случайностей. 6. Запускаю PS. 7. Меняю запись домена, указываю, что сейты, почта, etc, лежат на этом сервере-ловушке. 8. Выжидаю недельку, гляжу лог, и ipfw show - на предмет залоченых IP. В принципе, если этот делал человек, а не 1000 зараженных компов :) то должно хватить. PS действует следующим образом: - вешается на указанные тобой порты - при достижении максимального количества соединений с 1 IP на порт, который он слушает - выполняется команда KILL_ROUTE, в которую ты можешь вбить по-желанию что угодно, любую команду - ведется побробный лог, который затем можно своим скриптом проанализировать, если треба. Если такое не возможно (отдельный сервак-ловушку), то можно установить SNORT, в нем довольно неплохой механизм слежения за уже работающими сервисами (детектит скрытое сканирование, и вообще все классические атаки) + выкладывает сам всю статистику в WWW. Hе помню его конфига, но если там нельзя делать авто-блокировку, то всегда можно написать скрипт, который будет смотреть логи и на основе их анализа блокировать тот или иной IP (к примеру при детексте именно ДОСа) Если что, могу поделиться скриптом, для работы с PS, который на основе логов делит IP на "свой-чужой" и соответственно выкладывает в WWW - своих и ipfw deny для чужих.

<< Предыдущая ИНДЕКС Поиск в статьях src Установить закладку Перейти на закладку Следующая >>

 Добавить комментарий
Имя:
E-Mail:
Заголовок:
Текст:




Спонсоры:
Слёрм
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2020 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру