Page 1 of 1

DDOS-ят :(

Posted: Sat May 13, 2017 7:07 am
by ars
Народ как боротся с DOSом ?
Атакуют часами по моему HTTP flood, сервер лежит

Пример:
85.101.73.30 - - [13/May/2017:03:02:00 -0400] "GET /?s=qweqw+ntlwcdov HTTP/1.0" 403 4880 "-" "Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/41.0.2227.0 Safari/537.36"
137.18.43.83 - - [13/May/2017:03:02:00 -0400] "GET /?s=qweqw+owtlihqq HTTP/1.0" 403 4880 "-" "Mozilla/5.0 (X11; Linux x86_64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/41.0.2227.0 Safari/537.36"
85.101.39.116 - - [13/May/2017:03:02:00 -0400] "GET /?s=qweqw+pqnsbpnp HTTP/1.0" 403 4880 "-" "Mozilla/5.0 (X11; Linux x86_64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/41.0.2227.0 Safari/537.36"
27.13.44.63 - - [13/May/2017:03:02:00 -0400] "GET /?s=qweqw+qjedffui HTTP/1.0" 403 4880 "-" "Mozilla/5.0 (Windows NT 6.1) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/41.0.2228.0 Safari/537.36"

Re: DDOS-ят :(

Posted: Sat May 13, 2017 9:47 am
by yariksat
Поставьте ConfigServer Security & Firewall и настройте конфигурацию,там есть лекарство против флуда по портам
Вот у меня вчера пытались

IP: 62.219.146.33 (IL/Israel/cablep-219-146-33.cablep.bezeqint.net)
Connections: 2416
Blocked: Temporary Block
---------------------------------------------------------------------------------------
IP: 85.12.220.70 (RU/Russian Federation/-)
Connections: 398
Blocked: Temporary Block
---------------------------------------------------------------------------------------
IP: 188.255.98.159 (RU/Russian Federation/broadband-188-255-98-159.moscow.rt.ru)
Connections: 1809
Blocked: Temporary Block

Re: DDOS-ят :(

Posted: Sat May 13, 2017 9:26 pm
by ars
спасибо, попробую

Re: DDOS-ят :(

Posted: Thu May 18, 2017 1:29 am
by ars
ConfigServer Security & Firewall не справляется

Re: DDOS-ят :(

Posted: Thu May 18, 2017 4:37 am
by yariksat
ars wrote:ConfigServer Security & Firewall не справляется
Он включен,из тестового режима вывели?
Если только поставили и ничего не настраивали то естественно не справится,там включено по минимуму.
Идём во вкладку ConfigServer Firewall там в конфигурацию файрвола и вот - https://habrahabr.ru/company/simnetworks/blog/247391/
В конфигурации файрвола ищете такие же значения,выставляете SYNFLOOD = "1" - это означает включено,просто ползунок перетяните - по умолчанию там вся защита практически отключна ибо это все надо настраивать и подбирать вручную под свой севрер.

Re: DDOS-ят :(

Posted: Thu May 18, 2017 5:31 am
by demian

Code: Select all

cat /etc/sysconfig/iptables

*filter
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [16807:31509796]
-A INPUT -i lo -j ACCEPT 
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT 
-A INPUT -p tcp -m tcp --dport 21 -m state --state NEW -m recent --rcheck --seconds 6000 --name BLOCK --rsource -j DROP 
-A INPUT -p tcp -m tcp --dport 21 -m state --state NEW -m hashlimit --hashlimit-above 2/min --hashlimit-burst 2 --hashlimit-mode srcip --hashlimit-name BLOCK -m recent --set --name BLOCK --rsource -j DROP 
-A INPUT -p tcp -m tcp --dport 22 -m state --state NEW -m recent --rcheck --seconds 6000 --name BLOCK --rsource -j DROP 
-A INPUT -p tcp -m tcp --dport 22 -m state --state NEW -m hashlimit --hashlimit-above 2/min --hashlimit-burst 2 --hashlimit-mode srcip --hashlimit-name BLOCK -m recent --set --name BLOCK --rsource -j DROP 
-A INPUT -p tcp -m tcp --dport 22 --tcp-flags FIN,SYN,RST,ACK SYN -j ACCEPT 
-A INPUT -p tcp -m tcp --dport 80 -m state --state NEW -m limit --limit 600/min --limit-burst 100 -j ACCEPT 
-A INPUT -p tcp -m tcp --dport 443 -m state --state NEW -m limit --limit 600/min --limit-burst 100 -j ACCEPT 
-A INPUT -p tcp -m tcp --tcp-flags FIN,SYN,RST,ACK SYN -m limit --limit 1/sec -j ACCEPT 
-A INPUT -p tcp -m tcp --tcp-flags FIN,SYN,RST,ACK SYN -j DROP 
-A INPUT -p tcp -m tcp --tcp-flags FIN,SYN,RST,ACK RST -m limit --limit 1/sec -j ACCEPT 
-A INPUT -p tcp -m tcp --tcp-flags FIN,SYN,RST,ACK RST -j DROP 
-A INPUT -p icmp -m icmp --icmp-type 8 -m limit --limit 1/sec -j ACCEPT 
-A INPUT -p icmp -m icmp --icmp-type 8 -j DROP 
-A INPUT -j REJECT --reject-with icmp-host-prohibited
COMMIT
--limit 600/min --limit-burst 100 значение подбирается

можно модифицировать так

Code: Select all

-A INPUT -p tcp -m tcp --dport 80 -m state --state NEW -m recent --rcheck --seconds 6000 --name BLOCK --rsource -j DROP 
-A INPUT -p tcp -m tcp --dport 80 -m state --state NEW -m hashlimit --hashlimit-above 100/min --hashlimit-burst 100 --hashlimit-mode srcip --hashlimit-name BLOCK -m recent --set --name BLOCK --rsource -j DROP 
-A INPUT -p tcp -m tcp --dport 443 -m state --state NEW -m recent --rcheck --seconds 6000 --name BLOCK --rsource -j DROP 
-A INPUT -p tcp -m tcp --dport 443 -m state --state NEW -m hashlimit --hashlimit-above 100/min --hashlimit-burst 100 --hashlimit-mode srcip --hashlimit-name BLOCK -m recent --set --name BLOCK --rsource -j DROP 

--rcheck --seconds 6000 - время на которое будет блокировать IP
--hashlimit-above 100/min --hashlimit-burst 100 значение подбирается

в данном примере динамическая таблица блокировок BLOCK общая для всего сервера закрывает 21, 22 при указанной модификации будет работать на 80 и 443 порты, т.е. если IP попал в таблицу с него будет закрыт доступ по 21, 22, 80, 443 портам на указанный промежуток времени.

ограчинение flood - 1 запрос в минуту

Code: Select all

-A INPUT -p tcp -m tcp --tcp-flags FIN,SYN,RST,ACK SYN -m limit --limit 1/sec -j ACCEPT 
-A INPUT -p tcp -m tcp --tcp-flags FIN,SYN,RST,ACK SYN -j DROP 
-A INPUT -p tcp -m tcp --tcp-flags FIN,SYN,RST,ACK RST -m limit --limit 1/sec -j ACCEPT 
-A INPUT -p tcp -m tcp --tcp-flags FIN,SYN,RST,ACK RST -j DROP