ЗАКРЫТЬ
Правила форума Гаранты форума
Размещение рекламы AMX-X компилятор

Здравствуйте, гость Вход | Регистрация

^Место доступно для покупки - 4000 руб/мес^

Новости

17-апр
30-дек
29-дек
26-дек

> Важная информация

Перед тем как создать тему или задать вопрос, ознакомьтесь с данной темой, там собраны наиболее распространенные уязвимости и способы устранения.
Так же не поленитесь воспользоваться поиском, вполне возможно, что ваш вопрос уже поднимался на форуме.
При создании новой темы уделите внимание ее названию, оно должно кратко описывать суть вашего вопроса/проблемы. Все вновь созданные темы с названиями "Помогите", "Объясните", "Подскажите" и т.д. будут удалены, а их авторы наказаны.

Обнаружение и логирование DDOS

Статус пользователя Fire
сообщение 10.6.2015, 14:29
Сообщение #1


Иконка группы

Стаж: 8 лет 4 месяца

Сообщений: 2000
Благодарностей: 2011
Полезность: 951

multiplay.ru
Как и обещал, вторая часть. Сегодня о примитивных атаках. (Будет дополняться)
Как распознать DDOS атаку и тем более увидеть что за атака была? Не всегда мы можем находится возле сервера, да и если при атаке сервер не доступен, тип атаки мы не узнаем (за исключением некоторых атак, которые видны по логам).
Итак, "тупые" атаки можно в целом детектить иптаблесом, это просто, детекция идет по ряду параметров, которые зачастую присутствуют в таких атаках.
Детектить можно по source port, с предыдущего поста, есть сурс порты амплификаций.
Код
-A INPUT -p udp -m multiport --sports 53,123,19,161,17,9987,1900 -j LOG --log-prefix "AMPF: "

Наиболее распространенные амплификации.
Так-же, можно детектить по фрагментированным пакетам и их размерам, зачастую, кс такие пакеты не использует.
Код
-A INPUT -p udp -f -j LOG --log-prefix "Frag: " --log-level 7
-A INPUT -p icmp -f -j LOG --log-prefix "Frag: " --log-level 7
-A INPUT -p udp -m length --length 1450:1500 -j LOG --log-prefix "SIZE: " --log-level 7

Первыми двумя правилами логиуем фрагментированные udp и icmp, 3тим - по размеру пакетов.
Так-же, ко всем правилам добавлен префикс, который поможет нам определить какие именно правило сработало.
После применения правил, вся информация будет доступна в системных логах, /var/log/kern.log | /var/log/messages | /var/log/syslog
У данного метода определения, есть существенные недостаток, при атаках, системные логи вырастают до очень больших размеров, с этим надо быть аккуратнее.

Это самый просто вариант.
Дальше будет более сложные варианты на основе софта с ядерным модулем PF_RING

ps\\ И да, логи "правильно" чистить надо так:
Код
cat /dev/null > /var/log/kern.log

Или другой лог.


Перейти в начало страницы         Просмотр профиля    Отправить личное сообщение
Поблагодарили 19 раз
   Цитировать сообщение
Статус пользователя coolman
сообщение 10.6.2015, 14:52
Сообщение #2


Стаж: 10 лет
Город: Екатеринбург

Сообщений: 1220
Благодарностей: 217
Полезность: 148

а я новые пакеты ловлю, когда их много блокирую, когда слишком много, ip автоматом отправляется во временный бан и в логи пишется следующее: на 1 ip одна запись в лог, через час еще раз можно запись сделать про этот ip, если с него до сих пор идет флуд и он не в бане, мне кажется так лучше.
Перейти в начало страницы         Просмотр профиля    Отправить личное сообщение
Поблагодарили 1 раз
   + Цитировать сообщение
Статус пользователя Fire
сообщение 10.6.2015, 15:10
Сообщение #3


Иконка группы

Стаж: 8 лет 4 месяца

Сообщений: 2000
Благодарностей: 2011
Полезность: 951

multiplay.ru
Цитата(coolman @ 10.6.2015, 15:52) *
а я новые пакеты ловлю, когда их много блокирую, когда слишком много, ip автоматом отправляется во временный бан и в логи пишется следующее: на 1 ip одна запись в лог, через час еще раз можно запись сделать про этот ip, если с него до сих пор идет флуд и он не в бане, мне кажется так лучше.

В целом, такие пакеты в основном используются при флуде, которые редко забивают канал.
В целом, кто хочет, может и такие пакеты ловить.
Код
-m state --state NEW

Так-же флуд детектится connlimit'om. Я бы даже использовал их совместно.


Перейти в начало страницы         Просмотр профиля    Отправить личное сообщение
Поблагодарили 1 раз
   + Цитировать сообщение
Статус пользователя coolman
сообщение 12.6.2015, 20:00
Сообщение #4


Стаж: 10 лет
Город: Екатеринбург

Сообщений: 1220
Благодарностей: 217
Полезность: 148

Цитата(Fire @ 10.6.2015, 18:10) *
В целом, такие пакеты в основном используются при флуде, которые редко забивают канал.
В целом, кто хочет, может и такие пакеты ловить.
Код
-m state --state NEW

Так-же флуд детектится connlimit'om. Я бы даже использовал их совместно.

я только когда увидел в первый раз линукс в 2009 году были такие примеры в инете везде, а почему не -m conntrack --ctstate NEW ?
Перейти в начало страницы         Просмотр профиля    Отправить личное сообщение
   + Цитировать сообщение
  Ответить в данную темуНачать новую тему
 
0 пользователей и 1 гостей читают эту тему: