Обнаружение и логирование DDOS |
Здравствуйте, гость Вход | Регистрация
Наши новости:
|
|
Обнаружение и логирование DDOS |
Fire |
10.6.2015, 14:29
Сообщение
|
|
Как и обещал, вторая часть. Сегодня о примитивных атаках. (Будет дополняться)
Как распознать DDOS атаку и тем более увидеть что за атака была? Не всегда мы можем находится возле сервера, да и если при атаке сервер не доступен, тип атаки мы не узнаем (за исключением некоторых атак, которые видны по логам). Итак, "тупые" атаки можно в целом детектить иптаблесом, это просто, детекция идет по ряду параметров, которые зачастую присутствуют в таких атаках. Детектить можно по source port, с предыдущего поста, есть сурс порты амплификаций. Код -A INPUT -p udp -m multiport --sports 53,123,19,161,17,9987,1900 -j LOG --log-prefix "AMPF: " Наиболее распространенные амплификации. Так-же, можно детектить по фрагментированным пакетам и их размерам, зачастую, кс такие пакеты не использует. Код -A INPUT -p udp -f -j LOG --log-prefix "Frag: " --log-level 7 -A INPUT -p icmp -f -j LOG --log-prefix "Frag: " --log-level 7 -A INPUT -p udp -m length --length 1450:1500 -j LOG --log-prefix "SIZE: " --log-level 7 Первыми двумя правилами логиуем фрагментированные udp и icmp, 3тим - по размеру пакетов. Так-же, ко всем правилам добавлен префикс, который поможет нам определить какие именно правило сработало. После применения правил, вся информация будет доступна в системных логах, /var/log/kern.log | /var/log/messages | /var/log/syslog У данного метода определения, есть существенные недостаток, при атаках, системные логи вырастают до очень больших размеров, с этим надо быть аккуратнее. Это самый просто вариант. Дальше будет более сложные варианты на основе софта с ядерным модулем PF_RING ps\\ И да, логи "правильно" чистить надо так: Код cat /dev/null > /var/log/kern.log Или другой лог. |
Поблагодарили 19 раз
|
|
coolman |
10.6.2015, 14:52
Сообщение
|
|
а я новые пакеты ловлю, когда их много блокирую, когда слишком много, ip автоматом отправляется во временный бан и в логи пишется следующее: на 1 ip одна запись в лог, через час еще раз можно запись сделать про этот ip, если с него до сих пор идет флуд и он не в бане, мне кажется так лучше.
|
Поблагодарили 1 раз
|
|
Fire |
10.6.2015, 15:10
Сообщение
|
|
а я новые пакеты ловлю, когда их много блокирую, когда слишком много, ip автоматом отправляется во временный бан и в логи пишется следующее: на 1 ip одна запись в лог, через час еще раз можно запись сделать про этот ip, если с него до сих пор идет флуд и он не в бане, мне кажется так лучше. В целом, такие пакеты в основном используются при флуде, которые редко забивают канал. В целом, кто хочет, может и такие пакеты ловить. Код -m state --state NEW Так-же флуд детектится connlimit'om. Я бы даже использовал их совместно. |
Поблагодарили 1 раз
|
|
coolman |
12.6.2015, 20:00
Сообщение
|
|
В целом, такие пакеты в основном используются при флуде, которые редко забивают канал. В целом, кто хочет, может и такие пакеты ловить. Код -m state --state NEW Так-же флуд детектится connlimit'om. Я бы даже использовал их совместно. я только когда увидел в первый раз линукс в 2009 году были такие примеры в инете везде, а почему не -m conntrack --ctstate NEW ? |
|
|