Правила форума Гаранты форума
Размещение рекламы AMX-X компилятор

Здравствуйте, гость Вход | Регистрация

Наши новости:

14-дек
24-апр
10-апр
11-апр

> Важная информация

Перед тем как создать тему или задать вопрос, ознакомьтесь с данной темой, там собраны наиболее распространенные уязвимости и способы устранения.
Так же не поленитесь воспользоваться поиском, вполне возможно, что ваш вопрос уже поднимался на форуме.
При создании новой темы уделите внимание ее названию, оно должно кратко описывать суть вашего вопроса/проблемы. Все вновь созданные темы с названиями "Помогите", "Объясните", "Подскажите" и т.д. будут удалены, а их авторы наказаны.

Обнаружение и логирование DDOS

Статус пользователя Fire
сообщение 10.6.2015, 14:29
Сообщение #1


Иконка группы

Стаж: 15 лет

Сообщений: 2201
Благодарностей: 2227
Полезность: 963

Как и обещал, вторая часть. Сегодня о примитивных атаках. (Будет дополняться)
Как распознать DDOS атаку и тем более увидеть что за атака была? Не всегда мы можем находится возле сервера, да и если при атаке сервер не доступен, тип атаки мы не узнаем (за исключением некоторых атак, которые видны по логам).
Итак, "тупые" атаки можно в целом детектить иптаблесом, это просто, детекция идет по ряду параметров, которые зачастую присутствуют в таких атаках.
Детектить можно по source port, с предыдущего поста, есть сурс порты амплификаций.
Код
-A INPUT -p udp -m multiport --sports 53,123,19,161,17,9987,1900 -j LOG --log-prefix "AMPF: "

Наиболее распространенные амплификации.
Так-же, можно детектить по фрагментированным пакетам и их размерам, зачастую, кс такие пакеты не использует.
Код
-A INPUT -p udp -f -j LOG --log-prefix "Frag: " --log-level 7
-A INPUT -p icmp -f -j LOG --log-prefix "Frag: " --log-level 7
-A INPUT -p udp -m length --length 1450:1500 -j LOG --log-prefix "SIZE: " --log-level 7

Первыми двумя правилами логиуем фрагментированные udp и icmp, 3тим - по размеру пакетов.
Так-же, ко всем правилам добавлен префикс, который поможет нам определить какие именно правило сработало.
После применения правил, вся информация будет доступна в системных логах, /var/log/kern.log | /var/log/messages | /var/log/syslog
У данного метода определения, есть существенные недостаток, при атаках, системные логи вырастают до очень больших размеров, с этим надо быть аккуратнее.

Это самый просто вариант.
Дальше будет более сложные варианты на основе софта с ядерным модулем PF_RING

ps\\ И да, логи "правильно" чистить надо так:
Код
cat /dev/null > /var/log/kern.log

Или другой лог.


Перейти в начало страницы         Просмотр профиля    Отправить личное сообщение
Поблагодарили 19 раз
   Цитировать сообщение
Статус пользователя coolman
сообщение 10.6.2015, 14:52
Сообщение #2


Стаж: 17 лет
Город: Екатеринбург

Сообщений: 1220
Благодарностей: 218
Полезность: 149

а я новые пакеты ловлю, когда их много блокирую, когда слишком много, ip автоматом отправляется во временный бан и в логи пишется следующее: на 1 ip одна запись в лог, через час еще раз можно запись сделать про этот ip, если с него до сих пор идет флуд и он не в бане, мне кажется так лучше.
Перейти в начало страницы         Просмотр профиля    Отправить личное сообщение
Поблагодарили 1 раз
   + Цитировать сообщение
Статус пользователя Fire
сообщение 10.6.2015, 15:10
Сообщение #3


Иконка группы

Стаж: 15 лет

Сообщений: 2201
Благодарностей: 2227
Полезность: 963

Цитата(coolman @ 10.6.2015, 15:52) *
а я новые пакеты ловлю, когда их много блокирую, когда слишком много, ip автоматом отправляется во временный бан и в логи пишется следующее: на 1 ip одна запись в лог, через час еще раз можно запись сделать про этот ip, если с него до сих пор идет флуд и он не в бане, мне кажется так лучше.

В целом, такие пакеты в основном используются при флуде, которые редко забивают канал.
В целом, кто хочет, может и такие пакеты ловить.
Код
-m state --state NEW

Так-же флуд детектится connlimit'om. Я бы даже использовал их совместно.


Перейти в начало страницы         Просмотр профиля    Отправить личное сообщение
Поблагодарили 1 раз
   + Цитировать сообщение
Статус пользователя coolman
сообщение 12.6.2015, 20:00
Сообщение #4


Стаж: 17 лет
Город: Екатеринбург

Сообщений: 1220
Благодарностей: 218
Полезность: 149

Цитата(Fire @ 10.6.2015, 18:10) *
В целом, такие пакеты в основном используются при флуде, которые редко забивают канал.
В целом, кто хочет, может и такие пакеты ловить.
Код
-m state --state NEW

Так-же флуд детектится connlimit'om. Я бы даже использовал их совместно.

я только когда увидел в первый раз линукс в 2009 году были такие примеры в инете везде, а почему не -m conntrack --ctstate NEW ?
Перейти в начало страницы         Просмотр профиля    Отправить личное сообщение
   + Цитировать сообщение
  Ответить в данную темуНачать новую тему
 
0 пользователей и 1 гостей читают эту тему: