Przykładowa konfiguracja firewalla anty-DDOS

[elljot]

Na wstępie…

Ochrona przed DDoS to ważna rzecz dla serwerów, jeśli nie chcemy mieć problemów z dostępnością usług. Prędzej czy później znajdzie się ktoś komu przeszkadza nasz serwer, chce się pobawić, wredna konkurencja, nudzi mu się itd. i akurat nasz serwer przypadł mu do ataku. Na takich agentów jest wiele sposobów. Oczywiście opisuję tutaj metody na Linuxa, bo Windows załapuje DDoS przed podłączeniem do sieci (a dobry firewall kosztuje fortunę).

Do poniższych czynności potrzebne są uprawnienia roota (su).

Po pierwsze: APF (Advanced Policy-based Firewall)

Jest to rozbudowany firewall, troszkę inny niż iptables. Nic nie przeszkadza, aby mieć je oba, a wiadomo firewall bez wrednych reguł, nie zawadza.

Instalacja:

 

# cd /usr/src

# mkdir utils

# cd utils

# wget

To jest ukryta treść, proszę

• Zaloguj się
• lub
• Zarejestruj się

# tar xfz apf-current.tar.gz

# cd apf-*

# ./install.sh

 

I już zainstalowane… ale nie gotowe. W plikach README.apf i README.antidos znajdziesz opisy konfiguracji, które warto przeczytać. Teraz wypada zmienić trochę konfigurację. Edytuj plik /etc/apf/conf.apf i zmień następujące linie:

 

DEVEL_MODE=”0”

IG_TCP_CPORTS=”21,22,25,53,80,110,143,443,3306”

IG_UDP_CPORTS=”53,111”

USE_AD=”1”

 

Teraz krótkie wyjaśnienie: Pierwsza linijka – wyłączamy development mode. Druga linijka: Określamy dozwolone porty WEJŚCIOWE TCP. Bardzo ważne by nie zapomnieć np o porcie 22 dla SSH i wszystkich innych nam potrzebnych. Trzecie linijka, to samo tylko, że porty UDP. Tutaj głównie DNS (port 53), Portmapper (port 111). Na końcu uruchamiamy AntiDDoS (czwarta linijka).

Dobra, namęczyliśmy się, pora to wykorzystać. Odpalamy APF komendą:

# apf –start

 

Jeśli wyświetli Ci się błąd (Unable to load iptables module (ip_tables), aborting), dodaj w configu APF (tym co wyżej), linię “SET_MONOKERN 1”.

Po drugie: DDoS Deflate

Do działania DDoS Deflate wymagany jest APF Instalacja:

 

# cd /usr/src/utils

# mkdir ddos

# cd ddos

# wget

To jest ukryta treść, proszę

• Zaloguj się
• lub
• Zarejestruj się

# sh install.sh

 

Teraz konfiguracja:

W pliku:

/usr/local/ddos/ddos.conf

możesz zwiększyć czasy blokad (banów na IP).

Odpalamy:

# /usr/local/ddos/ddos.sh -c

 

Gotowe. DDoS Deflate został dodany do crona. co 5 minut uruchamia się i blokuje adresy IP w APF, które mają więcej niż ilość połączeń ustawiona w configu na czas określony w configu. Polecam czas blokady zwiększyć.

Po trzecie: Reguły do IPTables:

Blokada przed atakiem DOS – Ping of Death

iptables -A INPUT -p ICMP –icmp-type echo-request -m length –length 60:65535 -j ACCEPT

 

Blokada przed atakiem DOS – Teardrop

iptables -A INPUT -p UDP -f -j DROP

 

Blokada przed atakiem DOS – SYN-flood

iptables -A INPUT -p TCP –syn -m iplimit –iplimit-above 9 -j DROP

 

Blokada przed atakiem DOS – Smurf

 

iptables -A INPUT -m pkttype –pkt-type broadcast -j DROP

iptables -A INPUT -p ICMP –icmp-type echo-request -m pkttype –pkttype broadcast -j DROP

iptables -A INPUT -p ICMP –icmp-type echo-request -m limit –limit 3/s -j ACCEPT

 

Blokada przed atakiem DOS – UDP-flood (Pepsi)

 

iptables -A INPUT -p UDP –dport 7 -j DROP

iptables -A INPUT -p UDP –dport 19 -j DROP

 

Blokada przed atakiem DOS – SMBnuke

 

iptables -A INPUT -p UDP –dport 135:139 -j DROP

iptables -A INPUT -p TCP –dport 135:139 -j DROP

 

Blokada przed atakiem DOS – Connection-flood

iptables -A INPUT -p TCP –syn -m iplimit –iplimit-above 3 -j DROP

 

Blokada przed atakiem DOS – Fraggle

 

iptables -A INPUT -p UDP -m pkttype –pkt-type broadcast -j DROP

iptables -A INPUT -p UDP -m limit –limit 3/s -j ACCEPT

 

Blokada przed atakiem DOS – Jolt

iptables -A INPUT -p ICMP -f -j DROP

 

Istnieje możliwość, że system zastrajkuje z powodu braku w kernelu jakiegoś modułu, wtedy należy sobie przekompilować jajko lub… dać sobie spokój jeśli to za trudne, piszę o tym tylko dlatego, zebyście wiedzieli, że tak może być.

Na zakończenie…

Teraz jesteśmy (prawie) bezpieczni.

Należy pamiętać aby dodać APF do autostartu, jeśli instalujemy z paczki jest to automatycznie, jeśli z opisanego wyżej sposobu, trzeba to zrobić samemu.

Zauważ, że wszystkie pliki instalacyjne zostawiamy w katalogu /usr/src/utils. Dlaczego ? Bo jak sama nazwa wskazuje, tam powinny się znaleźć ! (A nie śmiecić w /root)

P.S.

Powyższy poradnik nie musi działać na serwerach typu VPS, ze względu na blokady nałożone na tych serwerach. Poradnik zaleca się stosować na serwerach dedykowanych.

[Sivin]

I to się nazywa poradnik.

Dzięki wielkie leci "Lubię to"

[Vortax.]

i to sie nazywa poradnik ktory bardzo sympatycznie wprowadza ludzi w blad. mozna powtarzac setki razy na tym forum wszystkim a autor specjalnie i celowo bedzie pisal w tytule tutorialu... firewall anty ddos. kazda maszyna padnie przy DDoS w chwili kiedy bedzie miala firewall softwarowy. jedyna obrona przed ddos to firewall sprzetowy przed maszyna dedykowana ew VPS w DC czyli ustawiony przed "ostatnia mila". to ze sobie zablokujesz ip nic nie znaczy, pakiety i tak beda docieraly do interfejsu karty sieciowej i najpewniej "zajada" maszyne. w "dzisiejszych czasach" malo ktory admin uzywa jeszcze APF. do DDoS, ani do DoS sie to nie nadaje, za to bardzo fajnie limituje ilosc polaczen. takze dla osob czytajacych ten tutorial. to Was przed DDoS nie obroni

[Arsob]

Niestety kolega Vortax ma racje po części. Przy wpięciu 1Gbps i kartą intelowską da rade wytrzymac do jakis 500-900 Mbps (zalezy od typu ataku, systemu operacyjnego i czy switch wczesiniej ogarnie ;p ) jesli karta sieciowa nie padnie i nawt będzie to załóżmy 600 Mbps oraz FW systemowy będzie dobrze zrobiony to spokojnie apka hostwoana powinna byc dalej dostępna. Osobiscie testowałem jako zabezpieczenie wczesniejesz i jako switcho-router jakis model Microticka 2 rdzeniowy i 4 rdzeniowy oraz junipera srx240H. 2 rdzeniowy MT składał sie przy jakis 200-500Mbps a 4 rdzeniowiec dawał rade do 860 Mbps (większym dosem nie dostałem w fazie testowania). Niestety nie moge polecic nikomu MT jako zabezpieczenie przed ddosami te urządzenia projektowane są dla ISP a nie do odpierania flooda. Natomiast Junipery to inna bajka oraz zupełnie inne podejscie do routera (bardzo mi sie podobał terminal w nich oraz sposób konfiguracji, wydawał mi sie lepszy od cisco i MT) co do odpierania nim fooda to zabrdzo go nie testowałem w warunkach "bojowych" ale wiem ze serie srx (tylko napewno te wysze modele) urzywa np Hosteam , IQ i nie jestem pewny czy nie etop. Wracjąc do AFP osobiscie go lubie jako ochrona przed spamem (automatyczne pobieranie listy z Honey Pot) wycinanie mini floodow itp jest ok do normalnych serwerów firm. Nie zapominajmy ze oprucz tej chorej internetowej walki gdzie zeby pozbyc sie konkurencji trzeba w nią rzucać cegłami bo inaczej sie nie potrafi, jest tez normalny sektor (nabieram w tym momęcie szacunku do nie zamówionych pentestów, nie to ze popieram takie działnia tylko w tym wypadku trzeba miec choc troche iq, a nie tylko web panel z miejscem na ip i przyciskiem ). Co do ddosow jest to problem dosc wielki i temat do dyskusji na godziny.

[Vortax.]

Juniper jest oparty o FreeBSD a nie Linuxa(Mikrotik) stad roznica ktora zaobserwowales. wsrod ISP i w rozwiazaniach profesjonalnych rzadko kto uzywa Mikrotika przy traffic'u pow. 1 Gbit. mysle ze przy duzym ruchu najsensowniej jest patrzyc co uzywaja "najwieksi". najprostszy przyklad AMS-IX i ich routery BGP do przewalania ruchu ktore byly oparte o OpenBGP. trzeba tez patrzec czy ddos leci po tcp czy udp, bo majac firewall softwarowy i atak tcp na zamkniety port i tak sprzet zdechnie niezaleznie od lacza...

[lecraft.pl]

Nie powstrzyma to ataków ddos

[Gość]

Fakt faktem ze jesli nie posiadamy sprzetowego Firewala mozemy sie cmoknac w dupke :P Jesli ktos wyjebie rurka 40gb/s

[pemo444]

W jakimś stopniu na pewno to pomoże, jednak jeśli chcemy "lepiej" się chronić to polecam hyperfilter oraz cloudflare. :P

[DejmieN1]

no zajebisty poradnik ladnie wszystko opisane i działa thx ziomus

[xTovganx]

bardzo ładnie napisane lajk leci .

[ЯоKат]

skorzystalem z tej rady i naprawde powiem,ze ogranicza skutki z atakow (w moim przypadku)do 5gb/s pozdrawiam z ovh

[kukubaczek]

Jak to potem usunąć? :F Bo kolega narobił z tym dziadostwa i wywala mi graczy z serwera ...

[KlimasStudio]

Zrobiłem sobie skrypt aby dodał wszystko na raz w iptables

 

 

Wynik wywołania skryptu:

To jest ukryta treść, proszę

• Zaloguj się
• lub
• Zarejestruj się

I nagle wszystkich wywaliło z TeamSpeaka a mnie z ssh :/ i tak co chwile.

[Harvettia]

Dzięki na pewno przetestujemy !

 

Pozdrawiam

[Mortelius1196]

Potwierdzam że działa, sam testowałem na swoim VPS bez tego serwer pada. Po tym jest cudnie dzięki wielkie.

[Mortelius1196]

i to sie nazywa poradnik ktory bardzo sympatycznie wprowadza ludzi w blad. mozna powtarzac setki razy na tym forum wszystkim a autor specjalnie i celowo bedzie pisal w tytule tutorialu... firewall anty ddos. kazda maszyna padnie przy DDoS w chwili kiedy bedzie miala firewall softwarowy. jedyna obrona przed ddos to firewall sprzetowy przed maszyna dedykowana ew VPS w DC czyli ustawiony przed "ostatnia mila". to ze sobie zablokujesz ip nic nie znaczy, pakiety i tak beda docieraly do interfejsu karty sieciowej i najpewniej "zajada" maszyne. w "dzisiejszych czasach" malo ktory admin uzywa jeszcze APF. do DDoS, ani do DoS sie to nie nadaje, za to bardzo fajnie limituje ilosc polaczen. takze dla osob czytajacych ten tutorial. to Was przed DDoS nie obroni

Wypowiem się tak. Mam kupiony Stresser który ma zasypuje pakietami z prędkością 40 GB. Mój serwer na OVH bez tego pada jak mucha po kontakcie z gazetą. Po instalacji tego wszystko śmiga i serwer się nie pinguje. Ja sprawdziłem a ty?

[andre1134]

Wszytsko dziala ladnie, ale mam jedno pytanie jak zrobic zeby mogli ludzie na teamspeak wbijac z ip niemieckim?

Probowalem juz rozne rzeczy dodajac port 80 itp. i nic nie dziala. Dodam ze instalowalem to wszytsko co w poradniku.

[Yogi]

 

Na wstępie…

 

 

Ochrona przed DDoS to ważna rzecz dla serwerów, jeśli nie chcemy mieć problemów z dostępnością usług. Prędzej czy później znajdzie się ktoś komu przeszkadza nasz serwer, chce się pobawić, wredna konkurencja, nudzi mu się itd. i akurat nasz serwer przypadł mu do ataku. Na takich agentów jest wiele sposobów. Oczywiście opisuję tutaj metody na Linuxa, bo Windows załapuje DDoS przed podłączeniem do sieci (a dobry firewall kosztuje fortunę).

Do poniższych czynności potrzebne są uprawnienia roota (su).

 

 

Po pierwsze: APF (Advanced Policy-based Firewall)

 

Jest to rozbudowany firewall, troszkę inny niż iptables. Nic nie przeszkadza, aby mieć je oba, a wiadomo firewall bez wrednych reguł, nie zawadza.

Instalacja:

 

 

# cd /usr/src

# mkdir utils

# cd utils

# wget http://rfxnetworks.com/downloads/apf-current.tar.gz

# tar xfz apf-current.tar.gz

# cd apf-*

# ./install.sh

 

 

 

I już zainstalowane… ale nie gotowe. W plikach README.apf i README.antidos znajdziesz opisy konfiguracji, które warto przeczytać. Teraz wypada zmienić trochę konfigurację. Edytuj plik /etc/apf/conf.apf i zmień następujące linie:

 

 

DEVEL_MODE=”0”

IG_TCP_CPORTS=”21,22,25,53,80,110,143,443,3306”

IG_UDP_CPORTS=”53,111”

USE_AD=”1”

 

 

Teraz krótkie wyjaśnienie: Pierwsza linijka – wyłączamy development mode. Druga linijka: Określamy dozwolone porty WEJŚCIOWE TCP. Bardzo ważne by nie zapomnieć np o porcie 22 dla SSH i wszystkich innych nam potrzebnych. Trzecie linijka, to samo tylko, że porty UDP. Tutaj głównie DNS (port 53), Portmapper (port 111). Na końcu uruchamiamy AntiDDoS (czwarta linijka).

Dobra, namęczyliśmy się, pora to wykorzystać. Odpalamy APF komendą:

 

 

 

# apf –start

 

 

 

Jeśli wyświetli Ci się błąd (Unable to load iptables module (ip_tables), aborting), dodaj w configu APF (tym co wyżej), linię “SET_MONOKERN 1”.

 

 

 

Po drugie: DDoS Deflate

 

 

Do działania DDoS Deflate wymagany jest APF  Instalacja:

 

 

# cd /usr/src/utils

# mkdir ddos

# cd ddos

# wget http://www.inetbase.com/scripts/ddos/install.sh

# sh install.sh

 

 

Teraz konfiguracja:

W pliku:

/usr/local/ddos/ddos.conf

 

możesz zwiększyć czasy blokad (banów na IP).

Odpalamy:

 

# /usr/local/ddos/ddos.sh -c

 

 

 

Gotowe. DDoS Deflate został dodany do crona. co 5 minut uruchamia się i blokuje adresy IP w APF, które mają więcej niż ilość połączeń ustawiona w configu na czas określony w configu. Polecam czas blokady zwiększyć.

 

 

 

Po trzecie: Reguły do IPTables:

 

 

 

Blokada przed atakiem DOS – Ping of Death

iptables -A INPUT -p ICMP –icmp-type echo-request -m length –length 60:65535 -j ACCEPT

 

 

 

Blokada przed atakiem DOS – Teardrop

iptables -A INPUT -p UDP -f -j DROP

 

 

 

Blokada przed atakiem DOS – SYN-flood

iptables -A INPUT -p TCP –syn -m iplimit –iplimit-above 9 -j DROP

 

 

 

Blokada przed atakiem DOS – Smurf

 

iptables -A INPUT -m pkttype –pkt-type broadcast -j DROP

iptables -A INPUT -p ICMP –icmp-type echo-request -m pkttype –pkttype broadcast -j DROP

iptables -A INPUT -p ICMP –icmp-type echo-request -m limit –limit 3/s -j ACCEPT

 

 

 

Blokada przed atakiem DOS – UDP-flood (Pepsi)

 

 

iptables -A INPUT -p UDP –dport 7 -j DROP

iptables -A INPUT -p UDP –dport 19 -j DROP

 

 

 

Blokada przed atakiem DOS – SMBnuke

 

iptables -A INPUT -p UDP –dport 135:139 -j DROP

iptables -A INPUT -p TCP –dport 135:139 -j DROP

 

 

 

 

Blokada przed atakiem DOS – Connection-flood

iptables -A INPUT -p TCP –syn -m iplimit –iplimit-above 3 -j DROP

 

 

 

Blokada przed atakiem DOS – Fraggle

 

iptables -A INPUT -p UDP -m pkttype –pkt-type broadcast -j DROP

iptables -A INPUT -p UDP -m limit –limit 3/s -j ACCEPT

 

 

 

Blokada przed atakiem DOS – Jolt

iptables -A INPUT -p ICMP -f -j DROP

 

 

 

 

 

Istnieje możliwość, że system zastrajkuje z powodu braku w kernelu jakiegoś modułu, wtedy należy sobie przekompilować jajko lub… dać sobie spokój jeśli to za trudne, piszę o tym tylko dlatego, zebyście wiedzieli, że tak może być.

 

 

Na zakończenie…

 

Teraz jesteśmy (prawie) bezpieczni.

Należy pamiętać aby dodać APF do autostartu, jeśli instalujemy z paczki jest to automatycznie, jeśli z opisanego wyżej sposobu, trzeba to zrobić samemu.

Zauważ, że wszystkie pliki instalacyjne zostawiamy w katalogu /usr/src/utils. Dlaczego ? Bo jak sama nazwa wskazuje, tam powinny się znaleźć ! (A nie śmiecić w /root)

 

P.S.

 

Powyższy poradnik nie musi działać na serwerach typu VPS, ze względu na blokady nałożone na tych serwerach. Poradnik zaleca się stosować na serwerach dedykowanych.

 

Mój APF ma o wiele więcej opcji niż twój tutaj opisany. Wpisałeś wszystko co potrzeba skonfigurować ? 

[`.Łukasz.]

Odświeżam temat.. Warto z tego skorzystać?

[√єєση]

Czy ten poradnik ogólnie pomógł ? czy dalej bez sensu go robienie?