Všechny otagované články DOS

Útočí na mě z...

Čas Vánoční je čas pohody, klidu a míru. To platí jen do určité chvíle. Třeba dokud na váš server nezačnou útočit z ... Číny. Jedná se o celkem aktuální aférku, o které se (pěkně blbě, takže to ani nečtěte) rozepsala Lupa.cz, nějaké detaily o probíhajících útocích jsou na rcnoviny.cz. Ochrana proti takovému DDOS útoku není žádná sranda a jako admin serveru máte jen omezené pole působnosti. Dokud útočníci nezahltí linku (pak to řešte se svým ISP) a data k vám tak ještě putují, máte jen pár možností, jak se těch nevyžádaných zbavit: Omezení počtu současných připojení: je elegantní řešení. Pokud je ale botnet velký, stačí útočníkovi pouze omezený počet spojení a stejně vás položí. Naopak můžete omezit uživatele, kteří jsou za velkým NATem. Zkusit to ale preventivně můžete: # zablokování portu 80 (webserver) nad 20 současných připojení iptables -A INPUT -p TCP --syn --dport 80 -m connlimit --connlimit-above 20 -j REJECT Omezení připojení za časový úsek: má podobné omezení, jako výše uvedené. # zablokování nových TCP spojení iptables -A INPUT -p tcp --syn -m limit --limit 1/s --limit-burst 3 -j RETURN Omezení přístupu z konkrétní země: je dobré v případě, že na server útočí právě botnet, který je jen (nebo alespoň z podstatné části) v jedné konkrétní zemi a zároveň máte to štěstí, že s ní nemusíte komunikovat. Veškeré subnety rozdělené podle zemí najdete na webu ipdeny.com. Pro omezení příchozích spojení z Číny proto provedeme: wget http://www.ipdeny.com/ipblocks/data/countries/cn.zone while read SUBNET ; do iptables -I INPUT -s $SUBNET -j REJECT ; done < cn.zone Žádné z výše popsaných řešení není úplně nejlepší, ale může pomoci při první obraně systému. Další bezpečnostní otázky řešte s dokumentací systému, manuálem k iptables a v neposlední řadě se svým ISP, který za tučnou úplatu určitě rád pomůže. Máte nějaké další tipy, jak útokům předejít? Podělte se.. Zajímavé zdroje: http://cs.wikipedia.org/wiki/Botnet http://www.ipdeny.com/ipblocks http://www.cyberciti.biz/faq/iptables-connection-limits-howto/ http://www.cyberciti.biz/tips/howto-limit-linux-syn-attacks.html

4 komentářů

by Jakub Jedelský on 19. 12. 2011 16:00 • Permalink

Kategorie administrace, bezpečnost, linux

Tagy DOS, iptables, linux, útok

Posted by Jakub Jedelský on 19. 12. 2011 16:00

http://dev.stderr.cz/2011/12/utoci-na-me-z/

Sŕč [hledat]

Hledat:
L’homme qui l’écrit

Jakub Jedelský

Správce linuxových serverů v brněnském datacentru, milovník dobré hudby a jídla. Obdivuje ty, co dokáží něco dokázat.
Translate
Twitter
- RT @WellBloud: to musím potenciálním followerům dokazovat, že jsem boží? To nestačí, že to ze mě sálá? #jaksiziskatprizen 12 hours ago
- mysql_secure_installation simply upgraded for scripts https://t.co/axm4riVf 19 hours ago
- RT @tracnik: "V pátek zastavíme Internet!" -- Anonymous "My dřív!" -- O2, oddělení plíživého snižováni FUP 1 day ago
- Dnes jsem vykoumal: chown $(stat --format=%U:%G dir/) dir/ -R. Tak krásný příkaz, až jsem se dojmul. 1 day ago
- Spustil jsem kopírování, odeslal narozeninový video a můžu jít v klidu spát. Tak. A vy si dělějte, co chcete.. 1 day ago
J’utilise
K’ategoriés
Ar’ Chive
- Leden 2012 (1)
- Prosinec 2011 (5)
- Listopad 2011 (2)
- Říjen 2011 (1)
- Září 2011 (1)
- Srpen 2011 (2)
- Červenec 2011 (2)
- Červen 2011 (2)
- Květen 2011 (4)
- Duben 2011 (5)
- Březen 2011 (2)
- Únor 2011 (3)
- Leden 2011 (2)
- Prosinec 2010 (3)
- Listopad 2010 (3)
- Říjen 2010 (5)
- Září 2010 (1)
- Srpen 2010 (3)
- Červenec 2010 (1)
- Červen 2010 (3)
- Květen 2010 (3)
- Duben 2010 (2)
- Březen 2010 (2)
- Únor 2010 (1)
- Leden 2010 (1)
- Prosinec 2009 (2)
- Říjen 2009 (1)
- Září 2009 (7)
- Srpen 2009 (1)
- Květen 2009 (2)
- Duben 2009 (5)
Listenin'
- The Dandy Warhols – Love Song před 18 hodinami
- The Dandy Warhols – Talk Radio před 18 hodinami
- The Dandy Warhols – And Then I Dreamt Of Yes před 18 hodinami
- The Dandy Warhols – Wasp In The Lotus před 19 hodinami
- The Dandy Warhols – Welcome To The Third World před 19 hodinami
Tags

6 bezpečnost bnx2-06-4.0.5.fw centos Charlie The Unicorn chrome Debian e-mail Enterprise Facebook fedora fedora 15 firefox gnome google Google Trends grafy hesla internet ipv6 kernel Lenny linux logrotation MySQL novinky ovladač podvod praha python Red Hat RHCSA RHEL root rpm sítě skript spam subnety Ubuntu video vtip web Windows základy administrátora
Blogroll

/dev/stderr

o věcech internetových a linuxových.

Poslední články

Záložky

Útočí na mě z...

Sŕč [hledat]

L’homme qui l’écrit

Translate

Twitter

J’utilise

K’ategoriés

Ar’ Chive

Listenin'

Blogroll

/dev/stderr

o věcech internetových a linuxových.

Poslední články

Záložky

Útočí na mě z...

Sŕč [hledat]

L’homme qui l’écrit

Translate

Twitter

J’utilise

K’ategoriés

Ar’ Chive

Listenin'

Tags

Blogroll