Útočí na mě z...

Čas Vánoční je čas pohody, klidu a míru. To platí jen do určité chvíle. Třeba dokud na váš server nezačnou útočit z ... Číny.

Jedná se o celkem aktuální aférku, o které se (pěkně blbě, takže to ani nečtěte) rozepsala Lupa.cz, nějaké detaily o probíhajících útocích jsou na rcnoviny.cz.

Ochrana proti takovému DDOS útoku není žádná sranda a jako admin serveru máte jen omezené pole působnosti. Dokud útočníci nezahltí linku (pak to řešte se svým ISP) a data k vám tak ještě putují, máte jen pár možností, jak se těch nevyžádaných zbavit:

  • Omezení počtu současných připojení: je elegantní řešení. Pokud je ale botnet velký, stačí útočníkovi pouze omezený počet spojení a stejně vás položí. Naopak můžete omezit uživatele, kteří jsou za velkým NATem. Zkusit to ale preventivně můžete:
    # zablokování portu 80 (webserver) nad 20 současných připojení
    iptables -A INPUT -p TCP --syn --dport 80 -m connlimit --connlimit-above 20 -j REJECT
  • Omezení připojení za časový úsek: má podobné omezení, jako výše uvedené.
    # zablokování nových TCP spojení
    iptables -A INPUT -p tcp --syn -m limit --limit 1/s --limit-burst 3 -j RETURN
  • Omezení přístupu z konkrétní země: je dobré v případě, že na server útočí právě botnet, který je jen (nebo alespoň z podstatné části) v jedné konkrétní zemi a zároveň máte to štěstí, že s ní nemusíte komunikovat. Veškeré subnety rozdělené podle zemí najdete na webu ipdeny.com. Pro omezení příchozích spojení z Číny proto provedeme:
    wget http://www.ipdeny.com/ipblocks/data/countries/cn.zone
    while read SUBNET ; do iptables -I INPUT -s $SUBNET -j REJECT ; done < cn.zone

Žádné z výše popsaných řešení není úplně nejlepší, ale může pomoci při první obraně systému. Další bezpečnostní otázky řešte s dokumentací systému, manuálem k iptables a v neposlední řadě se svým ISP, který za tučnou úplatu určitě rád pomůže.

Máte nějaké další tipy, jak útokům předejít? Podělte se..

Zajímavé zdroje:

4 thoughts on “Útočí na mě z...

  1. lzap

    Zajímavý, a o jaký obsah se na těch serverech jedná? Také o e-shopy? Proč by tohle proboha někdo dělal v takovém rozsahu? Jakože by to byli frustovaní čínští obchodníci, kteří prý budou mít o 30 % nižší obraty než minulé Vánoce?

    1. Jakub Jedelský Post author

      Co vím, tak první útoky směřovaly na weby, které měly co do činění s RC modely - nějaké info je v odkazovaném článku na rcnoviny.cz; do pozadí nevidím. V druhé vlně (mnohdy silnější) už to nešlo na doménu, ale přímo na odpovídající IP.

  2. Martin Hruška

    Takhle se snadno ukáže, komu eshop dělalo prase a kdo ho má profesionálně udělaný.

    Kdo si myslel, že bude platit 50 Kč za hosting měsíčně a zbytek si slepí sám nebo se studentíkem, ten teď pláče. Komu to dělal profesionál a hostuje třeba na Amazonu nebo Google Apps, ten je teď vysmátý a v klidu.

    Takže nedejte na řeči "odborníků", že se s tím nedá nic dělat, ani se nijak připravit. Dá a není to drahé.

    1. O

      A nebo taky tam, kde to ostujes za 50 kc / mesic maj 300 shopu a uz to maj davno udelany globalne. Zatimco "profesional" co si sudli jeden shop, atk nic takovyho urcite nema.

Comments are closed.