Date: Thu, 17 Mar 2005 02:43:56 +0500
From: Vladimir Bobarikin <Vladimir_Bobarikin@p1.f13.n5034.z2.fidonet.org.>
Newsgroups: ftn.ru.unix.bsd
Subject: Автоблокировка сетей участвующих в DDoS
RP>>> Есть какой-то бесплатный софт для защиты от сабжа?
RP>>> Бо на FreeBSD-сеpваке один домен досят по стpашному - пpишлось
RP>>> отключить, не подскажете как защититься?
Вот подробнее о моем предложении:
я бы в твоей ситуации поступил следующим образом (если возможно):
1. Беру отдельную машинку, гашу на ней все сервисы.
2. Устанавливаю /usr/ports/sysutils/portsentry
3. Редактирую конфиг (он там очень простенький), чтобы ps висел на определенных
портах (напромер - если досят dns - включаю в прослушку 53 порт, и т.д).
4. Устанавливаю переменную в конфиге "KILL_ROUTE" с параметром блокировки
атакующего по IP-адресу.
5. Устанавливаю счетчик соединений (он там в конце файла) на 10, чтобы избежать
случайностей.
6. Запускаю PS.
7. Меняю запись домена, указываю, что сейты, почта, etc, лежат на этом
сервере-ловушке.
8. Выжидаю недельку, гляжу лог, и ipfw show - на предмет залоченых IP. В
принципе, если этот делал человек, а не 1000 зараженных компов :) то должно
хватить.
PS действует следующим образом:
- вешается на указанные тобой порты
- при достижении максимального количества соединений с 1 IP на порт, который он
слушает - выполняется команда KILL_ROUTE, в которую ты можешь вбить по-желанию
что угодно, любую команду
- ведется побробный лог, который затем можно своим скриптом проанализировать,
если треба.
Если такое не возможно (отдельный сервак-ловушку), то можно установить SNORT, в
нем довольно неплохой механизм слежения за уже работающими сервисами (детектит
скрытое сканирование, и вообще все классические атаки) + выкладывает сам всю
статистику в WWW.
Hе помню его конфига, но если там нельзя делать авто-блокировку, то всегда
можно написать скрипт, который будет смотреть логи и на основе их анализа
блокировать тот или иной IP (к примеру при детексте именно ДОСа)
Если что, могу поделиться скриптом, для работы с PS, который на основе логов
делит IP на "свой-чужой" и соответственно выкладывает в WWW - своих и ipfw deny
для чужих.