नेटस्टैट और आईपीटैबल्स के साथ इष्टतम डीडीओएस सुरक्षा

आपका दिन शुभ हो!

हाल ही में, मुझे DDoS जैसी समस्या का सामना करना पड़ा। मुझे तुरंत यह कहना होगा कि मैं कभी भी एक लिनक्सॉइड नहीं रहा हूं, लेकिन थोड़ा प्रोग्रामर, इसलिए नीचे सब कुछ शुद्ध रूप से तर्क पर आधारित है और तथ्यों पर नहीं, साथ ही पहले से ज्ञात एक से कुछ परिवर्धन के साथ फिर से लिखा गया है।

लेखों की भीड़ के माध्यम से खोदने और कई विकल्पों की कोशिश करने के बाद, मुझे यह पता नहीं चल पाया कि रक्षा में क्या मदद मिलेगी। लेख के आधार पर http ddoS को nmbx और iptables का उपयोग करके 50mb से फ्लिप करने की एक सरल और प्रभावी विधि और (D) DoS Deflate ने अपनी स्क्रिप्ट लिखने का निर्णय लिया। खैर, मैंने वास्तव में निर्णय नहीं लिया था, लेकिन टाइपिंग और सुधार की विधि से उन्होंने खुद को बाहर कर दिया।

मुझे कहना होगा कि अलेक्सई कुज़मिन का लेख सही नहीं है, क्योंकि यह nginx`a लॉग में खुदाई करने के लिए पर्याप्त नहीं है, और लॉग प्रसंस्करण के लिए बहुत सारे संसाधनों की आवश्यकता हो सकती है। अर्थात्, मेरे मामले में, 50 से अधिक गिग के लॉग बनाए गए थे, साथ ही अनुरोध "GET / HTTP / 1.1" नहीं था, लेकिन "GET / HTTP / 1.0", इसके अलावा, जैसा कि यह निकला, मेरे सर्वर को स्वयं रीडायरेक्ट (127.0.0.1) प्राप्त हुआ, अनुरोध में प्रदर्शित किए गए लॉग में दिखाई नहीं दिया

netstat -ntu | awk '{print $5}' | cut -d: -f1 | sort | uniq -c | sort -n 

स्क्रिप्ट का सार ऐसा है कि एक निश्चित समय के बाद, स्क्रिप्ट मुकुट से शुरू होती है और सर्वर, आईपी और उनके कनेक्शन की संख्या की जांच करती है जो फ़ाइल में लिखे गए हैं। फिर एक और स्क्रिप्ट लॉन्च की जाती है जो दिखती है, यदि कनेक्शन निर्दिष्ट संख्या से अधिक है (मेरे पास 20 है), तो इन आईपीओं को iptables के माध्यम से अवरुद्ध करने के साथ एक स्क्रिप्ट बनाई जाती है।

मैंने काम के पूरे पाठ्यक्रम को अलग से ट्रैक करने के लिए अलग-अलग फाइलें बनाईं, और मेरी अक्षमता के कारण, यह पता लगाना आसान था कि कहां और क्या काम नहीं किया।

अब अभ्यास करने के लिए:
एक निर्देशिका बनाएं जहां स्क्रिप्ट होगी

 mkdir /usr/local/ddos 

इसमें हम ddos.sh फ़ाइल बनाते हैं और उसके अधिकार बदलते हैं:

 chmod 0755 /usr/local/ddos/ddos.sh 

इसे लिखें:

 #!/bin/sh #          ddos.iplist   tmp netstat -ntu | awk '{print $5}' | cut -d: -f1 | sort | uniq -c | sort -n > /tmp/ddos.iplist #     cat /dev/null > /tmp/iptables_ban.sh #  DROP   50    awk '{if ($1 > 20) {print "/sbin/iptables -I INPUT -p tcp --dport 80 -s " $2 " -j DROP" }}' /tmp/ddos.iplist >> /tmp/iptables_ban.sh #      ,        iptables echo "/sbin/iptables -L INPUT -v -n > /tmp/iptables.log" >> /tmp/iptables_ban.sh #     bash /tmp/iptables_ban.sh #    cat /dev/null > /var/log/ddos/error.log [ ! -f /var/run/nginx.pid ] || kill -USR1 `cat /var/run/nginx.pid` 

वह मूल रूप से यह है। अब crontab चलाएं, मुझे कमांड पसंद है:

 EDITOR=mcedit crontab -e 

या बस

 crontab -e 

और इसमें एक नया कार्य जोड़ें जो हर 10 मिनट में चलता है:

 */10 * * * * /bin/sh /usr/local/ddos/ddos.sh 

मैंने nginx`a से /etc/logrotate.d/nginx फ़ाइल में लॉग के रोटेशन को भी बदल दिया ताकि मल्टी-गिग फ़ाइल न बनें

 /var/log/nginx/*.log { daily size 20M missingok rotate 150 compress delaycompress notifempty create 640 root adm sharedscripts postrotate [ ! -f /var/run/nginx.pid ] || kill -USR1 `cat /var/run/nginx.pid` endscript } 

और हर घंटे चलने वाले मुकुट में एक और कार्य लिखा

 0 * * * * /usr/sbin/logrotate /etc/logrotate.conf 

खैर, अधिक आराम के लिए, मैंने दिन में एक बार, फिर से मुकुट के माध्यम से सर्वर को फिर से शुरू करने का फैसला किया:

 0 4 * * * /sbin/reboot 

Crontab -l के माध्यम से सामान्य नौकरी सूची उत्पादन:

 */10 * * * * /bin/sh /usr/local/ddos/ddos.sh 0 * * * * /usr/sbin/logrotate /etc/logrotate.conf 0 4 * * * /sbin/reboot 

मैंने रूट उपयोगकर्ता के तहत सब कुछ लिखा है, इसलिए यदि आप इस उपयोगकर्ता के अधीन नहीं हैं, तो आपको प्रत्येक कमांड से पहले रूट जोड़ना चाहिए, जैसे:

 */10 * * * * root /bin/sh /usr/local/ddos/ddos.sh 

उसने सभी मार्गों को निरपेक्ष बना दिया, क्योंकि पूर्ण पथ के बिना सभी टीमों ने काम नहीं किया।

मुझे उम्मीद है कि यह लेख किसी के लिए उपयोगी है। कृपया कोड को कड़ाई से न देखें, जैसे कि मैंने पहली बार खुद सर्वर पर पहली बार किया था)