Sync/DDOS Saldırılarına Karşı Korunma
1-İpleri aratıyoruz.
netstat -plan | grep :80 | awk ‘{print $4}’ | cut -d: -f1 |sort |uniq -c
2-Hangi ipden saldırı geliyor onu buluyoruz.
netstat-planı | grep: 80 | awk ‘{print $ 5}’ | cut-d:-f1 | sort | uniq-c
BİOS:
vi / etc / csf / csf.conf
SYNFLOOD
SYNFLOOD varsayılan olarak devre dışıdır. Eğer herhangi bir tür saldırı alamıyorsanız, bunu sağlamak için gerek yoktur. SYNFLOOD gibi bir saldırı bekliyor iseniz aşağıdaki işlemleri yapınız.
SYNFLOOD = “1″
SYNFLOOD_RATE = “30/s”
SYNFLOOD_BURST = “10″
Bu işlemler sayesinde 1 ip en fazla 30 bağlantı kuracaktır.
PORTFLOOD
PORTFLOOD = 80;tcp;100;5,22;tcp;5;300
yani bir IP adresi port 80 (TCP) 5 sn 100 bağlantıları yaparsa o zaman sunucu bloke olur ve 22 bağlantı noktasına 300 sn 5 bağlantıları olacaktır
In /etc/sysctl.conf
# Red Hat Linux Kernel sysctl yapılandırma dosyası
# Ikili değerleri için, 0 devre dışı bırakılır, 1 etkindir. Bkz sysctl (8) ve
net.ipv4.ip_forward=0
# IP kaynaklı yönlendirme devre dışı bırakır
net.ipv4.conf.all.accept_source_route = 0
net.ipv4.conf.lo.accept_source_route = 0
net.ipv4.conf.eth0.accept_source_route = 0
net.ipv4.conf.default.accept_source_route = 0
# IP spoofing korumasını etkinleştir kaynak rota doğrulama açmak
net.ipv4.conf.all.rp_filter = 1
net.ipv4.conf.lo.rp_filter = 1
net.ipv4.conf.eth0.rp_filter = 1
net.ipv4.conf.default.rp_filter = 1
# ICMP Yeniden Yönlendirme Kabul Devre Dışı Bırakma
net.ipv4.conf.all.accept_redirects = 0
net.ipv4.conf.lo.accept_redirects = 0
net.ipv4.conf.eth0.accept_redirects = 0
net.ipv4.conf.default.accept_redirects = 0
# Giriş Sahte paketler, Kaynak Yöneltilmiş paketler, paketler Yönlendirme etkinleştirin
net.ipv4.conf.all.log_martians = 0
net.ipv4.conf.lo.log_martians = 0
net.ipv4.conf.eth0.log_martians = 0
# IP kaynak yönlendirme devre dışı bırakır
net.ipv4.conf.all.accept_source_route = 0
net.ipv4.conf.lo.accept_source_route = 0
net.ipv4.conf.eth0.accept_source_route = 0
net.ipv4.conf.default.accept_source_route = 0
# IP spoofing korumasını etkinleştir kaynak rota doğrulama açmak
net.ipv4.conf.all.rp_filter = 1
net.ipv4.conf.lo.rp_filter = 1
net.ipv4.conf.eth0.rp_filter = 1
net.ipv4.conf.default.rp_filter = 1
# ICMP Yeniden Yönlendirme Kabul Devre Dışı Bırakma
net.ipv4.conf.all.accept_redirects = 0
net.ipv4.conf.lo.accept_redirects = 0
net.ipv4.conf.eth0.accept_redirects = 0
net.ipv4.conf.default.accept_redirects = 0
# Sysrq sihirli anahtar devre dışı bırakır
kernel.sysrq = 0
# Tcp_fin_timeout bağlantısı için varsayılan değeri azaltın.
net.ipv4.tcp_fin_timeout = 15
# Tcp_keepalive_time bağlantısı için varsayılan değeri azaltın.
net.ipv4.tcp_keepalive_time = 1800
# Tcp_window_scaling kapatın
= 0 net.ipv4.tcp_window_scaling
# Tcp_sack kapatın
net.ipv4.tcp_sack = 0
# Tcp_timestamps kapatın
net.ipv4.tcp_timestamps = 0
# TCP SYN Cookie Koruması etkinleştirin
net.ipv4.tcp_syncookies = 1
# Yayınları isteği göz ardı etkinleştirin
net.ipv4.icmp_echo_ignore_broadcasts = 1
# Kötü bir hata mesajı Korumasını Etkinleştir
net.ipv4.icmp_ignore_bogus_error_responses = 1
# Log Sahte paketler, Kaynak Yöneltilmiş paketler, paketler Yönlendirme
net.ipv4.conf.all.log_martians = 1
# Soket kuyruk boyutu (etkili, q0) artırır.
net.ipv4.tcp_max_syn_backlog = 1024
# Tcp-zaman bekle kova havuzu boyutu artırın
net.ipv4.tcp_max_tw_buckets = 1.440.000
# İzin yerel bağlantı noktası aralığı
net.ipv4.ip_local_port_range = 16384 65536
Yeniden başlatmaya gerek olmadan değişiklikleri etkinleştirmek için / sbin / sysctl-p ve sysctl-w net.ipv4.route.flush = 1 çalıştırın.
TCP Syncookies
echo 1> / proc/sys/net/ipv4/tcp_syncookies
Bazı iptables Kuralları:
iptables-A INPUT-p tcp-syn-m limit sınırı 1 / s-limit-burst 3-j RETURN