Chủ đề: Cấu hình firewall chống ddos trên linux

Hôm nay mình sẽ hướng dẫn các bạn cách cài đặt firewall chống ddos trên linux. Bài hướng dẫn của mình là cài đặt trên vps, mình cài đặt các dịch vụ sau: APF, BFD, DDOS and RootKit. Dưới đây là các bước cài đặt.
Là một máy chủ web, máy chủ của bạn thường xuyên bị tấn công bởi tin tặc tấn công từ chối dịch vụ (DoS) và các cuộc tấn công attacks khác. Không có phương pháp hết sức rõ ràng để ngăn chặn 100% của tất cả các cuộc tấn công, nhưng có nhiều cách để bảo vệ các máy chủ của bạn bằng cách áp dụng các quy tắc tường lửa, phát hiện và cấm các IP tấn công.
Bài viết này làm cho việc sử dụng APF , BFD , Deflate DDoS và rootkit để phát hiện và bảo vệ máy chủ của bạn từ các cuộc tấn công kiểu tấn công từ chối dịch vụ. Để áp dụng những tiện ích này, hãy làm theo các hướng dẫn dưới đây:
APF – nâng cao dựa trên chính sách Firewall
Lấy nguồn mới nhất từ ​​rfxnetworks, và cài đặt phần mềm.

Mã:

# cd /usr/src 
# mkdir utils 
# cd utils 
# wget http://rfxnetworks.com/downloads/apf-current.tar.gz 
# tar xfz apf-current.tar.gz # cd apf-* 
# ./install.sh

Đọc README.apf và README.antidos cho các tùy chọn cấu hình. Chỉnh sửa /etc/apf/conf.apf và sửa đổi các dòng sau vào nhu cầu của bạn.
# vi /etc/apf/conf.apf
IFACE_IN=”venet0″ (nếu bạn nào cài trên server thì là eth0 hoặc eth1)
IFACE_OUT=”venet0″ (nếu bạn nào cài trên server thì là eth0 hoặc eth1)

Mã:

DEVEL_MODE="0"
IG_TCP_CPORTS="21,22,25,53,80,110,143,443,3306"
IG_UDP_CPORTS="53,111"
USE_AD="1"
SET_MONOKERN=”1″

Theo mặc định, APF được thiết lập để chạy trong chế độ phát triển xóa quy tắc tường lửa mỗi 5 phút. Đang chạy trong chế độ phát triển đánh bại mục đích chạy APF, nó sẽ tự động tuôn ra mỗi 5 phút. Cấu hình các cổng Ingress (inbound) TCP và UDP mà cần phải được mở ra. Cuối cùng, cho phép AntiDos bằng cách thiết lập USE_AD = “1″.
Chỉnh sửa /etc/apf/ad/conf.antidos bạn phù hợp cần thiết, và bắt đầu các bức tường lửa APF.

Mã:

# apf --start

BFD – Brute Force Detection
BFD là một kịch bản phân tích bản ghi bảo mật và phát hiện xác thực thất bại. Nó là một sức mạnh vũ phu thực hiện mà không phức tạp nhiều, và nó hoạt động kết hợp với một APF (Advanced dựa trên chính sách Firewall).

Mã:

## Get the latest source and untar. 
# cd /usr/src/utils
# wget http://rfxnetworks.com/downloads/bfd-current.tar.gz 
# tar xfz bfd-current.tar.gz 
# cd bfd-* 
# ./install.sh

Đọc các tập tin README, và chỉnh sửa các tập tin cấu hình nằm trong /usr/local/bfd/conf.bfd.
Tìm EMAIL_ALERTS= = “0″ và thay thế nó với ALERT = “1″
Tìm EMAIL_ADDRESS= = “root” và thay thế nó bằng EMAIL_USR = ” support@vpshosting.vn ”
Edit /usr/local/bfd/ignore.hosts, và thêm IP riêng đáng tin cậy của bạn. BFD sử dụng APF và do đó nó orverrides allow_hosts.rules, do đó, điều quan trọng là bạn thêm đáng tin cậy địa chỉ IP để ngăn chặn bạn khỏi việc bị khoá.
DDoS Deflate

Mã:

## Get the latest source 
# cd /usr/src/utils 
# mkdir ddos 
# cd ddos 
# wget http://www.inetbase.com/scripts/ddos/install.sh 
# sh install.sh

Chỉnh sửa các tập tin cấu hình, /usr/local/ddos/ddos.conf, và bắt đầu start DDoS
# vi /user/local/ddos/ddos.conf
FREQ=1
NO_OF_CONNECTIONS=50 // max connect từ 1 IP đến server
APF_BAN=1
KILL=1 // tắt/bật (0=tắt, 1= bật)
EMAIL_TO=”support@vpshosting.vn”
BAN_PERIOD=60 // thời gian ban IP là 60 giây, cái này ta để delay tầm 10 giây là đã ổn rồi ko cần thiết 60s

Mã:

# /usr/local/ddos/ddos.sh -c

Rootkit – công cụ phát hiện và loại bỏ các phần mềm gián điệp và Junkware
Tới trang chủ Hunter Rootkit , và tải về phiên bản mới nhất.

Mã:

## Get the latest source and untar 
# cd /usr/src/utils 
# wget http://nchc.dl.sourceforge.net/proje...r-1.4.0.tar.gz 
# tar xfz rkhunter-1.4.0.tar.gz 
# cd rkhunter-1.4.0 
# ./installer.sh 
## run rkhunter --install 
# rkhunter -c

Cấu hình APF và DDOS khởi động cùng hệ thồng:

Mã:

## Edit /etc/rc.d/rc.local 
##      (or similar file depending on Linux version) 
## Add the following lines at the bottom of the file  

/usr/local/sbin/apf --start 
/usr/local/ddos/ddos.sh -c