Chủ đề: [Linux Centos] Tối ưu server : Anti DDos cho Linux Webserver

Nói về vấn đề DDos, có lẽ sẽ rất khó để chắc chắn rằng làm thế nào chúng ta có thể an toàn 100% trước vấn nạn này. Bởi có rất nhiều phương thức tấn công như dos,ddos, flood, Slowloris …cũng như đi kèm với nó là các cường độ khác nhau. Bởi vậy các giải pháp TechBlog trình bày bên dưới sẽ chỉ có thể giúp bạn trong một số trường hợp nhất định mà thôi. Tuy vậy nó cũng sẽ phần nào giúp bạn kiện toàn bảo mật cho webserver của bạn.







1. Hạn chế DDos: Dos Deflate


Tiến hành cài đặt Firewall Dos Deflate:
#cd download
#wget http://www.inetbase.com/scripts/ddos/install.sh
#chmod 0700 install.sh
#./install.sh
Sau khi cài đặt thành công, ta có thể cấu hình Firewall bằng cách dùng lệnh:
#nano /user/local/ddos/ddos.conf
Đây là file cấu hình của Firewall, nội dung cơ bản sẽ như sau:
FREQ=1 // tắt/ bật Firewall (0=tắt, 1=bật)
NO_OF_CONNECTIONS=150 // max connect từ 1 IP đến server
APF_BAN=1
KILL=1 // tắt/bật (0=tắt, 1= bật)
EMAIL_TO="administrator@techblog.vn"
BAN_PERIOD=600 // thời gian ban IP là 600 giây

Khởi động:

Mã:

/usr/local/ddos/ddos.sh -c

Cấu hình khởi động cùng hệ thồng:

Mã:

## Edit /etc/rc.d/rc.local 
##      (or similar file depending on Linux version) 
## Add the following lines at the bottom of the file  

/usr/local/ddos/ddos.sh -c

2. Apache Antiddos Mod: mod_dosevasive

Refer to the following steps to install the Mod_evasive but make sure that you have logged in as a root user.


cd /usr/local/src
wget http://theperfectarts.com/software/m..._1.10.1.tar.gz
tar xvfz mod_ev*
cd mod_evasive*


Tiếp tục đánh lệnh sau:

apxs -cia mod_evasive20.c

Nếu xuất hiện lỗi như sau -bash: apxs: command not found thì do các bạn chưa cài apxs

yum install httpd-devel (yum install apache2-threaded-dev gcc)

Tìm và thêm vào file httpd.conf đoạn sau:
Add the following to httpd.conf


<IfModule mod_dosevasive20.c> DOSHashTableSize 3097
DOSPageCount 1
DOSSiteCount 50
DOSPageInterval 1
DOSSiteInterval 1
DOSBlockingPeriod 10
DOSEmailNotify root
# DOSSystemCommand “su – someuser -c ‘/sbin/… %s …’”
# DOSLogDir “/var/tmp/doslog”
#Leave this commented while testing, then uncomment once you are sure the module works
# DOSWhitelist 127.0.0.1
</IfModule>

hoặc

<IfModule mod_dosevasive20.c>
DOSHashTableSize 3097
DOSPageCount 6
DOSSiteCount 100
DOSPageInterval 2
DOSSiteInterval 2
DOSBlockingPeriod 600
DOSEmailNotify someuser@somedomain.com
</IfModule>




Descriptions:

- DOSHashTableSize: the size of the table of URL and IP combined
- DOSPageCount: the number of same page requests from the same IP during an interval that will cause that IP to be added to the block lt.
- DOSSiteCount: the number of pages requested of a site by the same IP during an interval which will cause the IP to be added to the block lt.
- DOSPageInterval: the interval that the hash table for IPs and URLs erased (in seconds)
- DOSSiteInterval: the intervale that the hash table of IPs erased (in seconds)
- DOSBlockingPeriod: the time the IP blacked (in seconds)
- DOSEmailNotify: can be used to notify by sending an email everytime an IP blocked
- DOSSystemCommand: the command used to execute a command when an IP blocked. It can be used to add a block the user from a firewall or router.
- DOSWhiteLt: can be used to whitelt IPs such as 127.0.0.1


Sau đó lưu lại và restart apache bằng lệnh:
#service httpd restart
hoặc
#/etc/init.d/httpd restart



3. Cài đặt và cấu hình Iptables:

iptables -A INPUT -p tcp --syn -m limit --limit 1/s --limit-burst 3 -j RETURN

Về thông tin giới thiệu, cài đặt, cách sử dụng TechBlog đã có trình bày cụ thể tại bài viết Cấu hình Firewall Iptables trên CentOS / Redhat. Trong trường hợp anti ddos, chúng ta chỉ quan tâm một số rules cơ bản như sau:
#Limit the number of incoming tcp connections
#Interface 0 incoming syn-flood protection
#iptables -N syn_flood
#iptables -A INPUT -p tcp --syn -j syn_flood
#iptables -A syn_flood -m limit --limit 1/s --limit-burst 3 -j RETURN
#iptables -A syn_flood -j DROP



4. Cài đặt mod_antiloris cho Apache:

How To Install Mod_Antiloris?

1) Download the installer from sourceforge and install

a) cd /usr/local/src
b) wget http://sourceforge.net/projects/mod-...r.bz2/download
c) tar -xvjf mod_antiloris-0.4.tar.bz2
d) cd mod_antiloris-*
e) apxs -a -i -c mod_antiloris.c

2) Now we have to restart apache

service httpd restart

3) How to check whether mod_antiloris loaded or not

httpd -M | grep antiloris

Note if you are using cpanel server then you have to run the below command to make sure new modification are updated into configuration system file

/usr/local/cpanel/bin/apache_conf_distiller –update

Now you can check if your Apache is protected from Slowloris Dos attack or not . Launch a slowloris attack and check Apache status page to see if its effecting it or not.

- Mod antiloris default giới hạn 20 connections cho một Ip, bạn có thể tùy chỉnh bằng cách add vào httpd.conf
vd:
<IfModule antiloris_module>
IPReadLimit 50
</IfModule>

Chúc bạn thành công.

Chống Syn Flood attacks sử dụng Iptables

Chống Syn Flood attacks sử dụng Iptables

Syn flood là 1 dạng tấn công từ chối dịch vụ, kẻ tấn công gửi các gói tin kết nối SYN đến hệ thống. Đây là 1 loại tấn công rất phổ biến. Loại tấn công này sẽ nguy hiểm nếu hệ thống cấp phát tài nguyên ngay sau khi nhận gói tin SYN từ kẻ tấn công và trước khi nhận gói ACK. Các bạn có thể xem thêm về thiết lập 3 way handshake TCP connection.

Nếu việc thiết lập kết nối chưa hòan tất 3 bước đây đủ (gọi là half-open connection) mà buộc hệ thống server phải cấp tài nguyên để quản lý thì kẻ tấn công có thể lấy hết tài nguyên của hệ thống server bằng các "flooding" vào server với các gói tin SYN. Syn flood là 1 dạng tấn công phổ biến và nó có thể được ngăn chặn bằng đoạn lệnh iptables sau:

Code:

Mã:

iptables -A INPUT -p tcp --syn -m limit --limit 1/s --limit-burst 3 -j RETURN

Tất cả các kết nối đến hệ thống chỉ được phép theo các thông số giới hạn sau:

* --limit 1/s: Tốc độ truyền gói tin trung bình tối đa 1/s (giây)
* --limit-burst 3: Số lương gói tin khởi tạo tối đa được phép là 3

Dùng iptables, thêm rule sau vào:
Code:

Mã:

# Limit the number of incoming tcp connections
# Interface 0 incoming syn-flood protection
iptables -N syn_flood
iptables -A INPUT -p tcp --syn -j syn_flood
iptables -A syn_flood -m limit --limit 1/s --limit-burst 3 -j RETURN
iptables -A syn_flood -j DROP

* ‐‐limit rate n
* ‐‐limit‐burst number m


Giải thích 1 cách dễ hiểu là như thế này "Rule trên giới hạn số kết nối tối đa đến hệ thống là n trên mỗi 1 giây sau khi đã có m kết nối được thiết lập"
Bạn cần điều chỉnh thông số -limit-rate và -limit-burst tùy theo yêu cầu và traffic của mạng của bạn.

Syn flood là 1 dạng tấn công từ chối dịch vụ, kẻ tấn công gửi các gói tin kết nối SYN đến hệ thống. Đây là 1 loại tấn công rất phổ biến. Loại tấn công này sẽ nguy hiểm nếu hệ thống cấp phát tài nguyên ngay sau khi nhận gói tin SYN từ kẻ tấn công và trước khi nhận gói ACK.

Nếu việc thiết lập kết nối chưa hòan tất 3 bước đây đủ (gọi là half-open connection) mà buộc hệ thống server phải cấp tài nguyên để quản lý thì kẻ tấn công có thể lấy hết tài nguyên của hệ thống server bằng các "flooding" vào server với các gói tin SYN. Syn flood là 1 dạng tấn công phổ biến và nó có thể được ngăn chặn bằng đoạn lệnh iptables sau:

iptables -A INPUT -p tcp --syn -m limit --limit 1/s --limit-burst 3 -j RETURN

Tất cả các kết nối đến hệ thống chỉ được phép theo các thông số giới hạn sau:

--limit 1/s: Tốc độ truyền gói tin trung bình tối đa 1/s (giây)
--limit-burst 3: Số lương gói tin khởi tạo tối đa được phép là 3

Dùng iptables, thêm rule sau vào:

Code:

# Limit the number of incoming tcp connections

# Interface 0 incoming syn-flood protection

iptables -N syn_flood

iptables -A INPUT -p tcp --syn -j syn_flood

iptables -A syn_flood -m limit --limit 1/s --limit-burst 3 -j RETURN

iptables -A syn_flood -j DROP

‐‐limit rate n
‐‐limit‐burst number m

Giải thích 1 cách dễ hiểu là như thế này "Rule trên giới hạn số kết nối tối đa đến hệ thống là n trên mỗi 1 giây sau khi đã có m kết nối được thiết lập"

Bạn cần điều chỉnh thông số -limit-rate và -limit-burst tùy theo yêu cầu và traffic của mạng của bạn.

Giả sử bạn cần giới hạn các kết nối SSH (port 22) không được phép hơn 10 connections trên mỗi 10 phút, rule như sau:

Code:

iptables -I INPUT -p tcp -s 0/0 -d $SERVER_IP --sport 513:65535 --dport 22 -m state --state NEW,ESTABLISHED -m recent --set -j ACCEPT

iptables -I INPUT -p tcp --dport 22 -m state --state NEW -m recent --update --seconds 600 --hitcount 11 -j DROP

iptables -A OUTPUT -p tcp -s $SERVER_IP -d 0/0 --sport 22 --dport 513:65


Vậy sau khi đã xác định được IP (ví dụ lấy 1 IP trong LAN 192.168.1.222) tấn công, việc quan trọng vẫn là cách ly các gói tin từ IP (192.168.1.222) để đảm bảo cho hệ thống hoạt động tốt.

# iptables -I INPUT -s 192.168.1.222 -j DROP

Câu lệnh này sẽ thêm một entry vào file cấu hình IPTable, chỉ dẫn nó bỏ qua bất kì gói tin nào đến từ địa chỉ IP 192.168.1.222. Nếu bạn đang đối mặt với rất nhiều cuộc tấn công, tốt hơn hết bạn nên sử dụng một phương pháp tự động hơn để thêm địa chỉ IP từ danh sách cấm. Để làm việc này, ta tạo đoạn mã sau:

#!/bin/sh
for i in $(< banned_IPs.cfg) ; do
iptables -I INPUT -i eth1 -s "$i" -j DROP
done

Lưu đoạn mã trên vào một file với tên bất kì như banned_IPs.sh và gán cho nó quyền thực thi:

# chmod +x banned_IPs.sh

Bây giờ tạo một file banned_IPs.cfg và nhập vào danh sách địa chỉ IP bạn muốn khóa, mỗi cái trên một dòng (ví dụ):

192.168.1.222
192.168.1.123
192.168.1.122

Bây giờ chạy file banned_IPs.sh để đưa địa chỉ các địa chỉ IP bạn muốn khóa gửi cho iptables "xử lý" big grin

# ./banned_IPs.sh

SHELL SCRIPTS
Cơ chế hoạt động của nó chỉ đơn giản là tìm xem có những IP nào đang thực hiện kết nối dạng SYN_RECV thì sẽ được đưa vào blacklist và khóa lại, cứ 2 phút 1 lần hệ thống sẽ gọi đến file này, nếu như ip đó không thực hiện tấn công SYN Flood nữa thì IP đó sẽ được xóa ra khỏi danh sách cấm.

Shell này gồm 3 file:
Files blocked.ips, đây chỉ đơn giản là 1 file text bạn chỉ việc tạo ra nó bằng lênh vi bình thường, nội dung trắng, nó được dùng để làm nơi lưu những IP bị nghi ngờ đang DOS.
File iptables.sh, có nội dung:#!/bin/bash
IPT=/sbin/iptables
SPAMLIST=”spamlist”
SPAMDROPMSG=”SPAM LIST DROP”
BADIPS=$(egrep -v -E “^#|^$” /root/iptables/blocked.ips)
# create a new iptables list
$IPT -N $SPAMLIST
for ipblock in $BADIPS
do
$IPT -A $SPAMLIST -s $ipblock -j LOG –log-prefix “$SPAMDROPMSG”
$IPT -A $SPAMLIST -s $ipblock -j DROP
done
$IPT -I INPUT -j $SPAMLIST
$IPT -I OUTPUT -j $SPAMLIST
$IPT -I FORWARD -j $SPAMLIST


Tác dụng của file này là đọc các IP bị cấm trong file blocked.ips và thực hiện cấm đối với những IP này và đưa vào log để tiện theo dõi.
Cuối cùng là file autoblock.sh, Nội dung của file này:

#!/bin/bash
/etc/init.d/iptables start
cd /root/iptables
netstat -atun | grep SYN_RECV | awk ‘{print $5}’ | cut -d: -f1 |sort | uniq -d | sort -n > blocked.ips
sh ./iptables.sh


Tác dụng của file này là tìm xem có những IP nào đang gửi các gói tin dạng SYN_RECV, và đưa những IP này vào file blocked.ips, sau đó gọi file iptables.sh để khóa IP.
Cách triển khai: Tất cả 3 file này chúng ta lưu vào một thư mục, ở đây tôi lưu vào /root/iptables và được chmod cho phép thực thi, thường mọi người hay chmod 777
Sau đó chúng ta khai báo vào Crontab

*/2 * * * * /root/iptables/autoblock.sh
Chúc bạn thành công .

Suu tam

hờ, đang chán, ko có chi để làm, ngồi viết bài này cho đỡ buồn, sau này ngồi đọc lại.
Server vừa bị tấn công DDOS, SYN Flood.
may mà vẫn log vào SSH dc
thử lệnh:
netstat -net | grep SYN
=> có khoảng gần 200IPs khác nhau đến từ rất nhiều dải đang gửi điên cuồng loạn xạ đến server vốn nhỏ nhẹ và liễu yếu của mềnh. haizzzzzzzzzzzz... làm thế nào đây

chẳng nhẽ bó tay
tiếp nhìn kq gửi vể nào
tất cả các yêu cầu đều được gửi đến cổng 80 nè, ô la la...
trước tiên, phải **** hoàn toàn theo nguyên tắc thà giết nhầm còn hơn bỏ xót
okie, thiết lập tường lửa nào:

iptables -N syn_flood
iptables -A INPUT -p tcp --syn -j syn_flood
iptables -A syn_flood -m limit --limit 1/s --limit-burst 1 -j RETURN
iptables -A syn_flood -j DROP

với thiết đặt tưởng lừa như này, gần như các bots sẽ bị DROP gần hết Kể cả khách thăm cũng toi nữa là bots Hô hô

Load của server sau 2 phút đã cải thiện rõ rệt hiệu quả rồi.

Tiếp tục nào:

điều trước tiên là phải bịt ngay cổng 80 vào Cổng này là cổng chết mờ

tìm đến locate của file httpd.conf

tìm dòng:
listen 80
sửa lại thành:
listen 9876

heheheeee, vậy là http đã chuyển sang cổng khác nhá. kha kha
giờ restart httpd nào các pờ rô.
dùng lệnh sau:

service httpd restart

Okie, giờ cổng là 9876 là cổng listen http

Nhưg khổ nối, muốn vào cổng này thì phải thêm http://domain:9876 thì mới truy nhập dc

Nhưg không sao, quay lại thiết lập cho tưởng lửa để tự động điều hướng cổng nào;

# iptables -t nat -A PREROUTING -p tcp --dport 80 -j REDIRECT --to-port 9876

Okie rồi, giờ mọi truy cập đã dc chuyển hướng từ cổng 80 sang cổng 9876 rồi đóa
hacker rất thông minh, nên mình phải bịt mọi ngã rẽ vào server trc khi hacker phát hiện ra nhé

Không để cho hacker phát hiện ra cổng 9876 đã được mở với lý do tế nhị
Chống scan port:

#iptables -A INPUT -p tcp --tcp-flags SYN,ACK,FIN,RST RST -m limit --limit 1/s -j ACCEPT

Okie, giờ thì quay lại phát nào
chờ sau 5 phút thì... kết quả là server load đã trở về trang thái gần như bt mặc dù vẫn hơi shock Nhưg đã truy cập lại được rồi nè Hô hô

Chống SYN Flood thành công

Ồ ZÊ
(bài viết mang tính tham khảo, không nên tham khảo để tìm phương án phòng tránh)
sau này sẽ có lợi cho 4rum nếu bị SYN Flood :yoyo107::yoyo107::yoyo107::yoyo107::yoyo107: