U svijetu interneta gdje čak ni najsigurniji server nije siguran, osim standarnih metoda za hackovanje serverske mašine kao što su korištenje expolit-a za web aplikacije, 0-day exploita, php shell scripti, rupa u kernelu itd.., pojavila se kako je popularno nazivaju “lame metoda” za privremeno rušenje servera zvana DDoS što u skraćenici znaći Distributed Denial of Service.
DDoS se može manifestirati u nekoliko osnovnih tipova:
- TCP/UDP napadi
- SYN/PORT Flood
Za sprečavanje DDoS napada najbolje je hardware-sko riješenje koje podrazumijeva postavljanje nekih od sljedećih uređaja kao filter saobraćaja prema serverskoj mašini:
Top Layer, Captus, CiscoGuard, Arbor Networks, Mazu Networks, Prolexic, Juniper, Foundry
Međutim, mnogi DataCentri ne nude ovu vrstu usluge, tako da jedino rješenje preostalo je Software Firewall. Software Firewall radi na ip_tables principu. Postavljajući ispravne ip_tables rule-ove, kernel može dropati sav neželjeni saobraćaj. Iako sa ovim tipom firewall-a nikada nećete biti 100% sigurni od ove vrste napada, postoji skoro pa savršeno rješenje. Sada, kako se odbraniti od:
TCP/UDP napadi
- Ovi napadi funkcionišu na principu da napadač šalje TCP/UDP pakete na sve otvorene portove Vaše servrske mašine sa velikog broja IP adresa (žrtve botnet-a). Kako prepoznati legalan sadržaj te ga propustiti a kako nelegalan blokirati? Prije svega, morate zatvoriti sve nepotrebne TCP/UDP portove na mašini te ostaviti samo one koji su Vam zaista potrebni. Ovo možete postići koristeći ip_tables. Ako ne posjedujete dovoljno znanje o istim, neki od besplatnih firewall alata će Vam pomoći. Tu su csf i apf (Config server security & firewall, Advanced policy firewall). Ovi alati će Vam omogućiti da odaberete portove koje želite da ostanu otvoreni, a promet prema svim drugima će se drop-ati (blokirati).
SYN/Port Flood
- Ovo je jedna od najkorištenijih metoda današnjice. Prilikom ovog napda, napadač šalje veliki broj paketa na port 80 (apache port) simulirajući posjetioce. Naravno, ovo će zagušiti apache, povečati CPU, te će se Vaš web site pojaviti kao nedostupan. Zaštita protiv ove vrste firewall-a se radi na sljedeći način
1. Morate uključiti syn cookies:
echo 1 > /proc/sys/net/ipv4/tcp_syncookies
2. Povećati SYN Backlog:
sysctl -w net.ipv4.tcp_max_syn_backlog=2048
3. Dodati sljedeće u csf konfiguraciju:
SYNFLOOD = “1″
SYNFLOOD_RATE = “30/s”
SYNFLOOD_BURST = “10″
PORTFLOOD = 80;tcp;100;5,22;tcp;5;300
PORTFLOOD = 80;tcp;100;5,22;tcp;5;300
Sada će napadač biti odbijen sa porukom:
[1116377.589736] possible SYN flooding on port 80. Sending cookies.
[1116439.567828] possible SYN flooding on port 80. Sending cookies.
Naravno, kao što sam i rekao, ovo je samo privremeno rješenje, najbolje rješenje je Hardware Firewall koji će sav ovaj posao uraditi za Vas sa mnogo boljim perfomansama i postotkom uspjeha.
Datum: 11/05/11
Powered by WHMCompleteSolution
