Forum Debian Users Gang

Sam iptables może logować, ulogd może zapisywać do bazy sql, nulog może (podobno) wyświetlać, ale u mnie nie chcial zbyt dobrze działać.
Do tego np logcheck, logwatch, itp.

Inna sprawa, co najmniej 85% użytkowników internetu ma dynamiczne IP, ataki często, jeśli nie zawsze są ze sooofowanych adresów IP, także te adresy są Ci się przydadzą, jak łysemu grzebień.

Ale o tym sam się nieraz przekonasz.

Masz w iptables moduły connlimit i hashlimit, do limitowania liczby równoczesnych połączeń, i np limitowania prób nawiązania połączenia.
Masz też cele LOG czy ULOG do logowania.

Tylko że widzę już którąś osobę, która ma serwer gier, młócony atakiem dos/ddos, która nie wie, co to właściwie jest za atak, bo tego typu ataki mają kilkanaście różnych przebiegów.

Jedne można zatrzymać, inne nie.

Jeśli np masz rurkę 100Mbit (na serwerze), a ktoś wysyła na adres IP twojego serwera 150 Mbit/sekundę pakietów, na dowolny port, to bez względu na to, czy twój firewall to wpuści czy odrzuci, i tak  masz zapchaną rurkę, i nic na to nie poradzisz na swoim serwerze.
Coś tam może poradzić czasami  administracja serwerowni, ale ich możliwości też nie są nieskończone.

Jeśli natomiast to jest atak na jakąś usługę sieciową, typu slowloris na Apacha, czy syn-flood, czy próba siłowego łamania hasła metodą  słownikową, to albo firewallem albo w samym demonie obsługującym daną usługę sieciową można ograniczyć takie próby.
Można też użyć choćby Fail2bana, czy coś podobnego, czy np Snorta sprzężonego z firewallem (najtrudniejsze rozwiązanie, przeważnie gwarantuje tony fałszywych alarmów).

Generalnie jak można coś ograniczyć, to sposobów jest dość, jeśli nie można, to trudno, trzeba przeczekać, albo opieprzać admina serwerowni, żeby ruszył 4 litery.
Ale żeby zablokować jakiś atak, to trzeba wiedzieć, co to jest za atak, bo typów różnych ataków sieciowych jest chyba ze 100 albo więcej.

Ostatnio edytowany przez Jacekalex (2012-08-06 15:21:07)

Dzięki wielkie za odpowiedź. Jeszcze jedno pytanko, jezeli zainstaluje sobie modul xptables-addons i skonfiguruje tak, aby tylko widzial serwer polskie adresy ip i zadne inne, po prostu ip pozostalych krajów zbanować/wyciąć. To czy przed atakami ddos z krajow innych niz polska bede juz bezpieczny?

no jak jacek pisze na deny of service jestes bezsilny, jak ktos bedzie cial Ciebie wyłączyc to to zrobi, jak już jacek wspominał albo szerszym łączem, albo przepchaniem stosu na serwisie serwera, albo jakas "dziura" ubijajaca serwis ( wstanie to ubije od nowa  i tak w kolko, ewentualnie zawieszajaca serwis ). Przed wlamaniami mozesz sie skutecznie bronić, przed ddos juz takiego pola do popisu nie ma.

tak swoja droga czy to ma jakis zwiazek z listami o "haracz" rozeslanymi do Polskich firm hostingowych ? :D

Ostatnio edytowany przez gindek (2012-08-11 15:28:26)

A czy w nie masz gdzieś na początku w regułach żeby pozwalał z podobnej sieci się łączyć?

IPTABLES sprawdza po kolei regułę i jak dopasuje to kończy dalszego sprawdzania.

Blokowanie adresów na DDoS jest bez sensu, bo i tak wysysa łącze. Aby tego nie było to blokować musi ISP.

Łatwo można sprawdzić:

iptables -n -L INPUT | grep 31.

POkazuje wszystkie reguły w iptables dla INPUT któe mają w sobie 31.
Maiło to pokazac czy są jakieś reguły w iptables które blokują IP zaczynające się od 31.

A mnie zastanawia z jakiego IP się łączyłeś, a to można sprawdzić w taki sposób że jak się zalogujesz na serwer to jak wydasz komendę who to pokaże Tobie kto jest zalogowany i na końcu będzie z jakiego IP.

nie wiem ale coś masz nie tak z firewall bo mi jak wydałem coś takiego:

iptables -A INPUT -s 192.168.160.1 -j DROP

to od razy wylogowało a byłem zalogowany poprzez:

root@debian:~# who
root     pts/0        2012-08-29 19:53 (192.168.160.1)

EDIT:

Zastosuj zamiast -A -I czyli:

iptables -I INPUT -s 192.168.160.1 -j DROP

Ostatnio edytowany przez djjanek (2012-08-29 20:03:21)

Tak ale chociaż wiesz dlaczego działa? Jaka jest róźnica pomiędzy -A a -I?

-I wkłada regułe na sam poczatek, więc jak teraz działa to musisz mieć regułe która pozwala na komunikację. -A natopmist dodaję do końca reguł.

Polecam

man iptables

Zakres IP dajesz poprzez wskazanie podciesic np:

192.168.0.0-192.168.0.254 - podaj IP 192.168.0.0/24

Ostatnio edytowany przez djjanek (2012-08-29 20:30:42)

@Jacekalex ja bym nawet powiedzial ze brak podstaw, w erze internetu kazdy jest administratorem do czasu awarii :)