VPS-VDS Saldırı Tespit Etme ve Engelleme
Gün Geçtikçe Lamer lakaplı kendini “heykır” zanneden insanlar çoğalıyor. Öyleleri varki bi siteye “PİNG” atıyorlar. Attılar ya hani ? Atarken bi süre sonra sitenin bulunduğu sunucunun güvenlik duvarına takılıyor ve sunucu onu banlıyor. Siteyi Heykledim diye seviniyorlar. 32bitlik veri yolluyorlar halbuki.
Ama Bazılarıda vardırki Bot-NET saldırıları yaparlar tabi durum böyle olunca işler değişebilir, kesin demiyorum 🙂 10-20 Kişilik BotNet Ağı Olan Birisi 64mb ramlı TTNet ev internetli bi sunucuya zarar vermesi imkansız gibidir 🙂 Fakat 3.000-4.000 hatta 10.000-20.000 BotNet Ağına Sahip Olanlar Ortalama Bir Sunucu Cevap Veremeyecek Hale Getirebilir.
İşte Bu durum webmasterlerin sunucu sahiplerinin vs. hepsinin en nefret ettiği durumlardandır. 24 saat sunucu başında durup onu izlecek değildir ya. Onlarında bir hayatı var tabiki. Bizler gibi 🙂
Şimdi Biz Bunu Nasıl Engelleyeceğiz ? Sorusuna gelecek olursak eğer. Bot-Net Saldırılarının Kesin Bir Çözümü yoktur. Ama biz bu saldırıları %80-90 oranında engelleyebiliriz. Sunucunuza ne kadar koruma yapsanızda saldırı yapan kişinin BotNet Ağı ne kadar büyükse o kadar tehlikedesinizdir. Örneğin;
5.000 botnetli saldırıcı saldırdığında Siteniz Saniyede 5.000 saldırı alarak 60 saniyede alarak 300.000 saldırı alıp çöküyorsa eğer bunu engelleyebilirsiniz eğer sunucunuza 5-6 kişi saldırırsa bu saldırı yine 300.000 ini bulacak yine çökecektir. Ama iyice savunma yapacak olursak bu sayıyı 15’e hatta 25’e çıkarabiliriz. Belkide Engelleyebiliriz 🙂
Şimdi Gelelim Engelleme Kısmına ;
Öncelikle Sizlere Ana Savunma Scriptlerini vereceğim. Küçükleri sonraya saklıyorum.
Öncelikle DDOS Saldıralırı Engelleme Amaçlı İlk önce InetBaseyi yükleyeceğiz. Scriptin ne olduğuna gelecek olursak eğer, çok sade bir program fakat fazlasıyla iş görür 🙂
İlk önce: Bu kodla inetbaseden dosya çekiyoruz.
bir klasör açalım öncelikle ben furkanddos diye klasör açıyorum.
mkdir furkanddos
Ardında furkanddos girelim
cd furkanddos
Ardından Bu Komutu Çalıştıralım ve Scriptin yükleme dosyasını çekelim
http://www.inetbase.com/scripts/ddos/install.sh
çektikten sonra, komutunu verip InetBaseyi yüklemeye verelim
./install.sh
Yazılımsal Firewall kurduk şimdi yapmamız gereken işlemler Firewall config yapılandırılması. Onuda yapılandıralım.
pico /usr/local/ddos/ddos.conf
Eğer sisteminiz bu editlemeyi Desteklemiyorsa;
nano /usr/local/ddos/ddos.conf
Eğer Hala Yapamadım Diyorsanız FTP’den 22 portundan girerek editleyebilirsiniz.
Açtıktan sonra;
APF_BAN=0 bu özellik 1 ise apf ile banliyor 0 ise iptables ile (o olarak güzüküyor sıfır o :D)
NO_OF_CONNECTIONS=75 bir IP den kac baglanti olunca banliyacak
BAN_PERIOD=600bu deger 10 dakika(60×10) yapiyor yani 10 dakikada icinde 75 baglanti kuranı atiyor.
EMAIL_TO=sefer@old.furkansandal.com buraya mail adresimiz geliyor kendinize göre editlersiniz.
Önerdiğim Ayarlara Gelecek Olursak;
APF_BAN=0
NO_OF_CONNECTIONS=15
BAN_PERIOD=30
Yani 30 saniyede bir IP 15 bağlantı yaparsa Banlansın. Tercih Ettiğim Ayarlar Budur. Kendinize göre nasıl hoşunuza gidiyorsa editleyebilirisiniz.
ben iptablesten banlatiyorum.
Yalniz scriptin sade hali biraz dandirik yani bazen IP adresinin tamamini banlamiyorsa, cift rakamlarida banliyor gibi sayilarida engelliyor böyle olunca ip adresinde bu rakamlar gecen yinede siteye giremiyor.
Bunu engellemek icin;
netstat -tn --inet 2> /dev/null| grep ":80" | awk '/tcp[ ]*[0-9]+[ ]*[0-9]+[ ]+[^ ]+[ ]*[^ ]*/ { print $5; }' | cut -d":" -f1 | sort | uniq -c | sort -n
komutu confige ekleyebilirsiniz.
banli IP adreslerini boşaltmak için;
iptables -F
Kaldırmak İçin ise;
Şu Dosyayı Çekelim
wget http://www.inetbase.com/scripts/ddos/uninstall.ddos
Ve Çalıştıralım
sh uninstall.ddos
Buda farkımız olsun .ddos 🙂
Ddos Korunma Scriptimiz Kaldırılmıştır.