Protección de DDoS de IPTables que funciona con el contador de direcciones IP por cliente Y UDP

Navega tus respuestas
4

Estoy buscando proteger el servidor LAMP con un software, que detectará un número de solicitudes de números de IP únicos por encima del promedio (en este caso, consultas de DNS), y agregaré estos hosts a la cadena de denegación de IPTables.

Entonces, en caso de que mi servidor DNS Bind / Centos maneje la denegación de servicio en forma de flujo de paquetes UDP desde varios hosts a la vez, hay una interfaz de 10GBps en esta máquina para manejar grandes cantidades de paquetes entrantes, y las tablas ip pueden manejar muchos hosts.

¿Hay alguna herramienta / método para hacerlo realmente? Sé que hay un registro, ¿debo usar esto o hay algún módulo que sería mejor para esto?

Simplemente cada número de IP con una tasa de exceso de consultas UDP por encima de algunos no. El número de solicitudes por segundo se agrega al archivo de la lista negra y, en función de ese archivo, se genera la cadena de IPTables.

Entonces, mi pregunta es, ¿cómo registrar tasas excesivas de hosts particulares y registrarlas, y hacerlas de alto rendimiento, asumiendo que todos los números de IPv4 cabrían en la RAM?

Lo principal sería contar el número de paquetes / sesiones / conexiones abiertas durante una hora desde un único host y ponerlos en una lista negra.

Estoy buscando un ejemplo de reglas de código fuente / IPTABLES para el puerto 53 que permitiría 1000 solicitudes por hora desde una dirección IP única al servidor DNS con Bind.

También para mantener la lista blanca de hosts permitidos al mismo tiempo, así que durante el ataque puedo poner en lista negra a todos mientras que los servidores DNS más utilizados están bien, esto funcionaría en caso de que el ataque sea falsificado y cada solicitud provenga de una dirección IP diferente. También debe ser detectado.

No puedo hacer un servicio de difusión por el momento en este momento, sin embargo, necesito algo de protección en el DNS para evitar DDoS, lo que sucede de vez en cuando.

ACTUALIZACIÓN: Hay un producto de Cisco Guard que en realidad hace lo mismo, pero quiero esto en todas las máquinas Linux. Es porque Linux puede manejarlo, por lo que este es solo un problema de un buen software para hacerlo.

    
pregunta Andrew Smith 25.07.2012 - 12:10
fuente

2 respuestas

3

Puede poner un límite a la cantidad de solicitudes desde una IP usando mod_security, como se explica aquí:

enlace

Habiendo dicho eso, esta solución dista mucho de ser perfecta, ya que, en caso de un ataque DDoS a nivel de aplicación, puede llevar a:

A.) Bloqueo de solicitudes legales que provienen del mismo rango de IP (es decir, red de troyanos troyanos)

B.) El éxito de un gran ataque de varios nodos en el que cada IP proporciona solo una pequeña cantidad de solicitud (por debajo del umbral establecido) y, por lo tanto, no se bloqueará.

Además, esto no hará nada contra la red DDoS (es decir, SYN Flood) que usa IP falsas, ya que, en este caso, ni siquiera necesita establecer una conexión bidireccional completa para que la DDoS funcione.

Más información sobre falsificación de IP y IP DDoS Protection

Para detener esto, deberá tener instalado algún tipo de proxy inverso de puerta frontal, para evitar el acceso hasta que se establezca la conexión completa 2 (se recibió ACK).

    
respondido por el Igal Zeifman 25.07.2012 - 14:56
fuente
2

Snort realmente controla esto muy bien, pero hay un problema. Con cada ataque necesitas agregar la firma, así que primero debes atraparla y luego puedes bloquearla.

Simplemente, la regla funciona de manera que, por encima de algún umbral, el host se notifica a través de alertas y, en base a esto, se crea la regla o se actualiza el servidor de seguridad.

Simplemente tengo un pequeño flujo de trabajo para manejarlo:

Por ejemplo, esto podría ser configurado por un servidor Xeon o un conjunto de máquinas EC2, por lo que puedo recibir el DDoS gratis, pero los IPTables tienen que procesarlo, así que es simplemente la protección DDoS en la nube para el DNS ejecutándose en un espacio privado para la seguridad.

Estoy desarrollando el escenario DR para el gran ataque DDoS de larga data en los servidores DNS, y necesito para esto un servidor en la nube con protección DDoS para DNS, así que configuré Bind-SDB, y puedo eliminarlos por suplantación de identidad no hay problema, incluso después de aumentar IPTables, etc., el enlace se bloquea en algún momento, y esto puede llevar días, así que necesito filtrar el tráfico que sobrepasa el nivel específico, que incluye un buscador muy simple por cada número de IP en la RAM, así que esto no es una ciencia espacial si ya tengo un seguimiento de conexión.

    
respondido por el Andrew Smith 25.07.2012 - 22:03
fuente

Lea otras preguntas en las etiquetas

¿El software antivirus / de seguridad protege contra NTFS ADS? Detectar cambios en / boot cuando se usa el cifrado completo del disco