Nie jesteś zalogowany.
Jeśli nie posiadasz konta, zarejestruj je już teraz! Pozwoli Ci ono w pełni korzystać z naszego serwisu. Spamerom dziękujemy!
Prosimy o pomoc dla małej Julki — przekaż 1% podatku na Fundacji Dzieciom zdazyć z Pomocą.
Więcej informacji na dug.net.pl/pomagamy/.
Strony: 1
Potrzebuję jakiegoś programu który będzie mi filtrował i zapisywał IP atakujących.
Ostatnio ciągle borykam się z atakującymi, mam zainstalowany PSAD, jednakże on zapisuje mi tylko IP które skanują mi porty. Natomiast z ataków UDP jakimś cudem nie zapisuje (może wina leży w konfiguracji?).
Zalezy mi na tym aby zabezpieczyć się przed tym, fajnie by bylo gdyby ktos mi doradzil jakie programy powinienem miec zainstalowane na serwerze do wychwytywania ataków i ich automatycznego blokowania... brak mi już sił...
Offline
Sam iptables może logować, ulogd może zapisywać do bazy sql, nulog może (podobno) wyświetlać, ale u mnie nie chcial zbyt dobrze działać.
Do tego np logcheck, logwatch, itp.
Inna sprawa, co najmniej 85% użytkowników internetu ma dynamiczne IP, ataki często, jeśli nie zawsze są ze sooofowanych adresów IP, także te adresy są Ci się przydadzą, jak łysemu grzebień.
Ale o tym sam się nieraz przekonasz.
Offline
A coś do automatycznego wychwytywania i na jego podstawie blokowanie tych połączeń? czyli coś ala firewall jak nie firewall :P
Offline
Masz w iptables moduły connlimit i hashlimit, do limitowania liczby równoczesnych połączeń, i np limitowania prób nawiązania połączenia.
Masz też cele LOG czy ULOG do logowania.
Tylko że widzę już którąś osobę, która ma serwer gier, młócony atakiem dos/ddos, która nie wie, co to właściwie jest za atak, bo tego typu ataki mają kilkanaście różnych przebiegów.
Jedne można zatrzymać, inne nie.
Jeśli np masz rurkę 100Mbit (na serwerze), a ktoś wysyła na adres IP twojego serwera 150 Mbit/sekundę pakietów, na dowolny port, to bez względu na to, czy twój firewall to wpuści czy odrzuci, i tak masz zapchaną rurkę, i nic na to nie poradzisz na swoim serwerze.
Coś tam może poradzić czasami administracja serwerowni, ale ich możliwości też nie są nieskończone.
Jeśli natomiast to jest atak na jakąś usługę sieciową, typu slowloris na Apacha, czy syn-flood, czy próba siłowego łamania hasła metodą słownikową, to albo firewallem albo w samym demonie obsługującym daną usługę sieciową można ograniczyć takie próby.
Można też użyć choćby Fail2bana, czy coś podobnego, czy np Snorta sprzężonego z firewallem (najtrudniejsze rozwiązanie, przeważnie gwarantuje tony fałszywych alarmów).
Generalnie jak można coś ograniczyć, to sposobów jest dość, jeśli nie można, to trudno, trzeba przeczekać, albo opieprzać admina serwerowni, żeby ruszył 4 litery.
Ale żeby zablokować jakiś atak, to trzeba wiedzieć, co to jest za atak, bo typów różnych ataków sieciowych jest chyba ze 100 albo więcej.
Ostatnio edytowany przez Jacekalex (2012-08-06 15:21:07)
Offline
Dzięki wielkie za odpowiedź. Jeszcze jedno pytanko, jezeli zainstaluje sobie modul xptables-addons i skonfiguruje tak, aby tylko widzial serwer polskie adresy ip i zadne inne, po prostu ip pozostalych krajów zbanować/wyciąć. To czy przed atakami ddos z krajow innych niz polska bede juz bezpieczny?
Offline
Każdy filtr coś tam wyłapie, ale nie wszystko.
Taka jest uroda internetu, ze z łatwością można przeprowadzić atak fałszując adres źródłowy, żeby wyglądał, jak polski.
Da się to zrobić z protokołami UDP i ICMP.
Tylko na część ataków możesz znaleźć sposób głównie na próby włamania do serwera.
Ostatnio edytowany przez Jacekalex (2012-08-10 20:14:29)
Offline
no jak jacek pisze na deny of service jestes bezsilny, jak ktos bedzie cial Ciebie wyłączyc to to zrobi, jak już jacek wspominał albo szerszym łączem, albo przepchaniem stosu na serwisie serwera, albo jakas "dziura" ubijajaca serwis ( wstanie to ubije od nowa i tak w kolko, ewentualnie zawieszajaca serwis ). Przed wlamaniami mozesz sie skutecznie bronić, przed ddos juz takiego pola do popisu nie ma.
tak swoja droga czy to ma jakis zwiazek z listami o "haracz" rozeslanymi do Polskich firm hostingowych ? :D
Ostatnio edytowany przez gindek (2012-08-11 15:28:26)
Offline
Witam ponownie i przepraszam za brak aktywności w tym temacie ponieważ bylem na wakacjach. Nie nie chodzi o zaden haracz... po prostu w polsce sa ludzie bardzo zawistni i ddosuja, malo tego to wiem kto to robi tylko ze niestety co mi z tego. Na policji juz z tym bylem, jak narazie nic nie robia. Dlatego probuje szukac alternatywy by sie ode mnie "odczepili" Nie wiem no... ja chyba bede probowal z tym xptables-addon i zrobie tylko tak aby ludzie z polski mogli sie wogole polaczyc na serwer ( o ile tak sie da zrobic ) Moze to cos da....
EDIT:
Mam jeszcze jedno pytanie, otóż zauwazyłem ze niezbyt cos dziala wycinanie adresu IP w iptables... chodzi mi konkretniej o to ze jak zablokuje ten adres IP to dany host nie moze sie polaczyc z moim serwerem. Probowalem tak robic z proxy by sprawdzic czy dziala, wszedlem na proxy sprawdzilem adres ip nastepnie wpisalem w iptables 4 linie komend:
iptables -A INPUT -s 31.215.195.221 -j DROP iptables -A FORWARD -s 31.215.195.221 -j DROP iptables -A INPUT -d 31.215.195.221 -j DROP iptables -A FORWARD -d 31.215.195.221 -j DROP
I coż... o dziwo nadal laczylem sie na serwere z tego samego adresu IP.
Co jest nie tak?
Ostatnio edytowany przez Koshei (2012-08-22 15:27:54)
Offline
Banowanie adresów w iptables - kiedy większosć ataków ddos i tak idzie w postaci udp ze spoofowanych adresów, to ciężka strata czasu.
Do wycinania adresów jest ipset, ten potrafi w jednej tablicy trzymać nawet 65535 adresów, a w firewallu jedna tablica ipseta = jedna regułka.
Do tego dopasować regułami hashlimit, connlimit i recent - ile polączeń może pojedynczy pacjent zrobić do serwera, tak, żeby miśĸów nie uwalać, ale ataki owszem.
To zawsze można zrobić, i serwerek już będzie nieźle zabezpieczony przed włamaniem.
Możan też wykorzystać rozmaite blacklisty, w tym dynamicznie tworzoną przez denyhosts.
Skuteczność blacklist też jest umiarkowana, ale istnieje.
A tu conieco o iptables:
http://pl.wikibooks.org/wiki/Sieci_w_Linuksie/Netfilter
Ostatnio edytowany przez Jacekalex (2012-08-22 16:51:34)
Offline
[quote=djjanek]A czy w nie masz gdzieś na początku w regułach żeby pozwalał z podobnej sieci się łączyć?
IPTABLES sprawdza po kolei regułę i jak dopasuje to kończy dalszego sprawdzania.[/quote]
Wydaje mi się, że nie... mam dodane do wyjątków tylko adresy z serwerowni czyli z francji a załóżmy próbuję dodać do iptables powyzszymi regulami adres znajdujący sie w Rumunii czy tez w Rosjii i coś chyba nie trybi jak powinno powniewaz mozna sie polaczyc nadal na serwer z tych adresow.
Offline
Wpisalem i nic sie nie dzieje. Co daje owa komenda?
Offline
POkazuje wszystkie reguły w iptables dla INPUT któe mają w sobie 31.
Maiło to pokazac czy są jakieś reguły w iptables które blokują IP zaczynające się od 31.
A mnie zastanawia z jakiego IP się łączyłeś, a to można sprawdzić w taki sposób że jak się zalogujesz na serwer to jak wydasz komendę who to pokaże Tobie kto jest zalogowany i na końcu będzie z jakiego IP.
Offline
Połączylem sie z serwerem poprzez proxy korzystajac z tego IP: 95.141.193.47
Nastepnie wpisalem regulke do iptables:
iptables -A INPUT -s 95.141.193.47 -j DROP iptables -A FORWARD -s 95.141.193.47 -j DROP iptables -A INPUT -d 95.141.193.47 -j DROP iptables -A FORWARD -d 95.141.193.47 -j DROP
Rozlaczylem sie z serwera z tego ip i polaczylem ponownie bez najmniejszych problemow. W czym problem tkwi to nie mam pojecia.
Offline
nie wiem ale coś masz nie tak z firewall bo mi jak wydałem coś takiego:
iptables -A INPUT -s 192.168.160.1 -j DROP
to od razy wylogowało a byłem zalogowany poprzez:
root@debian:~# who root pts/0 2012-08-29 19:53 (192.168.160.1)
EDIT:
Zastosuj zamiast -A -I czyli:
iptables -I INPUT -s 192.168.160.1 -j DROP
Ostatnio edytowany przez djjanek (2012-08-29 20:03:21)
Offline
Poprzez -I dziala :) i dopasowac to we wszystkich czterech linijkach kodu?
czyli wygladaloby to wtedy tak:
iptables -I INPUT -s 95.141.193.47 -j DROP iptables -I FORWARD -s 95.141.193.47 -j DROP iptables -I INPUT -d 95.141.193.47 -j DROP iptables -I FORWARD -d 95.141.193.47 -j DROP
I bedzie dobrze?
Offline
Niestety nie wiem jaka jest roznica mieczy -A a -I
Pozatym jeszcze jedno pytanko, jak wyciac zalozmy dany zakres ip?
Offline
-I wkłada regułe na sam poczatek, więc jak teraz działa to musisz mieć regułe która pozwala na komunikację. -A natopmist dodaję do końca reguł.
Polecam
man iptables
Zakres IP dajesz poprzez wskazanie podciesic np:
192.168.0.0-192.168.0.254 - podaj IP 192.168.0.0/24
Ostatnio edytowany przez djjanek (2012-08-29 20:30:42)
Offline
[quote=djjanek]......
Polecam
man iptables
[/quote]
[quote=Jacekalex]........
A tu conieco o iptables:
http://pl.wikibooks.org/wiki/Sieci_w_Linuksie/Netfilter[/quote]
Nie wiem, po kiego polecasz mana, skoro w tym wątku jest sznurek do polskiego wyjaśnienia zawartości tegoż mana.
@dijanek
Tu raczej problem jest nie z dokumentacją, tylko umiejętnoscią praktycznego czytania tejże dokumentacji z należytą starannością
i zrozumieniem. ;)
Pozdrawiam
;-)
Ostatnio edytowany przez Jacekalex (2012-08-30 10:33:11)
Offline
Strony: 1
Time (s) | Query |
---|---|
0.00010 | SET CHARSET latin2 |
0.00004 | SET NAMES latin2 |
0.00060 | SELECT u.*, g.*, o.logged FROM punbb_users AS u INNER JOIN punbb_groups AS g ON u.group_id=g.g_id LEFT JOIN punbb_online AS o ON o.ident='3.141.46.248' WHERE u.id=1 |
0.00097 | REPLACE INTO punbb_online (user_id, ident, logged) VALUES(1, '3.141.46.248', 1732345048) |
0.00025 | SELECT * FROM punbb_online WHERE logged<1732344748 |
0.00076 | SELECT topic_id FROM punbb_posts WHERE id=210011 |
0.00242 | SELECT id FROM punbb_posts WHERE topic_id=21748 ORDER BY posted |
0.00056 | SELECT t.subject, t.closed, t.num_replies, t.sticky, f.id AS forum_id, f.forum_name, f.moderators, fp.post_replies, 0 FROM punbb_topics AS t INNER JOIN punbb_forums AS f ON f.id=t.forum_id LEFT JOIN punbb_forum_perms AS fp ON (fp.forum_id=f.id AND fp.group_id=3) WHERE (fp.read_forum IS NULL OR fp.read_forum=1) AND t.id=21748 AND t.moved_to IS NULL |
0.00006 | SELECT search_for, replace_with FROM punbb_censoring |
0.00194 | SELECT u.email, u.title, u.url, u.location, u.use_avatar, u.signature, u.email_setting, u.num_posts, u.registered, u.admin_note, p.id, p.poster AS username, p.poster_id, p.poster_ip, p.poster_email, p.message, p.hide_smilies, p.posted, p.edited, p.edited_by, g.g_id, g.g_user_title, o.user_id AS is_online FROM punbb_posts AS p INNER JOIN punbb_users AS u ON u.id=p.poster_id INNER JOIN punbb_groups AS g ON g.g_id=u.group_id LEFT JOIN punbb_online AS o ON (o.user_id=u.id AND o.user_id!=1 AND o.idle=0) WHERE p.topic_id=21748 ORDER BY p.id LIMIT 0,25 |
0.00086 | UPDATE punbb_topics SET num_views=num_views+1 WHERE id=21748 |
Total query time: 0.00856 s |