Перейти к содержимому

Welcome to La2base.ru
Register now to gain access to all of our features. Once registered and logged in, you will be able to create topics, post replies to existing threads, give reputation to your fellow members, get your own private messenger, post status updates, manage your profile and so much more. If you already have an account, login here - otherwise create an account for free today!

  • Закрытая тема Тема закрыта
Сообщений в теме: 6

#1
MeF

MeF
  • Участники
  • 116 сообщений
  • LocationSamara
Участник
Описание: Защита Apache от выключения под воздействием DDos атак 
 
96fe255b4dea.jpg
 
Привет всем пользователям script-edit! Сейчас я вам расскажу, как можно защитить ваш Apache от выключения под воздействием DDos атак!
 
1) Для того что бы настроить ваш Apache от DDos и всякой дряни заходим в C:\AppServ\Apache2.2\conf и открываем файл httpd.conf
2) Дальше вам нужно изменить следующее:
 
TimeOut - указывайте как можно меньшее значение для данной директивы (веб сервера который поддвержен DDos атаке).
 
 
KeepAliveTimeout директва - также нужно снизить ее значение или полностю выключить. 
(Но лично я когда выклучил данную директиву, то у меня там вечно вылетал httpd.exe -- память не может быть реад, так что советую ставить там 1
Если все настройки спасут ваш аппач от выключения ддос и всякой белеберды. 
При атаке он у вас не много подвиснет, фаервол словит ИП атакующего и всё будет норм! (но уже не будет такого что сайт тупо тушат_)

 


Консультация по приобретения Java Эмулятора Interlude.. Настройка и исправление ошибок разного вида. Сборка под ключ ( классик - пвп с допами не дорого).

Пиар - Реклама ваших проектов.

Устранение конкурентов.


Вообщем все , что связанно с сферой Lineage 2.


#2
MeF

MeF
  • Участники
  • 116 сообщений
  • LocationSamara
Участник
Описание: Один из способов защиты сайта от ДДос'а
96fe255b4dea.jpg
 
1)создаем любой пхп файл и добавляем туда:
<?php $cookie = mt_rand(); $s = file_get_contents('.htaccess'); $s = preg_replace('#(bb_mode\=)\d+#', 'bb_mode='.$cookie, $s); file_put_contents('.htaccess', $s); $p = file_get_contents('redirect.html'); $p = preg_replace('#(bb_mode\=)\d+#', 'bb_mode='.$cookie, $p); file_put_contents('redirect.html', $p); ?>

2)добавляем в .htaccess

RewriteEngine On RewriteCond %{http_cookie} !bb_mode=1825743668 RewriteRule .* privetbot.html

3)создаем privetbot.html

<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.01 Transitional//EN" "http://www.w3.org/TR/html4/loose.dtd"> <html> <head> <META HTTP-EQUIV="CACHE-CONTROL" CONTENT="NO-CACHE"> <META HTTP-EQUIV="PRAGMA" CONTENT="NO-CACHE"> <META HTTP-EQUIV="REFRESH" CONTENT="0;"> <title></title> </head> <body> <script type="text/javascript"> document.cookie = 'bb_mode=1825743668; path=/'; </script> </body> </html>
Мы подменяем главную страницу на privetbot.html, а не редиректим - уже плюс в скорости.
проверяем кукисы - гугл,яндекс боты вроде умеют работать с ними
 
Ставим пхп файл по крону допустим каждые пол часа, радуемся
 
+ в хтмл можно добавить проверку на включенный js, у слабых ботов явно его нету)

  • plazma это нравится

Консультация по приобретения Java Эмулятора Interlude.. Настройка и исправление ошибок разного вида. Сборка под ключ ( классик - пвп с допами не дорого).

Пиар - Реклама ваших проектов.

Устранение конкурентов.


Вообщем все , что связанно с сферой Lineage 2.


#3
MeF

MeF
  • Участники
  • 116 сообщений
  • LocationSamara
Участник
Описание: Защита от легкой flood и ddos атаки по HTTP протоколу используя mod_dosevasive
96fe255b4dea.jpg
 
 
Не стоит думать, что слабый ddos не сможет нанести ущерба вашему серверу. 
Например, атакующих зомби-машин всего 50-150, все они с толстыми каналами, 
а вы уехали в командировку или у вас 10-ки серверов и вы не успеваете физически мониторить все. 
В таком случае, даже не большое количество машин, смогут зафлудить канал или заставить выйти 
из строя веб сервер apache, mysql, etc. Другое дело когда администратор 24 часа в сутки мониторит 
сервер и с легкостью обнаруживает атаки, далее с легкостью и в считанные секунды заносит несколько 
правил в таблицу фаервола при этом спокойно попивая кофе, продолжает заниматься своими делами. 
Но такое бывает редко, смотреть сутками и мониторить вывод комманд netstat, top, mtop убийственно 
для вашего мозга, и глаза устанут, будем непосебе :), поэтому нужно автоматизировать процесс блокировки 
атакующих зомби-машин.
 
Один из методов как защитить свой сервер от флуд атак и слабого ddos-a по http протоколу 
это установить модуль для веб-сервера Apache - mod_dosevasive.
 
Установка и настройка mod_dosevasive
 
Debian Linux (только для Apache 1.3.x)
apt-get install libapache-mod-dosevasive
 
Или же вы можете найти этот модуль в google, яндексе и т.д.
 
Распаковываете архив
tar zxvf название архива.tar.gz
cd mod_dosevasive
 
Компилируем mod_dosevasive для Apache 2
/usr/local/apache/bin/apxs2 -i -a -c mod_dosevasive20.c
 
Если у вас apache 1.3 тогда так
/usr/local/apache/bin/apxs -i -a -c mod_dosevasive.c
 
(!) Замените /usr/local/apache на ваш путь к apache
 
Редактируем httpd.conf (Чаще всего он находится в /usr/local/apache/conf/httpd.conf)
Убедитесь, что нечто подобное присутствует в настройках
LoadModule evasive20_module lib/apache2/modules/mod_evasive20.so
 
Добавляем в конец файла следующие строки
DOSHashTableSize 3097
DOSPageCount 2
DOSSiteCount 50
DOSPageInterval 1
DOSSiteInterval 1
DOSBlockingPeriod 15
DOSEmailNotify [email protected]
DOSSystemCommand "su - someuser -c '/sbin/... %s ...'"
 
-- DOSHashTableSize: это размер хэш-таблицы которая обрабатывает запросы к WWW-серверу.
-- DOSPageCount: число запросов к одной странице от одного и того же IP в течение указаного интервала времени.
-- DOSSiteCount: число запросов ко всем страницам домена, т.е если поступило более 50-ти запросов с одного ай-пи на разные страницы домена - тогда такой ай-пи будет заблокирован.
-- DOSPageInterval: Интервал для директивы DOSPageCount (в секундах)
-- DOSSiteInterval: Интервал для директивы DOSSiteCount (в секундах)
-- DOSBlockingPeriod: На сколько заблокировать ай-пи (в секундах)
-- DOSEmailNotify: может быть использован для уведомления, будет отправлять сообщение по электронной почте о том что такой-то IP был заблокирован.
-- DOSSystemCommand: эта директива используется для выполнения какой-нибудь вашей команды когда IP блокируется. Вы можете использовать это для добавления IP-адреса в таблицу фаервола.
(пример: "/sbin/iptables -A INPUT -p tcp --dport 80 -s %s -j REJECT" В %s передается от модуля IP)
-- DOSWhiteList: список белых IP адресов, можно и по маскам (напр. 127.0.0.*)
 
Также этот модуль позволяет защитить ваши сайты от brute force атак.

Консультация по приобретения Java Эмулятора Interlude.. Настройка и исправление ошибок разного вида. Сборка под ключ ( классик - пвп с допами не дорого).

Пиар - Реклама ваших проектов.

Устранение конкурентов.


Вообщем все , что связанно с сферой Lineage 2.


#4
MeF

MeF
  • Участники
  • 116 сообщений
  • LocationSamara
Участник
Описание: Способ защиты от DDOS атаки GameServer
96fe255b4dea.jpg
 
 
 
 
Мануал: 
Как то пришло время открывать новый сервер, и как всегда встал вопрос о защите сервера в первые минуты от DDOS, который, как известно, зачастую отправляет новые сервера с их, возможно даже и неплохими администраторами, в далекий отпуск - феил.
 
И размышлять я начал вот о чем...
 
Откуда взять DDOS-еру (конкуренту) ип сервера для своих атак пока сервер еще не открыт? Конечно же из вашего патча: l2.ini расскажет полную информацию о вашем адресе и еще до старта ваши конкуренты смогут настроить свои бот-сети на ваш скромный Java сервачок.
 
Так как же скрыть ип адрес вашего сервера чтобы сбить первосекундный феил и поставить в замешательство своих недоброжелателей? Да очень просто!
 
В l2.ini нужно указать не ваш IP (ну точнее ип вашего сервера), а ПОДДОМЕН вашего сайта. Я всегда использую game.example.com. Зачем это нужно? Да вот зачем:
 
1. В панели управления своим доменом создаю поддомен game и направляю его A запись на совершенно левый IP-адрес (например соседа).
2. В l2.ini указываю не Ip-адрес, а поддомен, который ведет на ip адрес вашего соседа
 
Теперь, когда злоумышленник захочет прибить ваш сервер до старта, он, естественно, увидит там не IP а поддомен. И что он с ним сделает чтобы увидеть ип адрес вашего сервера? Правильно, он его пинганет, а там сюрприз:
 
C:\Users\Администратор>ping game.example.com
 
Обмен пакетами с game.example.com [ип_соседа] с 32 байтами данных:
Ответ от ип_соседа: число байт=32 время=19мс TTL=55
Ответ от ип_соседа: число байт=32 время=20мс TTL=55
Ответ от ип_соседа: число байт=32 время=19мс TTL=55
Ответ от ип_соседа: число байт=32 время=19мс TTL=55
 
Однако ДДосер не знает, какую подлянку мы ему приготовили и с уверенностью 100% подумает что это ип вашего Java сервера, но мы то знаем, что это не так.
 
И вот уже все готовятся к старту сервера, конкуренты навострили свои ботнеты на ип вашего соседа, думая, что это ваш сервер, а мы, буквально за 5 минут до старта берем и меняем A запись поддомена game на ип адрес вашего сервера (меняется данная привязка мгновенно).
 
Естественно никому из владельцев ботсети не придет в голову, что вы могли за пару минут до старта производить такие манипуляции.
 
И что мы получаем... Сервер стартует, боты начинают активно бить ип адрес вашего соседа, уверенные, что это сервер. Догадаться тут моментально - практически невозможно, если только ваши конкуренты сами не играют на вашем сервере, что врядли. В итоге вы получаете как минимум 20-30 минут (первые 10 минут они будут бить с целью того что "ща упадет", а остальные будут догадываться) от старта сервера, за которые вы, как минимум, сможете впустить весь онлайн сервера и быть вооруженым.
 
Естественно, атак будет намного меньше, потому что каждый ддосер соображает с разной скоростью и до кого-то сразу дойдет что вы сделали, до кого то чуть позже и это дает вам дополнительное время справится с напрывающими атаками. Это намного продуктивнее, нежели на вас набросятся все и сразу, не успей вы даже включить ГС.

Консультация по приобретения Java Эмулятора Interlude.. Настройка и исправление ошибок разного вида. Сборка под ключ ( классик - пвп с допами не дорого).

Пиар - Реклама ваших проектов.

Устранение конкурентов.


Вообщем все , что связанно с сферой Lineage 2.


#5
MeF

MeF
  • Участники
  • 116 сообщений
  • LocationSamara
Участник

Описание: Защита от DDoS с помощью утилиты tcpdump
 

96fe255b4dea.jpg

Защита от DDOS
tcpdump - это мощнейшая утилита UNIX, позволяющая перехватывать 
и анализировать сетевой трафик, проходящий через сетевые интерфейсы. Об установке 
читайте в документации утилиты или на сайте разработчика, в FreeBSD она есть
в портах, в Debian Linux в репозиториях.

Приведу пример как можно использовать tcpdump.
Например, на сервере отключены логи, идет легкая ddos атака, 
происходит что-то не ладное, вы хотите быстро посмотреть масштабность или убедиться, 
что это DDoS-атака, а не DoS или может это вообще никак не связано с внешним миром? 
Давайте посмотрим
tcpdump -v -i eth0 dst port 80

После выше набранной команды вы сможете наблюдать список подключений к 80-у порту, 
чем больше повторных подключений с одинаковых хостов тем вероятнее мы столкнулись 
с DoS или DDoS атакой. Как вы уже наверное догадались, изменив порт можно проверить 
есть ли атака на FTP, SSH или другие сервисы которые крутятся на сервере. 
Добавив ключ -n имена хостов преобразуются в IP адреса.

Глазами все не уследить, при атаке на веб-сервер вывод tcpdump-a сумасшедшей скоростью 
будет двигаться вдоль окна вывода терминала :) Поэтому, мы сначала запишем вывод 
tcpdump-a в файл. Пакетов 200-300 хватит.

tcpdump -v -n -w attack.log dst port 80 -c 250

-v - самый простой уровень логирования, без изысканности.
-n - преобразуем имена хостов в IP адреса
-w - записываем анализ трафика в файл
-c - количество захваченных пакетов

Приступим к анализу полученных данных через tcpdump, отпарсим лог следующей командой
tcpdump -nr attack.log |awk '{print $3}' |grep -oE '[0-9]{1,}\.[0-9]{1,}\.[0-9]{1,}\.[0-9]{1,}' |sort |uniq -c |sort -rn

Результат будет - 2 столбца, в первом количество подключений, во втором IP. 
Чем больше подключений для одного IP тем вероятнее что это бот.

Если список очень длинный можно ограничить его указав нужное количество выводимых строк
tcpdump -nr attack.log |awk '{print $3}' |grep -oE '[0-9]{1,}\.[0-9]{1,}\.[0-9]{1,}\.[0-9]{1,}' |sort |uniq -c |sort -rn | head -20
Добавили head -20

Что бы получить только IP адреса, без первого столбца, нужно убрать ключ -cпосле uniq
Вывод парсинга можно перенаправить в файл, а затем простым bash-скриптом, заблокировать все IP со списка.

#!/bin/bash
BLOCKDB="ips.txt"
IPS=$(grep -Ev "^#" $BLOCKDB)
for i in $IPS
do
iptables -A INPUT -s $i -j DROP

Очень похожие трюки иногда проделывают с помощью утилиты netstat.


Консультация по приобретения Java Эмулятора Interlude.. Настройка и исправление ошибок разного вида. Сборка под ключ ( классик - пвп с допами не дорого).

Пиар - Реклама ваших проектов.

Устранение конкурентов.


Вообщем все , что связанно с сферой Lineage 2.


#6
MeF

MeF
  • Участники
  • 116 сообщений
  • LocationSamara
Участник

Описание: Защита от DDoS с помощью (D)DoS Deflate
96fe255b4dea.jpg
Мануал:

Что такое (D)DoS Deflate?

Это бесплатный скрипт с помощью которого можно избавится от детского флуда и ddos.
Скрипт использует команду "netstat" что бы обнаружить ddos и флуд, после обнаружения
блокирует ай-пи адреса откуда идет атака, делает это с помощью фаервола iptables или
apf (работает только на APF v 0.96 или выше).
Проверен мною на Linux Debian. Скрипт написан на sh. Конечно 100% защиту он не гарантирует,
но нагрузку немного снижает.

Установка и настройка (D)DoS Deflate.

Установка проходит очень быстро :

Открываем консоль и вводим
wget http://www.inetbase....ddos/install.sh
chmod 0700 install.sh
./install.sh

Установка завершена.

Перейдём к настройке конфигов...
Откроем конфигурационный файл. Называется он ddos.conf.

По умолчанию он выглядит так:
FREQ=1
NO_OF_CONNECTIONS=50
APF_BAN=1
KILL=1
EMAIL_TO=”root”
BAN_PERIOD=600

Разбираем:
NO_OF_CONNECTIONS=50 - Количество коннектов.
APF_BAN=1 - какая программа будет банить? 1- APF, 0 - iptables.
EMAIL_TO=”root” - Сюда пишем своё мыло для уведомления о ип, которые превысили кол-во коннектов и попали в бан.
BAN_PERIOD=600 - Сюда пишем кол-во секунд, на которое баним IP, который превысил заданное кол-во коннектов.

Удалить скрипты из системы можно используя следующие команды

wget http://www.inetbase..../uninstall.ddos
chmod 0700 uninstall.ddos
./uninstall.ddos


Консультация по приобретения Java Эмулятора Interlude.. Настройка и исправление ошибок разного вида. Сборка под ключ ( классик - пвп с допами не дорого).

Пиар - Реклама ваших проектов.

Устранение конкурентов.


Вообщем все , что связанно с сферой Lineage 2.


#7
MrMario

MrMario
  • Модераторы
  • 148 сообщений
  • Locationlocalhost
Участник

//Закрыл, объединил темы, закрепил тему.

Если нужно дополнить, пишите по контактам/ЛС. 


MrMario.gif





Количество пользователей, читающих эту тему: 0

0 пользователей, 0 гостей, 0 невидимых пользователей