Hướng dẫn dành cho người dùng Linux này sẽ chỉ cho bạn cách phát hiện địa chỉ IP được sử dụng trong các cuộc tấn công từ chối dịch vụ và chặn chúng.
Chúng tôi đã chạy một bài viết về Cách chặn địa chỉ IP trong iptables trong Linux một vài ngày trước. Đây là một bài viết miễn phí hướng dẫn bạn cách phát hiện địa chỉ IP của những kẻ tấn công trong trường hợp tấn công từ chối dịch vụ (hoặc DOS).
Để làm điều này, chúng tôi sẽ sử dụng phần mềm miễn phí có tên psad. psad hoạt động đồng bộ với iptables và giám sát nhật ký iptables cũng như kiểm tra các lần quét cổng và lưu lượng truy cập đáng ngờ khác, thường là dấu hiệu cho thấy ai đó đang cố gắng đột nhập vào máy chủ Linux của bạn.
Để bắt đầu, hãy cài đặt psad. Nếu bạn đang chạy phiên bản Linux có hệ thống quản lý gói ưa thích như Ubuntu hoặc Fedora, bạn có thể sử dụng một trong các lệnh sau để tải psad trên hệ thống của mình:
# sudo apt-get install psad
hoặc
# yum cài đặt psad
Nếu điều này không hiệu quả với bạn, hãy truy cập trang tải xuống psad và tải xuống định dạng phù hợp với bạn.
Vì tôi sử dụng máy chủ Ubuntu Linux, phần còn lại của hướng dẫn này sẽ dành riêng cho Ubuntu. Tuy nhiên, với một số chỉnh sửa nhỏ, bạn sẽ có thể làm cho nó hoạt động trên các phiên bản khác của Linux. Mở syslog.conf tệp bằng trình soạn thảo văn bản yêu thích của bạn:
# vim /etc/syslog.conf
Thêm dòng sau vào cuối tệp:
kern.info | / var / lib / psad / psadfifo
Bạn có thể sử dụng lệnh sau để thực hiện điều tương tự:
# echo -e 'kern.info \ t | / var / lib / psad / psadfifo'>> /etc/syslog.conf
Bây giờ khởi động lại sysklogd và klog daemon:
/etc/init.d/sysklogd khởi động lại
/etc/init.d/klogd khởi động lại
Cách thức hoạt động của psad là nó sẽ phát hiện và hướng dẫn iptables chặn bất kỳ IP nào đáng ngờ. Đôi khi điều này có thể dẫn đến việc chặn IP mà bạn sử dụng. Để khắc phục vấn đề này, bạn nên tạo một tệp chứa danh sách các địa chỉ IP an toàn. Tạo một tệp như sau:
# vim /home/calvin/safeiplist.cfg
Nhập các địa chỉ IP mà bạn cần psad để đưa vào danh sách trắng:
127.0.0.0/24
192.168.0.0/24
122.164.34.240
Không sử dụng một tập lệnh như sau để định cấu hình iptables với các quy tắc cần thiết. Lưu ý rằng tập lệnh này sẽ xóa tất cả cài đặt trước đó khỏi thiết lập iptables của bạn. Sao chép và dán tập lệnh sau vào máy chủ Linux của bạn và thay thế các biến WORKDIR và SAFEIPLIST với các cài đặt chính xác từ thiết lập của bạn.
WORKDIR ="/ home / calvin /"
INTERVAL ="5"
HITCOUNT ="5"
SAFEIPLIST ="safeiplist.cfg"
cd $ WORKDIR
iptables -F
if [-f $ SAFEIPLIST]; sau đó
IPS =$ (grep -Ev “^ #” $ SAFEIPLIST)
cho tôi trong $ IPS
do
iptables -A INPUT -s $ i -j CHẤP NHẬN
xong
fi
iptables -A INPUT-trạng thái m – trạng thái MỚI -m gần đây –đặt
iptables -A INPUT -m trạng thái – trạng thái MỚI -m gần đây – cập nhật –seconds $ INTERVAL –tài khoản $ HITCOUNT -j ĐĂNG NHẬP
Những gì tập lệnh thực hiện là nó ghi lại một địa chỉ IP nếu nó thực hiện từ năm lần trở lên cố gắng tạo kết nối trong khoảng thời gian năm giây. Tôi khuyên bạn nên sử dụng tập lệnh như vậy trừ khi bạn biết mình đang làm gì trong khi sửa đổi nó. Bạn đã hoàn tất, hãy cấp cho nó quyền thực thi và chạy nó.
# chmod + x /home/calvin/ipblock.sh
# /home/calvin/ipblock.sh
Bây giờ trở lại psad. Mở tệp cấu hình psad và chỉnh sửa nó. Đây là những thay đổi tôi đề nghị bạn thực hiện. Vui lòng xem qua tài liệu psad và thực hiện các thay đổi khác:
EMAIL_ADDRESSES you@yourdomain.com;
Đặt tên máy chủ của máy:
HOSTNAME yourdomain.com;
Nếu bạn chỉ có một giao diện mạng trên máy chủ này, hãy đặt HOME_NET tới:
HOME_NET NOT_USED;
Bạn cũng có thể cần điều chỉnh mức độ nguy hiểm cho psad và xác định một tập hợp các cổng để bỏ qua, ví dụ:để yêu cầu psad bỏ qua các cổng udp 80 và 8080, hãy thực hiện thay đổi sau:
BỎ QUA_PORTS udp / 80, udp / 8080;
Lưu và đóng tập tin. Sau đó khởi động lại psad:
# /etc/init.d/psad khởi động lại
Bây giờ bạn đã tốt để đi. Để giám sát các báo cáo của psad, hãy chạy lệnh sau:
# psad -S
Để loại bỏ các IP có xung nhịp tự động, hãy chạy lệnh sau:
# psad -F
psad là một công cụ rất linh hoạt và mạnh mẽ. Nếu bạn biết cách sử dụng nó, nó có thể làm nên điều kỳ diệu cho bạn, nhưng nếu không, bạn thực sự có thể làm hỏng máy tính của mình. Vì vậy, hãy thận trọng khi sử dụng psad.