Come prevenire attacchi DoS su sistemi unix.
Iniziamo spiegando in breve cosa è un attacco DoS cioè Denial of Service, tradotto negazione del servizio.
L’attacco sta nell’inviare al server ripetute chiamate fino al punto di farlo collassare quindi negando l’erogazione del servizio.
Per una guida completa vi rimandiamo al link di wikipedia: Cosa è un attacco DoS.
Per evitare questo tipo di attacchi, ci viene in nostro aiuto Dos Deflate che è un leggerissimo script progettato appunto per bloccare gli ip ritenuti malevoli.
Lo script utilizza il seguente comando unix
netstat -ntu | awk '{print $5}' | cut -d: -f1 | sort | uniq -c | sort -n
per intercettare quegli IP che aprono troppe connessioni contemporanee al server, mettendolo in una black list e bloccando l’accesso per un numero definito di secondi. In parole povere possiamo dire che lo script in questione si limita a sostituire un firewall a livello di policy.
Lo script è di semplice installazione e configurazione. Di seguito le caratteristiche dello script:
- esclusione di indirizzi dal controllo – whitelist che troviamo al path /usr/local/ddos/ignore.ip.list.
- Semplice configurazione tramite un file presente in /usr/local/ddos/ddos.conf
- IP automaticamente sbloccati dalla blacklist dopo i secondi impostati nel file di configurazione
- Creazione automatica del CRON e possibilità di impostare il tempo di esecuzione sempre tramite file di configurazione
- Impostazione di una mail a cui inviare degli alert quando un IP viene bloccato.
Come installare lo script
Accedendo via shell al nostro server, lanciamo i seguenti comandi:
wget http://www.inetbase.com/scripts/ddos/install.sh chmod 0700 install.sh ./install.sh
durante l’installazione ci verrà mostrato a video una sorta di guida e licenza ed utilizzando il comando “:q” usciremo e l’installazione verrà portata a termine.
Accediamo al file /usr/local/ddos/ddos.conf e modifichiamo le impostazioni a nostro piacimento.
Come disinstallare lo script
Sempre accedendo via shell al nostro server, lanciamo il comando seguente:
wget http://www.inetbase.com/scripts/ddos/uninstall.ddos chmod 0700 uninstall.ddos ./uninstall.ddos
Vi rimandiamo al sito dell’autore dove potrete anche lasciare commenti ed eventuali domande.
Ciao Jan,
che problemi hai riscontrato?
ciao io ho montato questo scripts ma non funziona potresti darmi una mano