Abwehr von SYN-Flood mit Hilfe von SynBlock
Transcription
Abwehr von SYN-Flood mit Hilfe von SynBlock
Abwehr von SYN-Flood mit Hilfe von SynBlock Vorwort: In diesem Tutorial möchte ich euch zeigen, wie man einen SYN-Flood mit wenigen Handgriffen sicher in den Griff bekommen kann. Vorab möchte ich allerdings erwähnen, dass diese Anleitung nur auf dedizierten Servern mit Linux funktionieren wird. Download u. Installation: Im ersten Schritt installieren wir das SynBlock Script, hierzu müssen wir lediglich folgenden Befehl in unserer Konsole absetzen und bestätigen: wget http://www.Anti-Hack.net/scripts/synblock/install.sh chmod 0700 install.sh ./install.sh Das Script wird automatisch heruntergeladen und installiert. Der Installationsvorgang dauert meist nicht länger als eine Minute (es sei denn das Kind ist schon in den Brunnen gefallen und euer Server steht bereits unter DDoS). Wenn die Installation geklappt hat sollte unsere Konsole ungefähr so aussehen: Sollte die Installation nicht geklappt haben einfach hier das Problem schildern: http://www.Anti-Hack.net/viewtopic.php?f=9&t=69 Der erste Start: Nun starten wir SynBlock mit dem Befehl synblock -h um uns eine Übersicht über die verschiedenen Befehle zu verschaffen. Das ganze sollte dann so aussehen: Konfiguration: Am Anfang ist es immer wichtig das Script an die eigenen Bedürfnisse anzupassen. Hierfür wird einfach die Konfigurationsdatei editiert: Öffnet mit einem beliebigen Editor (Ich verwende nano) folgende Datei: /usr/local/synblock/synblock.conf Trotz dass die Config selbsterklärend ist, rate ich den Wer MAX_REQ auf 40 zu setzen. Zusätzlich solltet ihr bei EMAIL_TO natürlich eure Email-Adresse eintragen um über gesperrte IP-Adressen benachrichtigt zu werden. Ansonsten einfach nichts zwischen die zwei “ “ schreiben. Nachdem ihr die Config vollständig überarbeitet habt einfach abspeichern. System immunisieren: Ich empfehle direkt nach dem konfigurieren das System zu immunisieren. Hierfür muss SynBlock nur „gesagt“ werden welche Teile des Systems in Angriff genommen werden sollen. Am sinnvollsten ist es die Befehle abzusetzen: synblock -i synblock -a synblock -t Jeder dieser Befehle wird euch bestätigt: Sollten sich nach dem Status Fehlermeldungen eingefunden haben gibt es hierfür zwei Hauptgründe: 1. Euch fehlen die Berechtigungen. 2. Dem System fehlen die entsprechenden Module Wenn es nur zu ca. 2-3 Fehlermeldungen kommt ist das jedoch nicht weiter tragisch und ihr könnt trotzdem weiter verfahren. Der Monitor: Kommen wir nun zu einem sehr wichtigen Teil des Scripts, dem Monitor. Er ist dafür zuständig die eingehenden Verbindungen zu Prüfen und verwirft jene, welche das Limit überschreiten. Das tolle an SynBlock ist, dass diese Prozess fast in Echtzeit geschieht. Aufgrund dessen kann es bei größeren Attacken kurzfristig zu erhöhter Auslastungen kommen, was jedoch nicht weiter Schlimm ist, denn immerhin bleibt der Server am leben. Der Monitor wird so gestartet: synblock -m und sieht so aus: Da auf meinem Testserver gerade überhaupt nichts los ist seht ihr momentan keine IP-Adressen. Üblicherweise werden diese jedoch wie im folgenden Bild gelistet. Die linke Spalte steht für die Anzahl der Verbindungen und in der rechten Spalte findet sich die IP. Whitelist: Im nachfolgenden Bild habe ich die angreifende IP auf die Whitelist (Ausnahmeliste) gesetzt, daher wird diese nicht gebannt und taucht weiterhin auf: Die Whitelist findet ihr unter /usr/local/synblock/white.lst Blacklist: Ebenfalls gibt es eine Blacklist mit der ihr viele IP-Adressen in einer Liste bannen könnt. Diese tragt ihr einfach mit einem beliebigen Editor hier ein: /usr/local/synblock/bad.lst Nachdem ihr dort alle „bösen“ IP-Adressen eingetragen habt könnte ihr diese alle auf einen Schlag sperren und das geht so: synblock -b Schlusstwort: Solltet ihr fragen haben, so stellt diese bitte auf http://www.Anti-Hack.net Autor: Florian Reith | Webseite: http://www.Anti-Hack.net | Mail: [email protected]