Abwehr von SYN-Flood mit Hilfe von SynBlock

Abwehr von SYN-Flood mit Hilfe von SynBlock
Vorwort:
In diesem Tutorial möchte ich euch zeigen, wie man einen SYN-Flood mit wenigen Handgriffen
sicher in den Griff bekommen kann. Vorab möchte ich allerdings erwähnen, dass diese Anleitung
nur auf dedizierten Servern mit Linux funktionieren wird.
Download u. Installation:
Im ersten Schritt installieren wir das SynBlock Script, hierzu müssen wir lediglich folgenden Befehl
in unserer Konsole absetzen und bestätigen:
wget http://www.Anti-Hack.net/scripts/synblock/install.sh
chmod 0700 install.sh
./install.sh
Das Script wird automatisch heruntergeladen und installiert. Der Installationsvorgang dauert meist
nicht länger als eine Minute (es sei denn das Kind ist schon in den Brunnen gefallen und euer
Server steht bereits unter DDoS).
Wenn die Installation geklappt hat sollte unsere Konsole ungefähr so aussehen:
Sollte die Installation nicht geklappt haben einfach hier das Problem schildern:
http://www.Anti-Hack.net/viewtopic.php?f=9&t=69
Der erste Start:
Nun starten wir SynBlock mit dem Befehl synblock -h um uns eine Übersicht über die
verschiedenen Befehle zu verschaffen. Das ganze sollte dann so aussehen:
Konfiguration:
Am Anfang ist es immer wichtig das Script an die eigenen Bedürfnisse anzupassen. Hierfür wird
einfach die Konfigurationsdatei editiert:
Öffnet mit einem beliebigen Editor (Ich verwende nano) folgende Datei:
/usr/local/synblock/synblock.conf
Trotz dass die Config selbsterklärend ist, rate ich den Wer MAX_REQ auf 40 zu setzen. Zusätzlich
solltet ihr bei EMAIL_TO natürlich eure Email-Adresse eintragen um über gesperrte IP-Adressen
benachrichtigt zu werden. Ansonsten einfach nichts zwischen die zwei “ “ schreiben.
Nachdem ihr die Config vollständig überarbeitet habt einfach abspeichern.
System immunisieren:
Ich empfehle direkt nach dem konfigurieren das System zu immunisieren. Hierfür muss SynBlock
nur „gesagt“ werden welche Teile des Systems in Angriff genommen werden sollen.
Am sinnvollsten ist es die Befehle abzusetzen:
synblock -i
synblock -a
synblock -t
Jeder dieser Befehle wird euch bestätigt:
Sollten sich nach dem Status Fehlermeldungen eingefunden haben gibt es hierfür zwei
Hauptgründe:
1. Euch fehlen die Berechtigungen.
2. Dem System fehlen die entsprechenden Module
Wenn es nur zu ca. 2-3 Fehlermeldungen kommt ist das jedoch nicht weiter tragisch und ihr könnt
trotzdem weiter verfahren.
Der Monitor:
Kommen wir nun zu einem sehr wichtigen Teil des Scripts, dem Monitor. Er ist dafür zuständig die
eingehenden Verbindungen zu Prüfen und verwirft jene, welche das Limit überschreiten. Das tolle
an SynBlock ist, dass diese Prozess fast in Echtzeit geschieht. Aufgrund dessen kann es bei
größeren Attacken kurzfristig zu erhöhter Auslastungen kommen, was jedoch nicht weiter Schlimm
ist, denn immerhin bleibt der Server am leben.
Der Monitor wird so gestartet:
synblock -m
und sieht so aus:
Da auf meinem Testserver gerade überhaupt nichts los ist seht ihr momentan keine IP-Adressen.
Üblicherweise werden diese jedoch wie im folgenden Bild gelistet. Die linke Spalte steht für die
Anzahl der Verbindungen und in der rechten Spalte findet sich die IP.
Whitelist:
Im nachfolgenden Bild habe ich die angreifende IP auf die Whitelist (Ausnahmeliste) gesetzt, daher
wird diese nicht gebannt und taucht weiterhin auf:
Die Whitelist findet ihr unter
/usr/local/synblock/white.lst
Blacklist:
Ebenfalls gibt es eine Blacklist mit der ihr viele IP-Adressen in einer Liste bannen könnt. Diese
tragt ihr einfach mit einem beliebigen Editor hier ein:
/usr/local/synblock/bad.lst
Nachdem ihr dort alle „bösen“ IP-Adressen eingetragen habt könnte ihr diese alle auf einen Schlag
sperren und das geht so:
synblock -b
Schlusstwort:
Solltet ihr fragen haben, so stellt diese bitte auf http://www.Anti-Hack.net
Autor: Florian Reith | Webseite: http://www.Anti-Hack.net | Mail: [email protected]