Z4masko
Advanced Member | Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Помогите разобраться с защитой от ДДОС
Outpost: 6.5.3
Операционка: Windows Xp Sp3
Ддосят через 80 порт (на котором висит веб-сервер) с помощью http get флуда (очень много запросов посылаемых апачу)
Надо автоматически блокировать IP, с которых часто запрашивается порт 80 в еденицу времени.
Вот что я нашёл в справке Outpost по детектору атак:
Цитата: При получении запроса на соединение с портом, котором потенциально может использоваться уязвимой службой (например, 80, 21, 23, 445 и т.д.) модуль будет считать это не единичным обращением, а неким количеством X запросов на соединение от удаленного ПК, где X - вес (важность) этого порта. Вес порта - это десятичное число, обозначающее степень уязвимости этого порта или вероятность его быть использованным для атаки. Чем больше вес, тем более уязвим этот порт.
Веса всех портов, запросы к которым были произведены за указанный промежуток времени, суммируются и если это число превысит текущий уровень тревоги, будет показано сообщение "Сканирование портов".
Нет объективных критериев для констатации факта сканирования портов. Выставляя чувствительность Детектора атак, вы определяете, после какого количества попыток подключения к вашему ПК вы получите сообщение "Сканирование портов" - по аналогии с тем, как вы решаете, сколько косых взглядов должен бросить на вас человек, прежде чем вы решите что он настроен к вам недоброжелательно.
Пример
Допустим, что установлен Оптимальный уровень тревоги.
Вес уязвимого порта 80 - 7;
Вес уязвимого порта 21 - 3.
Сообщение "Сканирование портов" будет показано, если удаленный узел:
-один раз попытается подключиться к порту 80 вашей системы;
-один раз попытается подключиться к порту 21 вашей системы и 3 раза к любым другим портам;
-6 раз попытается подключиться к любым другим портам вашего компьютера.
Чтобы назначить уязвимые порты и посмотреть вес портов, щелкните Настройки > Детектор атак > Настройка > Дополнительно и щелкните Порты в группе Уязвимые порты. Порты, не указанные в списке, имеют вес в соответствии с настройками Веса закрытого порта и Веса используемого порта.
Уязвимые порты разделены на 2 группы: системные порты и malware-порты. Добавьте порты, используемые уязвимыми службами, в список системных портов. Порты, используемые известными вредоносными программами, добавьте в список malware-портов. Выбирайте вкладки в соответствии со списком, который вы хотите изменить.
Чтобы добавить порт, щелкните Добавить и укажите следующие параметры: протокол, номер порта и его вес опасности. Вес опасности – это десятичное число, указывающее степень важности данного порта. Чем больше вес, тем более уязвим этот порт. Вы также можете указать комментарий по своему желанию, например, описывающий назначение порта.
Щелкните OK, чтобы добавить порт в список.
|
Вобщем я всё это прочитал несколько раз))
Этот пример так и не понял
Цитата: Пример
Допустим, что установлен Оптимальный уровень тревоги.
Вес уязвимого порта 80 - 7;
Вес уязвимого порта 21 - 3.
Сообщение "Сканирование портов" будет показано, если удаленный узел:
-один раз попытается подключиться к порту 80 вашей системы;
-один раз попытается подключиться к порту 21 вашей системы и 3 раза к любым другим -портам;
-6 раз попытается подключиться к любым другим портам вашего компьютера.
|
Откуда цифры такие: 6 раз к любым другим портам ,почему 1 раз только к 80 порту (если вес 7 стоит) и т.п. ну это ладно, не важно...
Просьба подсказать как мне настроить Детектор ДДОС атак на максимальную чувствительность? То есть чтобы при нажатии например 10 раз клавиши F5 в броузере в течении например 6 секунд - фаервол сразу блокировал этот Ip заподозрив этот IP как ддос атаку?
Я конечно же сам пробовал настраивать на максимальную чувствительность так:
Поставил вес порту 80(http) - 10
В настройках Детектора атак (Настройки > Детектор атак > Настройка > Дополнительно > Атаки > Дополнительно) поставил следующее:
Код: Продолжительность атаки мсек: 6000
Вес закрытого порта: 1
Вес используемого порта: 0
Уровень тревоги сканирования портов: 1
Уровень тревоги сканирования единичного порта: 1
Число различных узлов (DOS): 1 |
Потом зажал клавишу F5 в броузере и подержал её секунд 10 (для срабатывания достаточно 6 секунд поидее исходя из выставленных мною настроек)
В фаерволе увидел около 700 открытых соединений от браузера по 80 порту к веб серверу, но фаервол так и не заблокировал мой IP! Я попросил друзей из внешки проделать тоже самое (понажимать F5) - опять под 300 открытых соединений и 0 эмоций от фаервола ((
ХОТЯ! Хотя фаервол блокирует какие то внешние Ip, с которых досят..но не все, а некоторые..Поэтому я не понимаю, на каком он основании блокирует?
Вобщем подскажите как настроить Детектор атак на максимальную чувствительность (чтобы прям 10 секунд клавишу F5 я подержал и Ip мой блокировался), а я уже буду потом отталкиваться от этих настроек и подбирать оптимальный вариант. Я думаю это потом очень многим пригодится)
|
Всего записей: 742 | Зарегистр. 05-11-2004 | Отправлено: 04:57 24-05-2009 | Исправлено: Z4masko, 05:02 24-05-2009 |
|
