Совсем недавно столкнулся с такой проблемой, как DDoS. Сразу скажу, я вообще ни разу не линуксойд, но зато чуточку программист, так что все что ниже, основано чисто на логике, а не на фактах, плюс переписанное с некоторыми добавками от уже известного.
Перекопав полчища статей и опробовав множество вариантов, ничто так и не помогло. Взяв за основу статьи Простой и эффективный метод отразить http DDoS от 50мбит с помощью nginx и iptables и (D)DoS Deflate решил написать свой скрипт. Ну вернее не решил, а методом тыка и исправлений он получился сам.
Должен заметить, что статья от Алексея Кузьмина не идеальна, т.к. в логах nginx`a не достаточно копаться, да и обработка логов может потребовать много ресурсов. А именно в моем случае создавались логи более 50 Гиг, плюс запросы шли не «GET / HTTP/1.1», а «GET / HTTP/1.0», плюс, как оказалось, мой сервер сам от себя получал редиректы (127.0.0.1), которые не отображались в логах, которые отображались в запросе
netstat -ntu | awk '{print $5}' | cut -d: -f1 | sort | uniq -c | sort -n
Суть скрипта такова, что через определенное время кроном запускается скрипт и проверяет все соединения с сервером, ip и кол-во их соединений которые записываются в файл. Потом запускается другой скрипт, который смотрит, если соединения, превышают заданное число (у меня стоит 20), то создается скрипт с блокировкой этих айпишников через iptables.
Я создавал отдельные файлы, чтобы прослеживать весь ход работы отдельно, и по своей некомпетентности, легко было обнаружить где и что не срабатывало.
Теперь к практике:
создаем каталог, где будет скрипт
mkdir /usr/local/ddos в нем создаем файл ddos.sh и меняем его права:
chmod 0755 /usr/local/ddos/ddos.sh записываем в него:
#!/bin/sh # находим все соединения и записываем их во временный файл <i>ddos.iplist</i> в каталоге <i>tmp</i> netstat -ntu | awk '{print $5}' | cut -d: -f1 | sort | uniq -c | sort -n > /tmp/ddos.iplist # очищаем скрипт бана айпишников cat /dev/null > /tmp/iptables_ban.sh # создаем DROP правила для 50 самых агрессивных ботов awk '{if ($1 > 20) {print "/sbin/iptables -I INPUT -p tcp --dport 80 -s " $2 " -j DROP" }}' /tmp/ddos.iplist >> /tmp/iptables_ban.sh # следующая строка нужна только для того, чтобы создавался файл с просмотром всех правил iptables echo "/sbin/iptables -L INPUT -v -n > /tmp/iptables.log" >> /tmp/iptables_ban.sh # запускаем скрипт бана айпишников bash /tmp/iptables_ban.sh # делаем ротацию лога cat /dev/null > /var/log/ddos/error.log [ ! -f /var/run/nginx.pid ] || kill -USR1 `cat /var/run/nginx.pid` Вот в принципе и все. Теперь запускаем кронтаб, предпочитаю команду:
EDITOR=mcedit crontab -e ну или просто
crontab -e и добавляем новую задачу в него, выполняющуюся каждые 10 минут:
*/10 * * * * /bin/sh /usr/local/ddos/ddos.sh Также я изменил ротацию логов в файле /etc/logrotate.d/nginx от nginx`a, чтобы многогиговые файлы не создавались
/var/log/nginx/*.log { daily size 20M missingok rotate 150 compress delaycompress notifempty create 640 root adm sharedscripts postrotate [ ! -f /var/run/nginx.pid ] || kill -USR1 `cat /var/run/nginx.pid` endscript } и записал еще задачу в крон, выполняющуюся каждый час
0 * * * * /usr/sbin/logrotate /etc/logrotate.conf ну и для больше комфорта еще и раз в сутки решил перезагружать сервак, опять же через крон:
0 4 * * * /sbin/reboot общий список заданий, выведенный через crontab -l:
*/10 * * * * /bin/sh /usr/local/ddos/ddos.sh 0 * * * * /usr/sbin/logrotate /etc/logrotate.conf 0 4 * * * /sbin/reboot я записывал все под пользователем root, поэтому если вы не под этим пользователем, перед каждой командой стоит добавить root, типа:
*/10 * * * * root /bin/sh /usr/local/ddos/ddos.sh Все пути делал абсолютными, т.к. не все команды без полного пути срабатывали.
Надеюсь кому-нибудь пригодится данная статейка. Прошу строго не судить по самому коду, т.к. я вообще впервые сам что-то делал на серваке )
ссылка на оригинал статьи http://habrahabr.ru/post/204508/
Добавить комментарий