Вот и пришло время описать вторую часть. Предупрежу сразу, данный мануал не сработает на VDS\VPS с виртуализацией OpenVZ Мануал рассчитан на Debian 7, но отличие от других осей минимальны.
Итак, для обнаружения атак и снятия дампов мы воспользуемся тузлой под названием FastnetMon, разработки моего друга, Павла Одинцова. Про саму тузлу можно почитать на хабре: http://habrahabr.ru/post/259399/ Вкратце, тузла которая использует PF_RING, либо netmap, netflow Мы будем использовать именно pf_ring как наиболее быстрое и менее ресурсоемкое решение. Итак, начнем. Для начала установим gcc и g++ ну и tcpdump
Код
apt-get install -y gcc g++ tcpdump
Далее, все очень просто, Павел написал скрипт авто-сетапа тузлы и всех либ, так что нам не придется вручную собирать pf_ring как в первых версиях. Скачиваем установщик:
Нам интересны threshold_pps - кол. пакетов в секунду threshold_mbps - кол. мбит в секунду. После внесения изменений запускаем\перезапускаем fastnetmon
Код
systemctl restart fastnetmon
Для автоматического запуска мониторинга при старте системы, добавляем в /etc/rc.local
Код
/opt/fastnetmon/fastnetmon --daemonize
Далее настраиваем скрипт, который будет делать дампы:
email_notify="ваша_почта" time="`date '+%m-%d_%H:%M'`" # Далее возможны два варианта: # это первый запуск, при котором нужно банить IP (на stdin пусто) # это второй запуск, когда скрипт уже собрал (если смог) детали об атаке (на stdin даные об атаке)
if [ "$4" = "unban" ]; then # Unban actions if used exit 0 fi
if [ "$4" = "ban" ]; then # cat | mail -s "FastNetMon Guard: IP $1 blocked because $2 attack with power $3 pps" $email_notify; # You can add ban code here! # iptables -A INPUT -s $1 -j DROP # iptables -A INPUT -d $1 -j DROP /usr/sbin/tcpdump -v -n -c 300 >> /root/attack_$time.log /usr/sbin/tcpdump -v -x -n -w /root/ddos_$time.log -c 300 exit 0 fi
if [ "$4" == "attack_details" ]; then cat | mail -s "FastNetMon Guard: IP $1 blocked because $2 attack with power $3 pps" $email_notify; fi
Если хотите что-бы приходили уведомления на почту, убираем # перед:
Код
# cat | mail -s "FastNetMon Guard: IP $1 blocked because $2 attack with power $3 pps" $email_notify;
На этом настройка закончена. Смотрим логи:
Код
2015-07-05 15:23:47,339 [INFO]We use custom sampling ratio for netflow: 1 2015-07-05 15:23:47,339 [INFO]netflow plugin will listen on 0.0.0.0:2055 udp port 2015-07-05 15:23:47,339 [INFO]sflow plugin started 2015-07-05 15:23:47,339 [INFO]sflow plugin will listen on 0.0.0.0:6343 udp port 2015-07-05 15:23:47,339 [INFO]PF_RING plugin started 2015-07-05 15:23:47,339 [INFO]We selected interface:eth0 2015-07-05 15:23:47,341 [INFO]Successully binded to: eth0 2015-07-05 15:23:47,341 [INFO]Device RX channels number: 2015-07-05 15:23:47,341 [INFO]Using PF_RING v.6.0.3 2015-07-05 15:23:47,341 [INFO]Run banlist cleanup thread
Все ок, все работает.
Можем запустить клиент, что-бы видеть текущую статистику:
Код
/opt/fastnetmon/fastnetmon_client
При атаках, в папке /root/ создаются 2 файла: attack_дата_время.log ddos_дата_время.log
attack_дата_время.log - лог который можно просматривать обычным текстовым редактором, там основная информация о атаке:
ddos ddos_дата_время.log - Более подробный дамп для просмотра через tcpdump (tcpdump -n -v -x -r ddos_дата_время.log )
ps\\ Если что-то не работает, первым делом смотрим логи, там все написано (tail -f /var/log/fastnetmon.log ) pss\\ Немного рекламы. Отдельная благодарность Олегу Солодкому, директору riaas.ru за предоставленные ресурсы для тестов и написания фака.
WallHack
WH+AIM+RADAR
кс 1ю6
Counter-Strike 1.6
ВХ Автовыстрел Аимбот
читы для cs
Counter-Strike
Прыжки и распрыг
Ваш сервер виден в списке серверов
читы для css v34
читы для CSS V88, V89
Читы для counter strike source
читы
скачать читы для кс
скачать читы
читы для 1.6
cs onlin
кс сервера
скачать кс
как сделать свой сервер
чит мультихак точность ESP скелет без отдачи для WarFace ВХ читы для WarFace прохождение Ликвидации Режим Ликвидация читы для crossfire моды для World Of Tanks магнит читы Ликвидация warface Crossfire бесконечный бег что значит магнит для WarFace аим RiderHack длинный подкат World Of Tanks Counter-Strike без отдачи скелеты нет отдачи халява автонаведение бесплатные акки чит для CrossFire мультичит видео сх скорострел WallHack читы для Minecraft каспермод A4Tech радар порнуха аимбот магнит ботов анти отдача как пройти 13 этаж MULTIHACK раздача бесплатно аимбот для WarFace