Обнаружение атак и их дампы.

[ Новые сообщения · Участники · Правила форума · Поиск · RSS ]

Страница 1 из 1
1

Форум » Создание и настройка серверов » Защита Игрового сервера » Обнаружение атак и их дампы.

noobik

Offline

Дата: Пятница, 09.06.2017, 09:02 | Сообщение # 1

Вот и пришло время описать вторую часть.
Предупрежу сразу, данный мануал не сработает на VDS\VPS с виртуализацией OpenVZ
Мануал рассчитан на Debian 7, но отличие от других осей минимальны.

Итак, для обнаружения атак и снятия дампов мы воспользуемся тузлой под названием FastnetMon, разработки моего друга, Павла Одинцова.
Про саму тузлу можно почитать на хабре:
http://habrahabr.ru/post/259399/
Вкратце, тузла которая использует PF_RING, либо netmap, netflow
Мы будем использовать именно pf_ring как наиболее быстрое и менее ресурсоемкое решение.
Итак, начнем.
Для начала установим gcc и g++ ну и tcpdump

Код

apt-get install -y gcc g++ tcpdump

Далее, все очень просто, Павел написал скрипт авто-сетапа тузлы и всех либ, так что нам не придется вручную собирать pf_ring как в первых версиях.
Скачиваем установщик:

Код

wget https://raw.githubusercontent.com/FastVPS....tall.pl -Ofastnetmon_install.pl

Запускаем:

Код

perl fastnetmon_install.pl

Терпеливо ждем завершения.
После завершения сетапа, на всякий случай выполняем

Код

modprobe pf_ring

Т.к не всегда модуль подгружается в ядро с первого раза.

Далее, настраиваем детекторы.
В конфиге

Код

/etc/fastnetmon.conf

Меняем следующие параметры:

Код

enable_ban = on
ban_for_pps = on
ban_for_bandwidth = on
ban_for_flows = on
mirror = on // включаем работу через pf_ring

Остальное можно не трогать.
Так-же выставляем лимиты срабатываний при атаках.

Код

# Limits for Dos/DDoS attacks
threshold_pps = 10000
threshold_mbps = 50
threshold_flows = 3500

Нам интересны
threshold_pps - кол. пакетов в секунду
threshold_mbps - кол. мбит в секунду.
После внесения изменений запускаем\перезапускаем fastnetmon

Код

systemctl restart fastnetmon

Для автоматического запуска мониторинга при старте системы, добавляем в /etc/rc.local

Код

/opt/fastnetmon/fastnetmon --daemonize

Далее настраиваем скрипт, который будет делать дампы:

Код

cp /usr/src/fastnetmon/src/notify_about_attack.sh /usr/local/bin/notify_about_attack.sh
chmod 755 /usr/local/bin/notify_about_attack.sh

Приводим скрипт

Код

/usr/local/bin/notify_about_attack.sh

к такому виду

Если хотите что-бы приходили уведомления на почту, убираем # перед:

Код

# cat | mail -s "FastNetMon Guard: IP $1 blocked because $2 attack with power $3 pps" $email_notify;

На этом настройка закончена.
Смотрим логи:

Все ок, все работает.

Можем запустить клиент, что-бы видеть текущую статистику:

Код

/opt/fastnetmon/fastnetmon_client

При атаках, в папке /root/ создаются 2 файла:
attack_дата_время.log
ddos_дата_время.log

attack_дата_время.log - лог который можно просматривать обычным текстовым редактором, там основная информация о атаке:

ddos ddos_дата_время.log - Более подробный дамп для просмотра через tcpdump (tcpdump -n -v -x -r ddos_дата_время.log )

ps\\ Если что-то не работает, первым делом смотрим логи, там все написано (tail -f /var/log/fastnetmon.log )
pss\\ Немного рекламы.
Отдельная благодарность Олегу Солодкому, директору riaas.ru за предоставленные ресурсы для тестов и написания фака.

Форум » Создание и настройка серверов » Защита Игрового сервера » Обнаружение атак и их дампы.

Страница 1 из 1
1