Доброго времени суток!
Совсем недавно столкнулся с такой проблемой, как DDoS. Сразу скажу, я вообще ни разу не линуксойд, но зато чуточку программист, так что все что ниже, основано чисто на логике, а не на фактах, плюс переписанное с некоторыми добавками от уже известного.
Перекопав полчища статей и опробовав множество вариантов, ничто так и не помогло. Взяв за основу статьи Простой и эффективный метод отразить http DDoS от 50мбит с помощью nginx и iptables и (D)DoS Deflate решил написать свой скрипт. Ну вернее не решил, а методом тыка и исправлений он получился сам.
Должен заметить, что статья от Алексея Кузьмина не идеальна, т.к. в логах nginx`a не достаточно копаться, да и обработка логов может потребовать много ресурсов. А именно в моем случае создавались логи более 50 Гиг, плюс запросы шли не «GET / HTTP/1.1», а «GET / HTTP/1.0», плюс, как оказалось, мой сервер сам от себя получал редиректы (127.0.0.1), которые не отображались в логах, которые отображались в запросе
netstat -ntu | awk '{print $5}' | cut -d: -f1 | sort | uniq -c | sort -n
Суть скрипта такова, что через определенное время кроном запускается скрипт и проверяет все соединения с сервером, ip и кол-во их соединений которые записываются в файл. Потом запускается другой скрипт, который смотрит, если соединения, превышают заданное число (у меня стоит 20), то создается скрипт с блокировкой этих айпишников через iptables.
Я создавал отдельные файлы, чтобы прослеживать весь ход работы отдельно, и по своей некомпетентности, легко было обнаружить где и что не срабатывало.
Теперь к практике:
создаем каталог, где будет скрипт
mkdir /usr/local/ddos
в нем создаем файл ddos.sh и меняем его права:
chmod 0755 /usr/local/ddos/ddos.sh
записываем в него:
#!/bin/sh
# находим все соединения и записываем их во временный файл <i>ddos.iplist</i> в каталоге <i>tmp</i>
netstat -ntu | awk '{print $5}' | cut -d: -f1 | sort | uniq -c | sort -n > /tmp/ddos.iplist
# очищаем скрипт бана айпишников
cat /dev/null > /tmp/iptables_ban.sh
# создаем DROP правила для 50 самых агрессивных ботов
awk '{if ($1 > 20) {print "/sbin/iptables -I INPUT -p tcp --dport 80 -s " $2 " -j DROP" }}' /tmp/ddos.iplist >> /tmp/iptables_ban.sh
# следующая строка нужна только для того, чтобы создавался файл с просмотром всех правил iptables
echo "/sbin/iptables -L INPUT -v -n > /tmp/iptables.log" >> /tmp/iptables_ban.sh
# запускаем скрипт бана айпишников
bash /tmp/iptables_ban.sh
# делаем ротацию лога
cat /dev/null > /var/log/ddos/error.log
[ ! -f /var/run/nginx.pid ] || kill -USR1 `cat /var/run/nginx.pid`
Вот в принципе и все. Теперь запускаем кронтаб, предпочитаю команду:
EDITOR=mcedit crontab -e
ну или просто
crontab -e
и добавляем новую задачу в него, выполняющуюся каждые 10 минут:
*/10 * * * * /bin/sh /usr/local/ddos/ddos.sh
Также я изменил ротацию логов в файле /etc/logrotate.d/nginx от nginx`a, чтобы многогиговые файлы не создавались
/var/log/nginx/*.log {
daily
size 20M
missingok
rotate 150
compress
delaycompress
notifempty
create 640 root adm
sharedscripts
postrotate
[ ! -f /var/run/nginx.pid ] || kill -USR1 `cat /var/run/nginx.pid`
endscript
}
и записал еще задачу в крон, выполняющуюся каждый час
0 * * * * /usr/sbin/logrotate /etc/logrotate.conf
ну и для больше комфорта еще и раз в сутки решил перезагружать сервак, опять же через крон:
0 4 * * * /sbin/reboot
общий список заданий, выведенный через crontab -l:
*/10 * * * * /bin/sh /usr/local/ddos/ddos.sh
0 * * * * /usr/sbin/logrotate /etc/logrotate.conf
0 4 * * * /sbin/reboot
я записывал все под пользователем root, поэтому если вы не под этим пользователем, перед каждой командой стоит добавить root, типа:
*/10 * * * * root /bin/sh /usr/local/ddos/ddos.sh
Все пути делал абсолютными, т.к. не все команды без полного пути срабатывали.
Надеюсь кому-нибудь пригодится данная статейка. Прошу строго не судить по самому коду, т.к. я вообще впервые сам что-то делал на серваке )
Автор: FeaMor