[volkan]

Merhaba,

IPTABLES kullanarak şöyle bişey yapmam gerekiyor. Bütün droplanmış ve 80 portuna gelen ipleri 32 portuna yönlendirmem lazım. Ama mantıken bu yalnış geldiği için önce şu soruyu sormak istiyorum. APF de REDIRECTING varmı. Eğer varsa banladığım adami banlamak yerine redirect yapabilirim. Ben apf dökümanlarına baktım ama bulamadim komutunu. Prerouting diye bi dosyasi var ama olmasi lazim.

Ben size asıl amacımı anlatayim. Serverim 2 haftadir ciddi bir atağa maruz kalıyor. Bunu engellemek için kullandığımız sistem masum insanları banlayabiliyor. Bende apache ye 32 portuna bi klasör açtim ve 32 portunda o ip ye giren kullanıcıyı yazdığım php ye yönlendiriyor. Bu php kullanıcının bir bot olup olmadığını anlamak için Resimde gösterdiği harfleri aşağıdaki kutuya girmesini istiyor ve formu yolladığında girdiği ikinci sayfada eğer kullanıcı harfleri doğru girdiyse apf den gerekli rule u temizliyor dolayısıyla kullanıcının banı kalkıyor.

Israrla APF kullanmamın nedeni APF bir ip yi ikinci bir kez banlamama izin vermiyor benim sistemimdede böyle bir açık var yani bir ip bikaçkere banlanabiliyor. Ve APF den rule silmek kolay. IPTABLES ı yalnız başına kullanmıyorum bu yüzden.

Yardımlarınız için şimdiden teşekkürler..

[WHMSonic]

Merhaba,
Sorduğunuz soru için biraz geç bir cevap olacak ama yeni okuyabildim sorunuzu.

Yapmak istediğiniz güzel bir düşünce ancak bunu tek bir sunucu ile gerçekleştirmeniz durumunda aldığınız ddos ataklarını ikiye katlamış oluyorsunuz buda sunucuyu tamamen erişilemez duruma sokar.

Ataklar direk olarak 80 nolu porta yoğun bir şekilde gelir, bu yoğunluk içerisinde server zar zor ayakta kalır güvenlik sağlam ise bu yoğun isteklerin tümünü saldırı altında apache'nin yönlendirmesi demek 2 kat daha fazla yoğunluk demektir.

Neden 2 kat ben sadece apf de ban listesindeki ip leri yönlendiriyorum:
Doğru fakat ddos ataklarında atak yapan ip aynı ip'den sunucunuza en az 5 istek daha yapar buda kalan 5 isteği yönlendirmeniz anlamına gelir.

Size kişisel önerim bu tür bir girişimde bulunmamanızdır, atakları APF ile direk olarak droplamak sizin için daha uygun. Eğerki baş edilemiyorsa donanımsal firewall çözümlerine bakılmalıdır.

[volkan]

Öncelikle ilginiz için teşekkür ederim. Atak yapanın söylediğine göre 2000 bot kullanarak yapiyormus atağı ve muhtemelen atağı sunucuda bulunan 22 siteden birine veya birkaçına dağıtarak yapiyor ve makinaya yük getirebilecek phpleri çalıştırıyor. Sunucuda APF var BDF diye bir program kurmus firma(profosyonel yardim aldik) ddos için yapilmis apf ile birlikte çalışan basit bir bashscript çalışıyor bunlarin hiç biri makinayi kitlenmekten
kurtaramadığı için basit bi program yazdik loadi takip ediyor 10 u geçtiği zaman su komutu verip

Kod:

 netstat -n -p | grep SYN_REC | awk '{print $5}' | sort -u | awk -F: '{print "/usr/local/sbin/apf -d " $1}' > /home/cpu/DDOS
/home/cpu/DDOS
sleep 2
netstat -n -p | grep SYN_REC | awk '{print $5}' | sort -u | awk -F: '{print "/usr/local/sbin/apf -d " $1}' > /home/cpu/DDOS
/home/cpu/DDOS
sleep 2
netstat -n -p | grep SYN_REC | awk '{print $5}' | sort -u | awk -F: '{print "/usr/local/sbin/apf -d " $1}' > /home/cpu/DDOS
/home/cpu/DDOS
sleep 2
netstat -n -p | grep SYN_REC | awk '{print $5}' | sort -u | awk -F: '{print "/usr/local/sbin/apf -d " $1}' > /home/cpu/DDOS
/home/cpu/DDOS

bu komutlari giriyor. Kodlardanda anlayacağınız gibi netstat ile syn_rec e düsmüs ipleri listeliyor komut satiri olusturup ddos adli dossyaya küçük bir bashscript hazirliyor sonrada ddos dosyasini çalıştırıp kullanıcıları dropluyor. Sistemi kastirmicak bi php ye yönlendirirsem ben kullanicilari sistemi zorluyacağını sanmiyorum. ama bunun disinda mysql makinasi olarak kullandığımız bi makina daha var ayni datacenterda. diğer makinada bir apache portu açarak o makinaya yönlendirebilirim.

Suan için bu çözüm bize zarar getiriyor. Şöyleki saatbasi loadlar 500 lere yükseliyor. neden bu aralıkta yükseldigini bilmiyorum. Ve atağı kesinlikle kesmiyolar. Dolayisiyla arama motoru botlarını sponsorlarimizin ip lerini droplayabiliyor sistem.

Fikirlerinizi paylasirsaniz sevinirim.