Linux-ddos检测工具

by 橙影

Leonn的博客 / 0029-07-21 18:43

工具简介

• 一个可以从网卡直接收包，或者读取抓包文件，快速发现DDOS攻击，并且提取包量最大的10个源IP的小工具。

运行环境

• Linux

使用说明

./flow_detect –c 配置文件 -i 网卡名(-f 抓包文件名) -n 抓包统计量   

参数说明

• [-c必选，-i和-f二选一，-n可选]

-c    指定配置文件，为必选项   -i     指定要实时抓包的网卡名   -f    指定要分析的抓包文件名(tcpdump或者wireshark的抓包文件)   -n   指定抓包数量，必须在1000-200000之间，可不设置，不设置的情况下，如果是网卡实时抓包，则默认为200000个包，如果是抓包文件，则默认处理文件中所有包。   

配置文件说明

    <alarm_rule>           <synflood>                   <pps>10000</pps>                   <bps>10000000</bps>           </synflood>           <udpflood>                   <pps>80000</pps>                   <bps>100000000</bps>           </udpflood>           <icmpflood>                   <pps>10000</pps>                   <bps>10000000</bps>           </icmpflood>           <ackflood>                   <pps>200000</pps>                   <bps>400000000</bps>           </ackflood>           <rstflood>                   <pps>10000</pps>                   <bps>10000000</bps>           </rstflood>           <dnsflood>                   <pps>80000</pps>                   <bps>100000000</bps>           </dnsflood>           <noipflood>                   <pps>10000</pps>                   <bps>10000000</bps>           </noipflood>   </alarm_rule>   

• 目前只支持synflood, udpflood, icmpflood, ackflood, rstflood, dnsflood和noipflood的检测，检测阈值分为pps和bps两种，命中一个即认为是有攻击发生，阈值可按实际环境进行调整。

显示说明：

alarm detect rules are configured as follows   [这里会输出设定的检测阀值]   start processing ....   Total 3333 processed   183.60.244.45:  73738pps        49552566bps   Synflood detected!   Synflood detected!   Top Attack Source Addresses:   123.151.39.137: 73738pps        49552566bps     100%   

• 首先回显配置的检测阈值，然后输出目的IP的包量和流量信息，接着是发现的攻击类型，以及攻击源IP的信息。没有发现攻击的情况下显示如下：

start processing ....   172.27.208.151: 2pps    2178bps   No DOS attack found!   

下载地址

• 最后放上下载地址

总结

• 个人认为 这个工具能够有效的检测攻击的发生，能让服务器管理员做出及时的反应= =[然而服务商也会提醒你]
  好处是他可以输出攻击源ip的信息~炸回去，黑进去，如果是列表还能利用[大雾]

• 效果图

—

Shared via Inoreader

收集控: 低价/稳定/防御 VPS收集

by 橙影

Leonn的博客 / 0029-07-25 14:17

前言

• 由于在Leonn群里近期出现大量ddoc的mjj，这里给大家介绍一些带防御的机器~
  如果想搜索这些商家的促销产品，欢迎使用博客的搜索功能O.0

ramnode

• 官网 LG TOS
  这家稳定性不用说，性价比也很高，可以增加高防 ip3$/月
• NYC=纽约，ATL=亚特兰大，SEA=西雅图，LA=洛杉矶，NL=荷兰
  由于他家产品分的太细，这里就不多介绍了，防御值约为40-50G。

产品

• 512MB SKVMS — 512MB — 1 Core — 10GB — 1000GB – $3/mo
• 1024MB SKVMS – 1024MB – 2 Cores – 20GB — 2000GB – $5/mo
• 2048MB SKVMS – 2048MB – 2 Cores – 40GB — 3000GB – $10/mo

virmach

• 也由于产品过多不再介绍 优惠码网上很多 官网链接 vox防御，都懂
• 这家价格屠夫，也是老牌子的，可以增加vox ip 5$/年

产品

• 512MB RAM 10GB Disk (SSD RAID 10), 500GB Bandwidth @ 1Gbps,, SolusVM/KVM – $9/yr
• 1GB RAM 20GB Disk (SSD RAID 10), 1TB Bandwidth @ 1Gbps, SolusVM/KVM+Windows – $18/yr
• 2GB RAM 25GB Disk (SSD RAID 10), 1TB Bandwidth @ 1Gbps,, SolusVM/KVM+Windows – $30/yr

Buyvm

• 官方网站 客服态度可怕 也是vox提供防御 卢森堡机房抗DMCA
• 稳定商家，建站好选择。vox ip $3/月

产品

• 1 GB Ram 20 GB SSD 1 TB（1000Mbps）$3.5
• 2 GB Ram 40 GB SSD 2 TB（1000Mbps）$7

Rectified

• 官方网站由Sharktech提供防御 实测20-40G 其子公司changeip不作介绍
  首购75折码:91yun 终身八折码:8X52VE1DXC LET20
  这家应该是新公司 以Shartech机房小鸡出名

产品

• 1 GB 10 GB SSD（RAID 10）（100Mbit）$3.99/月
• 1.5 GB 15 GB SSD（RAID 10）（100Mbit）$5.59/月

SpartanHost

• 官网地址 6折码：KVM40，适用512M+ 测试ip:104.37.29.141
  西雅图机房由cnservers提供20G/s tcp防御

产品

• 512MB 12GB 1.5T $3.60
• 1024MB 25GB 2T $7.20
• 2048MB 50GB 3T $14.40

英德两国高防正在撰稿

—

Shared via Inoreader

购买国外vps后,需做的安全措施

by FISHERMAN

YM’S BLOG.人生如戏，全靠演技.既要看得透，还要看得远. / 0029-08-06 10:38

特吐血整理出以下文章。
1.禁止ping或者icmp，防止被小黑客恶意扫描。
内核禁止ping：
echo “1” > /proc/sys/net/ipv4/icmp_echo_ignore_all
这下是别人不能ping你，你也不能ping别人
将其值改为1后为禁止PING
将其值改为0后为解除禁止PING
iptables禁止ping：
iptables -I INPUT -p icmp -j DROP
（ubuntu可以写在rc.local里让其开机自启动运行）
2.iptables忽略rst，因为很大程度上，vps买来就是自己用的，然后如果上面放网站的话，忽略了这个也有好处，就是万一网站链接被重置，客户端再忽略rst后就可以正常传输网页了，其他不会被丢包但是会被rst的服务同理。
iptables -I INPUT -p tcp –tcp-flags SYN,FIN,RST,URG,PSH RST -j DROP
3.安装fail2ban。 主机放在国外最怕什么？不就是被扫描攻击刺探连接吗？安装fail2ban可以有效降低被发现安装了敏感服务等事情的几率。 centos折腾链接：http://www.centoscn.com/CentosSecurity/SoftSecurity/2015/0324/4996.html ubuntu折腾： 1.安装fail2ban sudo apt-get install fail2ban 源码包请自行上网查找。 2.设置 sudo vi /etc/fail2ban/jail.local 例如把ssh保护起来，那么配置文件应该是这样的，将vi的光标移动到[DEFAULT]区域。

[DEFAULT]
# 以空格分隔的列表，可以是 IP 地址、CIDR 前缀或者 DNS 主机名
# 用于指定哪些地址可以忽略 fail2ban 防御
ignoreip = 127.0.0.1 172.31.0.0/24 10.10.0.0/24 192.168.0.0/24
# 客户端主机被禁止的时长（秒）
bantime = 86400
# 客户端主机被禁止前允许失败的次数
maxretry = 5
# 查找失败次数的时长（秒）
findtime = 600
mta = sendmail
[ssh-iptables]
enabled = true
filter = sshd
action = iptables[name=SSH, port=ssh, protocol=tcp]
sendmail-whois[name=SSH, dest=your@email.com, sender=fail2ban@email.com]
# Debian 系的发行版
logpath = /var/log/auth.log
# Red Hat 系的发行版
logpath = /var/log/secure
# ssh 服务的最大尝试次数
maxretry = 3
根据上述配置，fail2ban会自动禁止在最近10分钟内有超过3次访问尝试失败的任意IP地址。一旦被禁，这个IP地址将会在24小时内一直被禁止访问 SSH 服务。

设置完毕后保存配置文件重启。
# /etc/init.d/fail2ban restart
为了验证fail2ban成功运行，使用参数’ping’来运行fail2ban-client 命令。 如果fail2ban服务正常运行，你可以看到“pong”作为响应。
# sudo fail2ban–client ping
Server replied: pong
另外，ssh尽量使用cert登录这也是一种极好的选择，这样可以大大降低被破解的可能，如果可以，尽量选择更改SSH端口为其他端口也可以降低被破解和扫描的可能性.

—

Shared via Inoreader