Ddos çözüm arıyanlara

[nonamez]

arkadaşlar ddsoun %100 çöüzümü yok.Ama bu yüğzdediği yükselte bilirsiniz yapacaklarınız aşagıda açıklayıcı bır bıcımde yazılmıstır.

1.)APF kurun

1.) /usr/local/src dizinine geçiyoruz.

Kod:
cd /usr/local/src


2.) Dosyayı sunucuya indiriyoruz

Kod:
wget http://www.rfxnetworks.com/downloads/apf-current.tar.gz


3.)Sıkıştırılmış arşiv dosyasını açıyoruz.

Kod:
tar -xvzf apf-current.tar.gz


4.)Uygulamanın bulunduğu dizine giriyoruz

Kod:
cd apf-0.9.5-1/


5.)Kurulum scriptini çalıştırıyoruz.

Kod:
./install.sh




yüklendiğine gösteren mesaj ekrana geliyor
Alıntı:
.: APF installed
Install path: /etc/apf
Config path: /etc/apf/conf.apf
Executable path: /usr/local/sbin/apf
AntiDos install path: /etc/apf/ad/
AntiDos config path: /etc/apf/ad/conf.antidos
DShield Client Parser: /etc/apf/extras/dshield/


6.)Ayar dosyasını açıp gerekli düzenlemeleri yapacağız

Kod:
pico /etc/apf/conf.apf


İlk önce değişkenlerin ne olduğunu size açıklayacağım sonra gerekli düzenlemeri yapacağız.

DEVM="1"evolopment mod olarak açıklanıyor firewall ilk kurulduğunda standart olarak bu modda siz ayarları yapana kadar her 5 dakikada bir firewall kurallarını temizliyor.Böylece ssh portunu engelleseniz bile 5 dakika içerisinde girebilirsiniz.Herşeyin yolunda gittiğini anladıktan sonra bu değeri 0 olarak ayarlayın ve firewall ı yeniden başlatın.

LGATE_MAC="": Yerek ağ mac adresidir.Buraya bir değer girildiği zaman sadece buradan gelen isteklere izin verilicektir.Biz bu değeri boş bırakacağız.

LGATE_LOG="0": Değeri 1 olarak ayarlarsanız bütün ağ trafiğinin kayıdı tutulucaktır.Biz bu değeride 0 olarak bırakacağız.

EN_VNET="0": Bu değeri 1 olarak ayarlarsanız sistemdeki tüm ipler için farklı kurallar kurabilirsiniz./etc/apf/vnet/ dizinine bu kuralı yerleştirebilrisiniz gene standart olarak bir template bu dizinde var.

TIF="":Güvenilen ağlar .

DROP_LOG="1": Kernel tabanlı loglama.

LRATE="60": Iptables in dakikada logladığı olay sayısı.

IG_TCP_CPORTS="22":Sistemde içeriye tcp portlarını belirtir.22 yazan yere virgul ile açılıcak portları yazının devamında ekleyeceğiz.

IG_UDP_CPORTS="": İçeriye açılıcak udp portlarını gösterir.

EGF="0":Bu değeri 1 olarak açıcağız çıkan paketlerin filtrelenmesi.


EG_TCP_CPORTS="22":Sitemden dışarıya açılacak tcp portları.

EG_UDP_CPORTS="":Sistemden dışarıya açılıcak udp portları.

USE_DS="0"Dshield.org un engellenenler listesine bu seçeneği 1 olarak seçerseniz katkıda bulunursunuz.

Şimdi cpanel sunucuları için yapacağımız değişiklikleri adım adım anlatalım.

Kod:
pico /etc/apf/conf.apf


1.)Yazarak tekrar ayar dosyamızı açıyoruz

Kod:
USE_DS="0"

ve 3 satır altındaki
Kod:
USE_AD="0"

kısımlarını bulup

Kod:
USE_DS="1"

Kod:
USE_AD="1"


olarak değiştiriyoruz.



2.) IG_TCP_CPORTS yazan kısmı buluyoruz

içindeki portları silip aşağıdaki portları ekliyoruz

Kod:
20,21,22,25,26,53,80,110,143,443,465,993,995,2082, 2083,2086,2087,2095,2096

Görünümü şu şekilde oluyor

Kod:
IG_TCP_CPORTS="20,21,22,25,26,53,80,110,143,443,46 5,993,995,2082,2083,2086,2087,2095,2096"



3.) IG_UDP_CPORTS kısmını buluyoruz

içindeki portları silip aşağıdaki portları eklliyoruz

Kod:
21,53,873


Görünümü şu şekilde oluyor

Kod:
IG_UDP_CPORTS="21,53,873"




3.)EFG kısmını buluyoruz EGF="0" olan değeri EGF="1" olarak değiştiriyoruz.



4.) EG_TCP_CPORTS kısmını buluyoruz içindeki port listesini temizleyip aşağıdaki portları ekliyoruz.

Kod:
21,22,25,26,27,37,43,53,80,110,113,443,465,873,208 9


Görünümü şu şekilde oluyor

Kod:
EG_TCP_CPORTS="21,22,25,26,27,37,43,53,80,110,113, 443,465,873,2089"


5.) EG_UDP_CPORTS kısmını buluyoruz içindeki port listesini temizleyip aşağıdaki portları ekliyoruz.

Kod:
20,21,37,53,873


Görünümü şu şekilde oluyor

Kod:
EG_UDP_CPORTS="20,21,37,53,873"




ayar dosyası ile işimiz bitti dosyayı kaydedip çıkıyoruz.

Diğer kontrol paneli yazılımları için yapıcağınız değişiklikler de bunlardır.

Alıntı:
----Ensim -----
IG_TCP_CPORTS="21,22,25,53,80,110,143,443,19638"
IG_UDP_CPORTS="53"

EGF="1"
EG_TCP_CPORTS="21,22,25,53,80,110,443"
EG_UDP_CPORTS="20,21,53"



----Plesk -----

IG_TCP_CPORTS="20,21,22,25,53,80,110,143,443,465,9 93,995,8443"
IG_UDP_CPORTS="37,53,873"

EGF="1"
EG_TCP_CPORTS="20,21,22,25,53,37,43,80,113,443,465 ,873"
EG_UDP_CPORTS="53,873"




6.) Kod:
/usr/local/sbin/apf -s
komutunu uygulayarak firewall umuzu başlatıyoruz.SSH oturumumuzu kapatıp yeni bir oturum açıp sunucuya girmeye çalışıyoruz.Eğer herhangi bir sorunla karşılaşırda giremezseniz firewall kurallarının 5 dakika içinde silineceğini unutmayın.


7.)Başarılı bir şekilde giriş yaptıysanız editörümüz ile apf nin ayar dosyasını tekrar açıp devolopment moddan çıkartıcaz böylece artık firewall un kuralları 5 dakikada bir temizlenmeyecektir

Kod:
pico /etc/apf/conf.apf


DEVM="1" olan kısımı bulup DEVM="0" değiştiriyorsunuz.

8.) Kod:
/usr/local/sbin/apf -r
komutunu vererke firewall u yeniden başlatıyoruz.


Firewall ile kullanabileceğiniz parametreler

/usr/local/sbin/apf -s : Firewall u açar.
/usr/local/sbin/apf -r : Firewall u yeniden başlatır.
/usr/local/sbin/apf -st : Firewall un durumunu gösterir.
/usr/local/sbin/apf -f : Firewall u durdurur.
/usr/local/sbin/apf -l : Kuralları listeler.

Bir kullanıcının apf yardımı ile sistemden uzaklaştırılması

Kod:
/usr/local/sbin/apf -d ipnumarası
şeklindedir sistemden uzaklaştırmak istediğiniz ip numarası 81.214.247.127 ise
Kod:
/usr/local/sbin/apf -d 81.214.247.127
yazmanız yeterlidir.

Son olarak apf nin sunucu yeniden başlatıldığında otomatik olarak başlatılmasını sağlamak için aşağıdkai komutu giriyoruz.
Kod:
chkconfig --level 2345 apf on


Servera bir nmap çekip açık portlara bakalım.

Herşey istediğimiz gibi

APF antidos modülünün kurulumu:
Antidos modülü bir log analiz modülüdür arka arkaya gelen istekleri değerlendirerek bunu sizin belirlediğiniz değeri aştığında saldırganların sistemden uzaklaştırılmasını sağlamaktadır.

Kod:
/etc/apf/ad/conf.antidos

yazıp konfigurasyon dosyasını açıyoruz
LP_KLOG="0" kısmını bulup
LP_KLOG="1"
olarak değiştiriyoruz.

USR_ALERT="0" kısmını bulup
USR_ALERT="1" olarak değiştiriyoruz.
DET_SF="0" kısmını bulup
DET_SF="1" olarak değiştiriyoruz
Option: USR="you@yourco.com"kısmını bulup mail adresinizi yazıyorsunuz.
dosyayı kaydedip çıktıktan sonra
Kod:
crontab -e
yazarak crpntab ı açıyoruz buraya aşağıdaki girdiyi yazıyoruz
Kod:
*/2 * * * * root /etc/apf/ad/antidos -a >> /dev/null 2>&1

ve contabdan çıkıp
Kod:
/usr/local/sbin/apf -r
komutu ile firewall a restart atıyoruz.


APF Firewall unun durumu size mail ile bildirilsin
APF firewall unun durumunun yani çalışıp çalışmadığının ve loglarının size bildirilmesini istiyorsanız aşağıdaki değişikliği yapın

1.)/etc/cron.daily/ klasörüne giriyoruz

Kod:
cd /etc/cron.daily


2.)bilgilendirme dosyasını açıyoruz

Kod:
pico apfdurumbilgisi.sh


3.)İçinde aşağıdaki kodu yapıştırıyoruz mail adresinizi değiştirmeyi unutmayın.

Kod:
#!/bin/bash
tail -100 /var/log/apf_log | mail -s "APF Durum Bilgisi" dropby21@hotmail.com


4.)Kaydedip çıkıyoruz ve dosyaya gerekli izini vereceğiz şimdi.

Kod:
chmod 755 apfdurumbilgisi.sh


artık hergün elinize çalışıp çalışmadığına dair bir rapor gelicektir.

(alıntıdır)
2.)BFD(Brute Force Dedection) kurarak coklu ıpleri engelleyın



1.)Dosyayı sistemimize çekiyoruz.

Kod:
wget http://www.rfxnetworks.com/downloads/bfd-current.tar.gz


2.)Sıkıştırılmış arşiv dosyasını açıyoruz.

Kod:
tar -xvzf bfd-current.tar.gz




3.)Kurulum klasörüne geçiyoruz.

Kod:
cd bfd-*


Uygulamayı sisteme kuruyoruz.

Kod:
./install.sh




4.)Ayar dosyasını açıp gerekli yerleri değiştireceğiz.

Kod:
pico /usr/local/bfd/conf.bfd


ALERT_USR="0"
kısmını
ALERT_USR="1"
şeklinde

EMAIL_USR="root"
kısmınıda mail adresiniz gelecke şekilde değiştiriyorsunuz

EMAIL_USR="dropby21@hotmail.com"

ctrl+x tuş kombinasyonunu kullanarak dosyayı kaydedip çıkıyoruz.

Eğer kendi ipnizin serverdan uzaklaştırılmamasını istiyorsanız;
Kod:

pico -w /usr/local/bfd/ignore.hosts
yazıp kendi ip numaranızı listeye ekliyorsunuz tabi ip numaranız sabir olmalı.

5.)Bfd yi çalıştırıyoruz.
Kod:
/usr/local/sbin/bfd -s


buda bıtınce sımdı sıra geldı bir oınlem almaya daha oda black lıst hazırlamak

unutmayın butur lamerlar proxy kulnarak saldırırlar dıger turlu yakalanma riskleri buyuktur.simdi bunları engelmeye calısacagız



ektekı ıp gırıslerınızı apf den yasaklayın .Ben proxylerı buldukca sızlere burda yazacagım .Böylece lamerlar proxy ıle sıtenıze daldığında yasaklı ipler devreye gırer.

Devamı gelecek

[CaNeRiuM]

ddos gibi saldırılara yazılımsal çare bulunmaz !!!

[...::LorD::...]

bu konuyu çok aradınız mı? 2005-11-15, 18:16 post kasmayın derim

[leMAN]

geyik bölümü değil burası, adamlar anlatmışlar, konu güzel , millete post kasma diyene kadar bir şeyler öğrensen daha iyi sanada lazım olur günün birinde

Alıntı:

...::LorD::...´isimli üyeden Alıntı

bu konuyu çok aradınız mı? 2005-11-15, 18:16 post kasmayın derim

[FrontPage]

Alıntı:

CaNeRiuM´isimli üyeden Alıntı

ddos gibi saldırılara yazılımsal çare bulunmaz !!!

doğru söylüyorsunuz ancak ufak saldırılara bu şekilde dur, yavaş denebiliyor. Gerisi zaten elektrik prizine yada lan kablosuna bağlı

[rosende]

guzel anlatım tşkler