Linux Sisteminizi Syn Dos Saldırılarına Karşı Korumak

Saldırılar Hakkında:

SYN (TCP bağlantı isteği), aşağıdaki karakteristiklere sahip çok yaygın bir DoS saldırısıdır:

1-) Saldırgan Internette kullanılmayan IP adreslerini aldatma ile kullanarak (kaynak adresi olarak kullanarak - spoof) birçok SYN paketini hedef makinaya yollar

2-) Alının her SYN pakedi için, hedef makina kaynak ayırır ve onay paketini (SYN-ACK) (SYN pakedinin yollandığı) kaynak ip adresine yollar

3-) Hedef makina, saldırı yapılan makinadan yanıt alamayacağından dolayı, SYN-ACK paketini 5 kez tekrar edecektir. Bunun tekrar süreleri, 3, 6, 12, 24 ve 48 saniyedir. Ayırdığı kaynağı boşa çıkartmadan evvel, 96 saniye sonra son bir kez SYN-ACK denemesi yapacaktır. Hepsini topladığınızda, görüldüğü gibi hedef makina ayırdığı kaynakları 3 dakika gibi bir süre tutacaktır. Bu sadece her bir SYN atağı için gerçekleşecek süredir.

Saldırgan bu tekniği tekrarlanan bir şekilde gerçekleştirdiği zaman, hedef makina ayırdığı kaynaklardan dolayı kaynak yetersizliğine kadar ulaşır ve artık yeni bir bağlantı karşılayamayacak duruma gelir. Ve bu durumda yetkili kullanıcılar bile makinaya bağlanamaz.

Sistemimizi SYN’ye karsi nasil koruruz?

Bir saldırıyı önlemenin en iyi yolu salrinin tipini bilmektir. Bunun için Snort IDS Tespit sistemi suanda freeware ve en stable sistemdir. (WeBCaNaVaRi'na Üye Olmadan Link'leri ve Kod'ları Göremezsiniz.
Link'leri Görebilmek İçin. Üye Ol. veya Giriş Yap.
) (Snort kurulum ve configuration’u bir sonraki makalede anlatilacaktir

Diyelimki bir bilgisayardan sisteminize SYN Flooding yapiliyor. Bunu önlemenin en iyi yolu o ip’yi iptables araciligi ile banlamaktir. Bunu sizin için otomatik yapıcak çok basit ve hayat kurtarici bir script işinizi görecektir..

Programin Amaci;

Sisteme bagli ip’lerin kontrolu ve tek ip’den limitlediğiniz bağlantı limitinin aşımı durumunda o ip’yi sistemden banlamasi.

Program default olarak ip başina 80 connection iznine ayarli fakat
$maxConnsPerIP = 80;
Kısmındaki değeri değiştirerek bunu değiştirebilirsiniz.

Kurulumu;

Sistem’e root ile login olduktan sonra;
wget WeBCaNaVaRi'na Üye Olmadan Link'leri ve Kod'ları Göremezsiniz.
Link'leri Görebilmek İçin. Üye Ol. veya Giriş Yap.

komutu ile dosyayi sunucuya indiriyoruz.

Ve indirdigimiz dosyayi çaliştirilabilir hale getirmek için;
chmod +x AntiDoS
komutunu kullaniyoruz.

Şimdi bu dosyanin belli araliklarla çalişip sisteme bagli ip’lerin kontrolunu yapması için crontab (zamanlanmis görevler) eklememiz gerekiyor.;

vi /var/spool/cron/root
Komutunu kullanarak cronun içine giriyoruz ve asagidaki line’i ekliyoruz;
*/5 * * * * /root/AntiDoS
(5 rakami kontrolu her 5 dk’da bir yapacagini göstermektedir bunu istediginiz sekilde ayarliyabilirsiniz tavsiyem 2dk’da bir check etmesi)

Program’in banladığı ip’leri calisma zamanlarini aşağıdaki pach’den bulabilirsiniz;
/var/log/antidos.run
/var/log/antidos.ban

Bu yöntem istemcinin sunucuya 1’den fazla gereksiz connection acip sunucuyu mesgul etmemesi için idealdir. ki cogu ddos atağın mantıgı sunucuya birden fazla istek yollayip onu cevap veremez hale getirmesidir.

Yukarıdaki yönteme ek olarak tabiki sağlam bir firewall’a ihtiyacınız var. Bunun için’de size önerebileceğim APF (Advanced Policy Firewall) uygulamasıdır.

Kurulum;

Sistem’e root ile login olduktan sonra;
Wget WeBCaNaVaRi'na Üye Olmadan Link'leri ve Kod'ları Göremezsiniz.
Link'leri Görebilmek İçin. Üye Ol. veya Giriş Yap.

komutu ile dosyayı sunucuya indiriyoruz.

Tar –zxf apf-current.tar.gz
komutu ile sıkıştırılmış dosyayı açiyoruz.

Cd apf-0.9.6-1/
sh install.sh

komutlari ile kurulumu tamamliyoruz ve ;

./usr/*****/src/apf-0.9.6-1/files/conf.apf

Dosyasini configuration için vi veya pico editoru ile aciyoruz.

# Common egress (outbound) TCP ports
EG_TCP_CPORTS="21,25,80,443,43"

# Common egress (outbound) UDP ports
EG_UDP_CPORTS="20,21,53"

Bu satirlardaki istemciye acmak istediğiniz portlari değiştiriyoruz. Configuration’u bitirdikten sonra

# Set firewall cronjob (devel mode)
# 1 = enabled / 0 = disabled
DEVEL_MODE="1

Burdaki mode’u 0 yapmaniz gerekmektedir aksi takdirde cronjob program calistiktan 5dk sonra programi kapaticaktir.

APF sayesinde

Sunucuya tüm giriş ve çıkışlari yönetebilir,
ICMP tabanli byte limiti koyabilir,
Kernel tabanli abort_on_overflow & tcp syncookies attacklarini önleyebilir ve daha birçok şey yapabilirsiniz..
Ayrintili configuration bilgisi için aşağıdaki link’i tıklayınız;
WeBCaNaVaRi'na Üye Olmadan Link'leri ve Kod'ları Göremezsiniz.
Link'leri Görebilmek İçin. Üye Ol. veya Giriş Yap.

Benzer Konular
	Konu Başlığı	Başlatan	Yanıtlar	Görüntü	Son Mesaj
	Registry Medic, Sisteminizi %100 Hızlandırın ! Ayrıntılı Anlatım ! Program Anlatımları	By.TuRuT	0	1295	Haziran 27, 2009, 07:26:46 ÖS Gönderen : By.TuRuT
	Düşünme Sisteminizi Değiştirebilirsiniz Ruh Sağlığı	Asortik Hatun	0	661	Ocak 22, 2013, 01:14:29 ÖÖ Gönderen : Asortik Hatun
	Ebe, Saldırılara Karşı Kendini Korumak Için Boks Dersi Alıyor Güncel Haberler	SaviorAngel	0	513	Mayıs 07, 2015, 12:15:53 ÖS Gönderen : SaviorAngel
	Facebook, Devlet-destekli Hack Saldırılarına Karşı Kullanıcılarını Uyaracak Network ve İnternet	-minel-	0	774	Ekim 19, 2015, 08:07:06 ÖS Gönderen : -minel-
	Terör Saldırılarına Karşı ' Çalıntı Plaka' Önlemi Güncel Haberler	-Trinity-	0	565	Nisan 14, 2016, 08:02:15 ÖÖ Gönderen : -Trinity-