Como detectar e bloquear o DDOS no CSF?

1. Como saber quais ips estão atacando.

2. Como bloquear estes ip's para não poderem mais atacar?

Veja as conexões com seu servidor usando:

netstat -ntu | awk '{print $5}' | cut -d: -f1 | sort | uniq -c | sort -n

Recomendo o DDoS Deflate (para funcionar junto com o csf) para parar estes ataques:

Instalação:

wget http://www.inetbase.com/scripts/ddos/install.sh

chmod 0700 install.sh

./install.sh

Modificando para funcionamento com CSF

Altere o arquivo /usr/local/ddos/ddos.sh , bem no final dele, onde tem APF, altere para CSF.

Obs.: É beem no final mesmo, e não me recordo se é só APF que está no original.

echo $CURR_LINE_IP >> $IGNORE_IP_LIST

if [ $APF_BAN -eq 1 ]; then

APF -d $CURR_LINE_IP

else

$IPT -I INPUT -s $CURR_LINE_IP -j DROP

fi

done < $BAD_IP_LIST

if [ $IP_BAN_NOW -eq 1 ]; then

dt=`date`

if [ $EMAIL_TO != "" ]; then

cat $BANNED_IP_MAIL | mail -s "IP addresses banned on $$

Grande abraço

Editado Janeiro 4, 2012 em 14:11 Jan 4, 2012 por PedroSouza

troquei tudo que é "$APF" por "$CSF" fiiz correto?

Não, apenas precisa trocar onde tá APF -d, que é onde bloqueia, para csf, no fim, como eu disse :)

Não sei se dá problema se mudar todos APF para CSF.

Eu fico tão contente quando alguém responde/ajuda de fato alguém aqui, sem xingamentos, sem chamar de novato.

Parabéns, Pedro!

*-* Obrigado !

Obs.: aaaa, fui elogiado :rolleyes:

Lembrando também que dependendo do tamanho do ataque, o firewall não resolve nada, só vai levar o seu load a 100%, até porque o ataque vai continuar chegando na sua placa de rede..

Aaah se fosse tão fácil de bloquear ;P.

Então eu fiz isso ai em cima hoje, eu preciso adicionar algo pra rodar no cron?

Outra coisa como ele vai saber que é CSF preciso definir algo no /usr/local/ddos/ddos.conf?

Veja as conexões com seu servidor usando:

Recomendo o DDoS Deflate (para funcionar junto com o csf) para parar estes ataques:

Instalação:

Modificando para funcionamento com CSF

Altere o arquivo /usr/local/ddos/ddos.sh , bem no final dele, onde tem APF, altere para CSF.

Obs.: É beem no final mesmo, e não me recordo se é só APF que está no original.

Grande abraço