สอบถามเรื่อง botnet linux ป้องกันครับ

ส่วนมากแล้ว คำสั่ง netstat สามารถเขียน script ให้มัน block ip auto ได้มั้ยครับ พอดีว่าโดน botnet ซึ่งมาจาก IP เน็ตบ้านรั่วๆประมาท 20 กว่า IP ทำให้เซิฟล้มไปพักนึงต้องมานั่ง block
อันนี้คำสั่งที่ผมเช็ค การใช้ netstat นับจำนวน connetion ของแต่ละ IP ด้วยคำสั่ง
netstat -ntu | grep ESTABLISHED | awk ‘{print $5}’ | cut -d: -f1 | sort | uniq -c | sort -nr

แต่ผมก็ต้องมานั่ง block ทีละ IP
ตัวอย่าง การ Block ก็ง่ายๆ ไม่ยากด้วย iptables
iptables -A INPUT -s xxx.xxx.xxx.xxx -j DROP

#เพื่อนๆพี่ๆคนไหนมีความรู้ด้านนี้ช่วยมาเสริมหน่อยครับหรือขอวิธีแก้ขอบคุณพื้นที่เว็บ thaihostalk ครับ

ก็ใช้ cronjob เข้าช่วยครับ ให้มันรันคำสั่ง netstat เรื่อยๆทุกกี่นาทีก็ว่าไป

แต่จริงๆลองศึกษา iptables พวก module: recent, hashlimit, limit ดูครับ ใช้พวกนี้ block จะดีกว่า เช่น ถ้ามี connection เข้ามาเกิน xx ครั้ง / วิ ก็ block ทันที ไม่ต้องรันอะไรเพิ่มเติม

พอจะมีวาปก่อนไหมครับตอนนี้ เหมือนจะ ยังโดนอยู่ แทบทนไม่ไหวแล้ว

ใช้งานเป็นเว็บไซต์ หรืออะไรครับ

เว็บไซต์ครับ

ใช้ nginx ป้องกันครับ

ขอวิธีหน่อยคับ ปกติ nginx มันติดั้งมาแล้ว

ตรวจสอบ จาก access log ก่อนนะครับว่าโดนโจมตีรูปแบบไหน

แล้วค่อยไปใส่ rule block ที่ไฟล์ nginx.conf

ตัวอย่าง Rule http://www.cyberciti.biz/faq/unix-linux-appleosx-bsd-nginx-block-user-agent/

มารูปแบบ UDP ครับ คนโจมตี้มันแคปมาดืออๆเลยใช้ ip killer จากบอทเน็ตบ้าน ยิงมาหลาย IP

Service เป็นเว็บไซต์ Block Protocol UDP แล้ว ใช้ ipteables ACCEPT แต่ที่ใช้ก็ได้นะครับ

เริ่มยังไงดีคับเริ่มไม่ถูก ลอง seacrh แล้วก็งงๆ กลัวมันไปปิด port บางอย่าง

ถ้า udp nginx ไม่ช่วยอะไรครับ + ถ้ามันยิงมาจน bw เราเต็ม block ท่เครื่องเราก็ไม่ช่วยอะไรเหมือนกัน ต้องให้ทาง idc block ให้อีกทีครับ

ขอวิธีบล๊อก กับ iptables คร่าวๆหน่อยคับ

ถ้าของเราให้บริการเว็บอย่างเดียว ลองคุยกับทางผู้ให้บริการว่าช่วยปิด udp ทั้งหมด ยกเว้น dst port 53 (DNS) น่าจะได้อยู่นะครับ

ต้องซื้อ service firewall ถึงจะสามารถทำได้ครับ
ทาง IDC แจ้งมาแบบนี้ครับ

request ต้นทางยิงเข้ามาผ่าน ip หรือ domain ครับ

มันมีพวก Spoof ip จะกันยังไง

ได้ลองติดตั้ง mod security หรือยังครับ

This topic was automatically closed 90 days after the last reply. New replies are no longer allowed.