DOS Deflate proteção contra ataque na camada 7

Adriano Frare
Adriano Frare

O DOS Deflate é um script leve do shell bash, projetado para auxiliar no processo de proteção de um ataque de negação de serviço. Ele basicamente rastreia e monitora todos os endereços IP que fazem conexões com o servidor usando o comando netstat. Sempre que detecta o número de conexões de um único nó que excede certos limites de pré-teste definidos no arquivo de configuração, o script automaticamente bloqueia esse endereço IP através das tabelas IP ou APF de acordo com a configuração.

Esta flexibilidade permite proteger servidores baseados em Linux (SUSE, DEBIAN, UBUNTU, CENTOS, REDHAT, openSUSE entre outros) ou Microsoft Server.

DOS Deflate proteção contra ataque na camada 7

Aqui estão todas as etapas que precisamos seguir para instalar e configurar o DOS Deflate na máquina.

Download do DOS Deflate

Primeiro, precisamos fazer o download do arquivo de script do instalador, disponível no site do DOS Deflate através da wgetutility. Abra o terminal e digite o seguinte comando.

wget http://www.inetbase.com/scripts/ddos/install.sh

Agora, o arquivo de script do Installer “Install.sh” foi baixado com sucesso. O arquivo baixado pode ser verificado através do comando ls-l.

Permissão de Execução

Como pode ser visto, o arquivo baixado não possui permissão executável. Agora, temos que torná-lo executável. Isso pode ser feito através do seguinte comando.

chmod + x install.sh

Instalação

Agora, depois de obter a permissão executável, precisamos executar o arquivo install.sh. Ele instalará o DOS Deflate no sistema.

Agora, o DOS Deflate foi instalado com sucesso no sistema. Podemos verificar os arquivos do DOS Deflate em /var/local/ddos/.

Existem três arquivos no DDOS. Primeiro é o ddos. arquivo conf no qual todas as configurações da ferramenta serão definidas conforme o requisito. O segundo arquivo é ddos.sh, que é basicamente o arquivo de script principal da ferramenta, e o terceiro é o arquivo ignore.ip.list, que é o arquivo de lista branca de IP no qual podemos definir os endereços IP que precisam ser excluídos através desta ferramenta.

Junto com a instalação, um arquivo Cron é criado automaticamente na pasta /etc/cron.daily que será executada a cada minuto, pois a configuração padrão é de 1 minuto. Mas essa configuração pode ser alterada no arquivo ddos.conf. Este arquivo também verificará todas as conexões IP no servidor.

Configuração do Script

Primeiro, vamos alterar alguns comandos no arquivo ddos.sh principal para tornar a ferramenta mais eficaz. Para fazer isso, precisamos abrir o arquivo ddos com um editor e comentar a linha 118 adicionando ‘#’ antes da linha e escreva o seguinte comando:

netstat -ntu | grep ‘:’ | awk ‘{print $ 5}’ | awk ‘{sub (“:: ffff:”, ””); print}’ | cut -f1 -d ‘:’ | ordenar | uniq -c | ordenar -nr> $ BAD_IP_LIST

Podemos dizer que esse comando é o coração da ferramenta DOS Deflate. Este comando conta o número total de conexões para cada endereço IP conectado ao servidor.

Configuração da Solução

Após a instalação da ferramenta DDOS Deflate, precisamos configurá-la. Para fazer isso, precisamos abrir o arquivo ddos.conf no editor de VI, conforme mencionado abaixo.

vim /var/local/ddos/ddos.conf

Na figura acima, coloquei números para indicar cada configuração para melhor entendimento dos usuários. Cada ponto é definido nas seções abaixo.

Começaremos configurando a frequência do script. Por padrão, a frequência é definida como 1, o que significa que o script de desinfecção do DOS será executado a cada minuto. Podemos fazer alterações nessa configuração de acordo com nossos requisitos.

Depois de definir a frequência, precisamos definir um limite para o número de conexões, no qual temos que definir o número máximo de conexões para um endereço IP. O número padrão de conexões é definido como 150. Se um endereço IP ultrapassar o limite máximo de conexões, o DOS Deflate trata esse endereço IP como um IP corrompido e o bloqueia.

Nesta área, precisamos definir o firewall que usaremos para banir os endereços IP corrompidos. O DOS Deflate suporta dois firewalls – firewall APF e tabelas IP. Como sabemos, as tabelas IP são instaladas por padrão na máquina Linux. Portanto, usaremos tabelas de IP para banir os IPs corrompidos. Por padrão, é definido como 1. O valor pode ser alterado de 1 para 0.

O DOS Deflate é executado em dois modos. Primeiro, o modo interativo no qual o DOS Deflate não banirá os IPs danificados. Ele enviará apenas um email quando o número máximo de conexões for atingido. No segundo modo, ele banirá o endereço IP de acordo com as configurações acima e também enviará o email. Portanto, se quisermos testar a ferramenta, basta executá-la no modo interativo. Para definir o modo interativo, precisamos definir o valor como 0, caso contrário, defina o valor como 1. Por padrão, é definido como 1.

Nesta área, temos que definir o endereço de email. Quando um endereço IP é banido pelo DOS deflate, um email será enviado para esse endereço de email. Por padrão, é definido como root. Podemos fornecer qualquer endereço de email no lugar da raiz.

Quando o endereço IP é banido, temos que definir o tempo de banimento também. O tempo de banimento deve ser definido em segundos, conforme as necessidades. Por padrão, foi definido para 600 segundos. Isso significa que os IPs corrompidos serão banidos apenas por 5 minutos.

Testando a proteção

Depois de configurar o script. Teremos que reiniciar o script DOS Deflate.

Nota: Após fazer alterações no arquivo de configuração, precisamos reiniciar o script.

Configuramos com êxito o DOS Deflate na máquina do servidor. Agora, vamos testar esta ferramenta contra as ferramentas de ataque mais comuns do DOS. Algumas das ferramentas de ataque do DOS frequentemente usadas, usadas para iniciar o ataque do DOS ou DDOS e estão facilmente disponíveis na Internet, são mencionadas abaixo.

  • HOIC (High Orbit Ion Canon)
  • LOIC ( Low Orbit Ion Canon)
  • XOIC
  • R-U-DEAD-Yet
  • Pyloris
  • OWASP DOS HTTP Post
  • GoldenEye HTTP Denial of Service Tool
  • Slowloris HTTP Dos

Aqui, estamos testando o DOS Deflate contra o HOIC. É uma das mais populares ferramentas de ataque do DOS disponíveis gratuitamente na Internet. Essa ferramenta é realmente fácil de usar, mesmo para iniciantes. Podemos fazer o download desta ferramenta a partir do URL mencionado abaixo.

https://en.wikipedia.org/wiki/High_Orbit_Ion_Cannon

Após o download da ferramenta, precisamos extraí-la para a pasta e abri-la clicando no arquivo hoic.exe. Obteremos a seguinte interface HOIC.

Agora, precisamos adicionar o endereço IP ou a URL do servidor no qual configuramos o DOS Deflate.

Depois de adicionar o URL de destino, veremos este URL na seção de destino.

Em seguida, clique no ícone “FIRE THE LAZER” e ele iniciará o ataque do DOS no servidor. Após 2 minutos, receberemos um email no endereço de email mencionado na configuração do servidor, informando que o endereço IP foi banido no servidor.

Também podemos verificar o endereço IP banido efetuando login no servidor e verificando as tabelas IP. Podemos verificar o status das tabelas IP usando o seguinte comando.

iptables -L -n

Pode ser visto na captura de tela acima que o DOS Deflate baniu o endereço IP através das tabelas IP nas quais iniciamos a ferramenta HOIC DOS.

Outra ferramenta de ataque do DOS mais usada é o Slowloris HTTP DOS. Foi desenvolvido em Python. Tem algumas das características muito boas nele. Essa ferramenta está disponível nas plataformas Windows e Lnux, mas usaremos o sabor Linux dessa ferramenta. Podemos fazer o download desta ferramenta baseada em script Python executando o comando mencionado abaixo.

wget http://ha.ckers.org/slowloris/slowloris.pl

Depois de baixar a ferramenta, nós a tornamos executável e, em seguida, fornecemos o seguinte comando que a iniciará na URL.

./slowloris.py –dns <URL do servidor>

Depois de iniciar o ataque, poderíamos verificar o status da tabela de email ou IP para verificar se ele está bloqueado pelo DOS Deflate ou não.

Testamos com êxito o DOS Deflate em relação a todas as ferramentas fornecidas acima no artigo.

Segue abaixo sugestão de configuração no IPTABLES de forma a melhorar o desempenho da solução.

/sbin/iptables -N DDOSWWW
/sbin/iptables -I INPUT -p tcp –dport 80 -m state –state NEW -j DDOSWWW
/sbin/iptables -I DDOSWWW -m recente –set –name DDOSWWW
/sbin /iptables -A DDOSWWW -m recente –update –segundos 10 –hitcount 12 –name DDOSWWW -j LOG -m limit –limit 120 / hour –log-prefix “DDOSWWW:”
/sbin/iptables -I DDOSWWW -m recente –update –segundos 10 –hitcount 12 –name DDOSWWW -j DROP

Os leitores podem tentar sozinhos para que possam entender melhor.

Referências

www.deflate.medialayer.com

http://en.wikipedia.org/wiki/Denial-of-service_attack

http://forum.parallels.com/showthread.php?298319-How-to-install-(D)DoS-Deflate-and-APF-(Advanced-Policy-Firewall)-to-block-bad-IPs

Implemente de maneira rápida proteção contra ataques DDOs no seu site.

 

Share This Article
Follow:
Escritor do livro Aplicações Avançadas em LINUX com mais de 20 anos trabalhando com LINUX e UNIX.