Bastante popular y el más común es el ataque SYN Flood, que envía una gran cantidad de solicitudes a un servidor web. Este tipo de ataque crea una gran cantidad de conexiones al servidor web, lo que conduce a una denegación de servicio si la IP de los bots Las direcciones no se bloquean en el tiempo. La instalación y configuración se realiza en el sistema operativo CentOS 7. El programa original se encuentra en https://github.com/jgmdev/ddos-deflate.
1. Necesitamos descargar e instalar ddos deflate
wget https://github.com/jgmdev/ddos-deflate/archive/master.zip -O ddos.zip
unzip ddos.zip
cd ddos-deflate-master
./install.sh
2. Configuración
/etc/ddos/ignore.host.list
/etc/ddos/ignore.ip.list
/etc/ddos/ddos.conf
En el archivo ignore.ip.list debes ingresar las direcciones IP que están asignadas al servidor. A continuación, en el archivo de configuración cambiamos la configuración por la nuestra:
/etc/ddos/ddos.conf
NO_OF_CONNECTIONS=390
ONLY_INCOMING=false
ENABLE_PORTS=false
EMAIL_TO="user@domain.tld"
BAN_PERIOD=5400
Tenga en cuenta que el valor NO_OF_CONNECTIONS=390 debe ser menor que lo que estableció en las restricciones del firewall. Ingresa tu correo electrónico e inicia el servicio.
service ddos start
Compruebe que el servicio se esté ejecutando con el comando
ps aux | grep ddos
También recomendamos agregarlo al cron en caso de que finalice el servicio.
*/5 * * * * nice -n -5 /usr/local/ddos/ddos.sh -d >> /dev/null 2>&1
En caso de congelación, recomendamos agregarlo al script de monitoreo de carga como un comando.
service ddos restart
3. Usando la CLI
ddos [OPTIONS] [N]
OPTIONS
-h | --help:
Muestra la ventana de ayuda.
-c | --cron:
Agregue el script a cron (por defecto cada 1 minuto).
-i | --ignore-list:
lista blanca de IP
-b | --bans-list:
Mostrar direcciones actualmente bloqueadas.
-u | --unban:
Desbloquee una dirección IP específica.
-d | --start:
Ejecutar como servicio en segundo plano.
-s | --stop:
Detenga el servicio.
-t | --status:
Muestra el estado del servicio y su pid si se está ejecutando.
-v[4|6] | --view [4|6]:
Mostrar conexiones activas.
-y[4|6] | --view-port [4|6]:
Mostrar conexiones activas, incluido el puerto.
-k | --kill:
Bloquee todas las direcciones IP que tengan más de N conexiones.