Assez populaire et la plus courante est l'attaque SYN Flood, qui envoie un grand nombre de requêtes à un serveur Web. Ce type d'attaque crée un grand nombre de connexions au serveur Web, ce qui entraîne un déni de service si l'adresse IP des robots les adresses ne sont pas bloquées à temps. L'installation et la configuration sont effectuées sur le système d'exploitation CentOS 7. Le programme d'origine se trouve sur https://github.com/jgmdev/ddos-deflate.
1. Nous devons télécharger et installer ddos deflate
wget https://github.com/jgmdev/ddos-deflate/archive/master.zip -O ddos.zip
unzip ddos.zip
cd ddos-deflate-master
./install.sh
2. Configuration
/etc/ddos/ignore.host.list
/etc/ddos/ignore.ip.list
/etc/ddos/ddos.conf
Dans le fichier ignore.ip.list, vous devez saisir les adresses IP attribuées au serveur. Ensuite, dans le fichier de configuration, nous modifions les paramètres par les nôtres :
/etc/ddos/ddos.conf
NO_OF_CONNECTIONS=390
ONLY_INCOMING=false
ENABLE_PORTS=false
EMAIL_TO="user@domain.tld"
BAN_PERIOD=5400
Veuillez noter que la valeur NO_OF_CONNECTIONS=390 doit être inférieure à celle que vous avez définie dans les restrictions du pare-feu. Entrez votre email et démarrez le service.
service ddos start
Vérifiez que le service est en cours d'exécution avec la commande
ps aux | grep ddos
Nous vous recommandons également de l'ajouter à cron au cas où le service prendrait fin.
*/5 * * * * nice -n -5 /usr/local/ddos/ddos.sh -d >> /dev/null 2>&1
En cas de gel, nous vous recommandons de l'ajouter au script de surveillance de charge en tant que commande
service ddos restart
3. Utilisation de la CLI
ddos [OPTIONS] [N]
OPTIONS
-h | --help:
Affiche la fenêtre d'aide.
-c | --cron:
Ajoutez le script à cron (par défaut toutes les 1 minute).
-i | --ignore-list:
Liste blanche IP
-b | --bans-list:
Afficher les adresses actuellement bloquées.
-u | --unban:
Débloquez une adresse IP spécifique.
-d | --start:
Exécuté en tant que service en arrière-plan.
-s | --stop:
Arrêtez le service.
-t | --status:
Afficher l'état du service et son pid s'il est en cours d'exécution.
-v[4|6] | --view [4|6]:
Afficher les connexions actives.
-y[4|6] | --view-port [4|6]:
Afficher les connexions actives, y compris le port.
-k | --kill:
Bloquez toutes les adresses IP qui ont plus de N connexions.