सेटिंग्स का विवरण

छोटे हमलों, बाढ़ और पासवर्ड अनुमान लगाने वाले हमलों से बचाने के लिए वेब सर्वर सेवाओं को कॉन्फ़िगर करना। इस प्रकार के हमले को वेब सेवा पर लोड बढ़ाने, सर्वर संसाधनों का उपभोग करने और थकावट और संसाधनों की कमी के कारण सेवा से इनकार करने के लिए डिज़ाइन किया गया है। यह मार्गदर्शिका आपको सर्वर स्तर पर विभिन्न प्रकार के हमलों के विरुद्ध बुनियादी सुरक्षा प्राप्त करने के लिए अपने सर्वर को कॉन्फ़िगर करने की अनुमति देती है। हमारे कॉन्फ़िगरेशन उदाहरणों में, हमने Centos 7 ऑपरेटिंग सिस्टम का उपयोग किया।

DDOS आक्रमण सुरक्षा सेवा से क्या अंतर है?

सेवा DDOS हमलों से सुरक्षा एक संरक्षित आईपी पते, ट्रैफ़िक के रूप में प्रदान की जाती है जिसके लिए एक विशेष उपकरण से होकर गुजरता है और नेटवर्क उपकरणों को अक्षम करने के लिए डिज़ाइन किए गए मध्यम और बड़े हमलों से बचाता है। लेकिन यह सेवाओं को मामूली बाढ़ से नहीं बचाएगा, जिससे नुकसान भी हो सकता है, क्योंकि वेब सर्वर तक पहुंचने वाले बॉट्स की कम संख्या के कारण यह इसे पहचान नहीं पाता है। सर्वर सुरक्षा के लिए सही दृष्टिकोण के मामले में, दोनों नियम लागू होते हैं, बाढ़ सुरक्षा और DDoS हमलों से सुरक्षा। यहां हम बताएंगे कि अपने वेब सर्वर को बाढ़ से बचाने के लिए उसे कैसे कॉन्फ़िगर करें।

वेब सेवाएं

आपके द्वारा चुने गए वेब सर्वर के आधार पर, सेटिंग्स के विभिन्न तरीके और प्रकार होते हैं। हमने सबसे लोकप्रिय वेब सेवाओं को सूचीबद्ध किया है और प्रत्येक के लिए सेटिंग्स का वर्णन किया है।

• nginx
• अपाचे

BruteForce हमलों से सुरक्षा

इस प्रकार के हमले से वेब सेवा पर भार बहुत बढ़ जाता है। हमलावर साइट के व्यवस्थापक क्षेत्र में लॉगिन फ़ॉर्म का एक लिंक प्रदान करता है और इसे कई बॉट्स पर लॉन्च करता है, जो प्राप्त और पोस्ट विधियों का उपयोग करके पासवर्ड का अनुमान लगाना शुरू करते हैं। लॉग में आपको एक ही आईपी पते से सैकड़ों, हजारों अनुरोध दिखाई देंगे। वे एक महत्वपूर्ण भार पैदा कर सकते हैं और वेब सेवा को विफल कर सकते हैं। सुरक्षा के लिए, हम Fail2Ban सेवा का उपयोग करेंगे, जो यदि एक ही लिंक पर अनुरोधों की सीमा 10 मिनट के भीतर पार हो जाती है, तो एक निश्चित समय के लिए आईपी पते को ब्लॉक कर देगी। हमारे अनुभव और अवलोकन से, इस प्रकार के हमले के साथ, सेवा सर्वर पर लोड पैदा किए बिना कम समय में लगभग 5000 आईपी पते को ब्लॉक करने में सक्षम है।

• Fair2Ban

SYN बाढ़ हमलों से सुरक्षा

इस प्रकार का हमला एक सामान्य वेबसाइट विज़िटर के अनुरोध का अनुकरण करता है, लेकिन एक वास्तविक क्लाइंट के विपरीत, बॉट, सर्वर से प्रतिक्रिया की प्रतीक्षा किए बिना, वेब सेवा को एक नया अनुरोध भेजता है, जब कई हजार अनुरोध होते हैं, तो सेवा रुक जाती है; और अनुरोधों का जवाब देना बंद कर देता है। इस प्रकार का हमला बहुत लोकप्रिय है क्योंकि इसमें असुरक्षित सर्वर को अक्षम करने के लिए बड़े संसाधनों की आवश्यकता नहीं होती है। डीडीओएस डिफ्लेट सेवा इस प्रकार के हमले को पूरी तरह से दर्शाती है।

• डीडीओएस डिफ्लेट

कनेक्शन सीमा निर्धारित करना

यहां हम फ़ायरवॉल नियमों के बारे में बात करेंगे; आपको सभी सेवाओं के लिए एक आईपी पते से कनेक्शन की संख्या पर एक सीमा निर्धारित करने की आवश्यकता है। यह नियम स्टैक ओवरफ़्लो से बचने में मदद करेगा, जिसकी सीमा कर्नेल सेटिंग्स में निर्धारित है। हम Centos पर iptables में सेटअप करेंगे।

• iptables

ओवरलोड से सुरक्षा और लोड औसत में वृद्धि

एक तरह से या किसी अन्य, विभिन्न प्रकार के हमले होते हैं, और यदि सुरक्षा सेवाओं के पास काम करने का समय नहीं था या सभी फ़िल्टर सेट नहीं थे, तो हमले के दौरान सर्वर पर लोड बढ़ जाएगा और अंततः आप सर्वर तक पहुंच खो देंगे, यह प्रत्युत्तर देना बंद कर देगा. सर्वर पर हमला होने पर पहुंच न खोने के लिए, हम एक स्क्रिप्ट स्थापित करने की सलाह देते हैं, जो उच्च लोड के मामले में, आवश्यक सेवाओं को पुनरारंभ करेगी और अन्य क्रियाएं करेगी।

• क्रॉंटैब स्क्रिप्ट

निष्कर्ष

इस प्रकार की सेटिंग आपको प्रदर्शन के नुकसान के बिना अधिकांश छोटे DDoS हमलों को रोकने की अनुमति देगी, और साइट को संभावित पासवर्ड अनुमान लगाने से भी बचाएगी। यह सेटिंग एक बार जरूर करनी होगी. कुछ समय के बाद, आपको यह सुनिश्चित करने के लिए लॉग फ़ाइलों की जांच करनी चाहिए कि लॉगरोटेट काम कर रहा है और फ़ाइलें 5-10 मेगाबाइट से अधिक नहीं लेती हैं। यदि आकार बड़ा है, तो बड़ी मात्रा में डेटा के कारण Fail2Ban सेवा ठीक से काम नहीं कर सकती है। इस सेटिंग के साथ, कम मात्रा में प्रोसेसर और मेमोरी संसाधनों वाला सर्वर भी स्थिर रूप से काम करेगा। आपको ईमेल द्वारा भी सूचनाएं प्राप्त होंगी और आपको हमेशा पता रहेगा कि कौन से आईपी पते कब और कब ब्लॉक किए गए थे।