English | Vietnamese
 

banner

[Rule] Rules  [Home] Main Forum  [Portal] Portal  
[Members] Member Listing  [Statistics] Statistics  [Search] Search  [Reading Room] Reading Room 
[Register] Register   [Login] Loginhttp  | https  ]
 
Forum Index Thảo luận hệ điều hành *nix Xin giúp đỡ viết 1 script chặn DDoS  XML
  [Programming]   Xin giúp đỡ viết 1 script chặn DDoS 29/11/2009 01:58:31 (+0700) | #1 | 199376
[Avatar]
 Yuno
Member
[Minus]    0    [Plus]
Joined: 08/07/2006 16:58:02
Messages: 30
Offline
[Profile] [PM]
Chào các bạn.
Tôi có 1 server chạy CentOS, giời gian gần đây thường xuyên bị người khác DDoS, và tôi chặn bằng cách thủ công như sau : tôi xác định IP đã DDoS từ file log, sau đó tôi đưa vào firewall để chặn, nhưng cách này không lâu dài được. Tôi mới tập tành với Linux thôi nên chưa đủ khà năng viết 1 script cho phép tự động chặn DDoS. Bên dưới là những hàng trong file log mà tôi đã ghi lại
Code:
Oct 25 11:08:41 sip /usr/local/sbin/openser[7028]: radius_proxy_authorize ; M=INVITE ; F=sip:6943646285@222.255.236.134 ; T=sip:157637373737@222.255.236.134 ; IP=118.68.249.236 ; ID=9bc0bea3d677469c94db2e6762d5acef 
Oct 25 11:08:41 sip /usr/local/sbin/openser[7032]: radius_proxy_authorize ; M=INVITE ; F=sip:6943646285@222.255.236.134 ; T=sip:21314134314134@222.255.236.134 ; IP=118.68.249.236 ; ID=ac4fba3e703d46e7b6fe63cd4077f91e 
Oct 25 11:08:41 sip /usr/local/sbin/openser[7032]: radius_proxy_authorize ; M=INVITE ; F=sip:6943646285@222.255.236.134 ; T=sip:123434234242@222.255.236.134 ; IP=118.68.249.236 ; ID=ed463190eada4451ac03b3896705c6f9 
Oct 25 11:08:41 sip /usr/local/sbin/openser[7028]: radius_proxy_authorize ; M=INVITE ; F=sip:6943646285@222.255.236.134 ; T=sip:2134323445@222.255.236.134 ; IP=118.68.249.236 ; ID=737eb09dc6784644ae1b262b0f2976a7 
Oct 25 11:08:41 sip /usr/local/sbin/openser[7028]: radius_proxy_authorize ; M=INVITE ; F=sip:6943646285@222.255.236.134 ; T=sip:123214313413523@222.255.236.134 ; IP=118.68.249.236 ; ID=89ac6c34a98249f0945ddfa2655691ad

Tôi mong muốn mọi người giúp tôi xác định được IP DDoS từ file log, sau đó đưa nó vào cho firewall để chặn 1 cách tự động. và trên server thì cứ 5 phút script này chạy 1 lần
file log : http://www.mediafire.com/?yz2njlm0kzj

Mong nhận được sự giúp đỡ của các bạn

@MOD : nếu có sai sót gì thì MOD cho tôi biết lý do để còn sửa đổi lại nhé.
[Up] [Print Copy]
  [Programming]   Xin giúp đỡ viết 1 script chặn DDoS 29/11/2009 06:38:15 (+0700) | #2 | 199402
myquartz
Member
[Minus]    0    [Plus]
Joined: 04/01/2005 04:58:30
Messages: 563
Offline
[Profile] [PM]
Cài fail2ban đi.
Chỉ cần chỉnh 1 chút là có thể chạy được ngay, nó chặn khá hiệu quả kiểu DOS như thế (hoặc kiểu thử/sai mật khẩu).

P/S: À, nếu OpenSER của bạn, chắc phải chỉnh lại config 1 chút, ví dụ bạn DROP ngay cái dest domain nó dạng 255.xxx, ép trường FROM phải thuộc IP hiện hữu hoặc 1 domain tồn tại.
Ngoài ra, có thể check thêm source IP (của gói UDP/SIP) để in ra log khi nó authentication sai, giúp cho fail2ban làm nốt việc chặn.
[Up] [Print Copy]
  [Programming]   Xin giúp đỡ viết 1 script chặn DDoS 30/11/2009 16:10:31 (+0700) | #3 | 199473
[Avatar]
 Yuno
Member
[Minus]    0    [Plus]
Joined: 08/07/2006 16:58:02
Messages: 30
Offline
[Profile] [PM]
Tôi đã tìm hiểu và cài fail2ban nhưng cái này không phù hợp với hệ thống của tôi, mặc dù nó xem ra là khá tốt.
Vẫn monh anh em giúp đỡ cho 1 script. Lấy ra địa chỉ IP đã Dos sau đó đưa vào iptable để chặn, đồng thời cũng unlock những ip đã bị chặn từ trước.

Cám ơn anh em.
[Up] [Print Copy]
  [Programming]   Xin giúp đỡ viết 1 script chặn DDoS 30/11/2009 16:21:33 (+0700) | #4 | 199474
myquartz
Member
[Minus]    0    [Plus]
Joined: 04/01/2005 04:58:30
Messages: 563
Offline
[Profile] [PM]
Chài, fail2ban đúng theo những yêu cầu của bạn, tự lấy IP DOS rồi cho vào iptables chặn, unlock sau đó theo thời gian đã định trước. Ko phù hợp là ko phù hợp ở cái gì ko biết?
Ai người ta phát minh lại cái bánh xe làm gì.
[Up] [Print Copy]
  [Programming]   Xin giúp đỡ viết 1 script chặn DDoS 30/11/2009 18:39:52 (+0700) | #5 | 199480
[Avatar]
 Yuno
Member
[Minus]    0    [Plus]
Joined: 08/07/2006 16:58:02
Messages: 30
Offline
[Profile] [PM]
Tôi không nói là fail2ban không tốt, nhưng nếu cài fail2ban thì dẫn đấn 1 số điều không phù hợp với server của tôi.
[Up] [Print Copy]
  [Programming]   Xin giúp đỡ viết 1 script chặn DDoS 30/11/2009 18:56:42 (+0700) | #6 | 199482
myquartz
Member
[Minus]    0    [Plus]
Joined: 04/01/2005 04:58:30
Messages: 563
Offline
[Profile] [PM]
Vậy tớ nghĩ cậu có thể trả tiền để ai đó viết cho cậu, 1 cái riêng chức năng tương tự như fail2ban.
Bạn có thể viết quảng cáo đặt hàng, nhiều người có thể dành thời gian weekend để viết code lấy tiền.
Nếu như mình viết, mình sẽ lấy giá chừng 4-5 chai, cho 1 tuần viết và 1 tháng bảo hành.

P/S: quảng cáo thêm tẹo: mình có khả năng config kamailio (là openser đổi tên mà thành), đã chạy trong môi trường thực tế. Mình có thể chỉnh sửa từ A-Z để đảm bảo chống DoS như cậu đang bị, làm ngoài giờ.
[Up] [Print Copy]
[digg] [delicious] [google] [yahoo] [technorati] [reddit] [stumbleupon]
Go to: 
 Users currently in here 
1 Anonymous

Powered by JForum - Extended by HVAOnline
 hvaonline.net  |  hvaforum.net  |  hvazone.net  |  hvanews.net  |  vnhacker.org
1999 - 2013 © v2012|0504|218|