Introducere în atacurile Flood DDoS și protecția pe Linux

Atacurile Flood DDoS (Distributed Denial of Service) sunt o amenințare frecventă pentru serverele Linux, vizând suprasolicitarea resurselor printr-un volum mare de trafic generat artificial. Aceste atacuri pot pune în pericol disponibilitatea serviciilor web, serverelor de jocuri sau a oricărui serviciu online.

În acest tutorial, vom explora metode practice, simple și eficiente pentru a proteja un server Linux împotriva atacurilor Flood DDoS folosind unelte native și pachete populare de securitate. Veți învăța să configurați firewall-ul iptables, să utilizați fail2ban și să implementați alte bune practici de securitate.

Ce este un atac Flood DDoS?

Atacurile Flood DDoS constau în trimiterea unui volum mare de pachete sau cereri către o țintă, în scopul de a-i epuiza resursele (CPU, memorie, lățime de bandă) și a întrerupe serviciile. Exemple comune includ:

UDP Flood: trimiterea masivă de pachete UDP către porturi aleatorii;
TCP SYN Flood: inițierea unui număr mare de conexiuni TCP fără a le încheia;
ICMP Flood: inundarea cu pachete ICMP (ping);
HTTP Flood: cereri HTTP multiple pentru a bloca serverul web.

Pași pentru protecția împotriva atacurilor Flood DDoS pe Linux

1. Utilizarea iptables pentru limitarea traficului

iptables este un firewall foarte puternic și versatil, inclus implicit în majoritatea distribuțiilor Linux. Cu iptables putem limita rata pachetelor acceptate pentru a preveni inundarea serverului.

Un exemplu de regulă pentru limitarea conexiunilor TCP SYN (folosită împotriva SYN Flood):

sudo iptables -A INPUT -p tcp --syn -m limit --limit 10/s --limit-burst 20 -j ACCEPT
sudo iptables -A INPUT -p tcp --syn -j DROP

1 2	sudo iptables -A INPUT -p tcp --syn -m limit --limit 10/s --limit-burst 20 -j ACCEPT sudo iptables -A INPUT -p tcp --syn -j DROP

Explicație:

-p tcp --syn: se aplică pachetelor TCP de inițiere a conexiunii;
-m limit --limit 10/s --limit-burst 20: limitează traficul la 10 pachete pe secundă cu un burst maxim de 20;
pachetele care depășesc limita sunt respinse.

Pentru a proteja împotriva UDP Flood, putem limita pachetele UDP astfel:

sudo iptables -A INPUT -p udp -m limit --limit 20/s --limit-burst 40 -j ACCEPT
sudo iptables -A INPUT -p udp -j DROP

1 2	sudo iptables -A INPUT -p udp -m limit --limit 20/s --limit-burst 40 -j ACCEPT sudo iptables -A INPUT -p udp -j DROP

2. Activarea modulului kernel pentru protecție TCP

Linux oferă parametri sysctl pentru a controla comportamentul TCP și a reduce riscul de atacuri Flood:

sudo sysctl -w net.ipv4.tcp_syncookies=1
sudo sysctl -w net.ipv4.tcp_max_syn_backlog=2048
sudo sysctl -w net.ipv4.tcp_synack_retries=3
sudo sysctl -w net.ipv4.tcp_syn_retries=3

sudo sysctl -w net.ipv4.tcp_syncookies=1

sudo sysctl -w net.ipv4.tcp_max_syn_backlog=2048

sudo sysctl -w net.ipv4.tcp_synack_retries=3

sudo sysctl -w net.ipv4.tcp_syn_retries=3

Aceste setări activează syncookies (o metodă de apărare împotriva SYN flood), măresc backlog-ul conexiunilor și limitează numărul de încercări SYN.

Pentru a face aceste modificări permanente, adăugați-le în fișierul /etc/sysctl.conf:

net.ipv4.tcp_syncookies=1
net.ipv4.tcp_max_syn_backlog=2048
net.ipv4.tcp_synack_retries=3
net.ipv4.tcp_syn_retries=3

net.ipv4.tcp_syncookies=1

net.ipv4.tcp_max_syn_backlog=2048

net.ipv4.tcp_synack_retries=3

net.ipv4.tcp_syn_retries=3

3. Configurarea fail2ban pentru blocarea IP-urilor agresive

fail2ban monitorizează log-urile sistemului și poate bloca automat IP-urile care generează trafic suspect sau atacuri repetate.

Instalare pe Debian/Ubuntu:

sudo apt update
sudo apt install fail2ban

1 2	sudo apt update sudo apt install fail2ban

Un exemplu de configurare pentru protecția împotriva atacurilor SYN Flood și alte tipuri de atacuri:

[DEFAULT]
bantime  = 3600
findtime  = 600
maxretry = 5

[sshd]
enabled = true
port    = ssh
filter  = sshd
logpath = /var/log/auth.log
maxretry = 3

[DEFAULT]

bantime = 3600

findtime = 600

maxretry = 5

[sshd]

enabled = true

port = ssh

filter = sshd

logpath = /var/log/auth.log

maxretry = 3

Puteți defini filtre personalizate pentru alte servicii sau tipuri de atacuri, dar fail2ban oferă deja protecție pentru SSH, ceea ce reduce riscul de atacuri prin brute force.

4. Monitorizarea traficului și alertarea

Monitorizarea în timp real a traficului este esențială pentru detectarea atacurilor la timp. Instrumente utile includ iftop, nload, netstat și tcpdump.

Instalare iftop:

sudo apt install iftop
sudo iftop -i eth0

1 2	sudo apt install iftop sudo iftop -i eth0

Substituiți eth0 cu interfața rețelei dvs. Monitorizarea vă poate ajuta să observați creșteri neobișnuite de trafic.

5. Alte bune practici pentru protecția serverului

Actualizări regulate: mențineți sistemul și pachetele actualizate pentru a beneficia de cele mai noi patch-uri de securitate.
Limitarea serviciilor expuse: dezactivați sau restricționați accesul la serviciile nefolosite.
Utilizarea CDN și protecție DDoS externe: servicii ca Cloudflare pot filtra traficul rău intenționat înainte de a ajunge la server.
Configurarea rate limiting la nivel de aplicație: pentru serverele web, folosirea unor module precum mod_evasive pentru Apache sau limit_req în Nginx.

Concluzie

Protecția împotriva atacurilor Flood DDoS pe Linux combină configurarea corectă a firewall-ului, ajustarea parametrilor kernel-ului și utilizarea unor instrumente automate precum fail2ban. Deși aceste metode nu garantează o protecție absolută în cazul unui atac masiv, ele reduc semnificativ riscul și impactul acestora.

Implementați pas cu pas soluțiile prezentate în acest tutorial și personalizați-le în funcție de specificul serverului dvs. și tipul serviciilor oferite.

În plus, monitorizarea constantă și actualizarea frecventă a sistemului reprezintă măsuri esențiale pentru menținerea securității pe termen lung.

Aveti nevoie de ajutor cu Linux Server sau WordPress?

Contact github