Eylül 30th, 2009 | 
Author: Hemen her yıllanmış sunucu sahibinin başına gelen syn saldırıları http protokolünün bir zaafı olarak çoğumuzu uğraştırmıştır. Bu saldırılardan tamamen korunmak olası olmasa da bir miktara kadar yazılımsal olarak önlem alabiliriz. Konunun ayrıntılarıyla sizi yormadan, bir kabuk (shell) scriptini ve crontab girişini anlatacağım.
Bu Script Ne Yapar?
Gelen bağlantı taleplerini SYN_RECV paketlerini süzerek sayar; SYN isteklerini tmp üzerinde synler adlı dosyaya yazar. Ardından bu dosyada 4′ten fazla Syn isteği gönderen ip adreslerini iptables yardımıyla uzaklaştırır.
Adım adım anti-syn flooder hazırlayalım:
- Sunucunuza root olarak giriş yapın.
- cd /usr/sbin komutuyla /usr/sbin dizinine geçin.
- pico syn.sh komutuyla boş bir scripte giriş yapın.
- Gelen pencereye aşağıdaki satırları yapıştın (buradan kopyalayıp, putty/telnet ekranınıza sağ tıklayabilirsiniz.)
!/bin/bash
#
netstat -np | grep SYN_RECV | awk ‘{print $5}’ | \
cut -d: -f1 | cut -d: -f1 | sort | uniq -c | \
sort -n| awk ‘{if ($1 > 4) print $2;}’ > /tmp/synler
while read synler; do /sbin/iptables -A INPUT -s $synler \
-j DROP ; done < /tmp/synler
- ctrl+x tuşlarıyla belgenizi kaydedin ve kapatın.
Scriptimiz hazır ancak ne sıklıkta tarama yapacağını, ne zaman çalışacağını belirtmedik. Bunun için crontab yardımımıza koşuyor. Crontab genellikle dakika cinsi işlemler için kullanılır. Ama biz saniye cinsiyle de kullanabiliriz. Devam edelim;
- crontab -e komutuyla crontab ekranına gelin.
- Gelen ekranın en altına
*/1 * * * * sleep 3; /usr/sbin/syn.sh
satırını ekleyerek ctrl+x tuşlarıyla kaydederek çıkış yapın.
Artık crontab’ınız her üç saniyede bir syn isteklerini tarayacak 4′ten fazla syn isteği gönderen ip adreslerini iptables yardımıyla engelletecektir.
SSS (Sıkça Sorulan Sorular)
4 değil de 2 yapsam ne olur?
Bazen Google da syn kaçırıyor. Deneyimle sabit ideal değer 4′tür bunu bir veya iki yaparsanız Google botlarının banlanmasına da neden olabilirsiniz.
Nasıl kaldırabilirim?
crontab -e ile geleceğiniz ekrandan eklediğiniz satırı silip, crontabı kaydederek.
Hangi Sistemlerde Çalışır?
Linux.
Yanında Ne İyi Gider?
Doğru ayarlanmış bir CSF.
Ne Kadar Engelleyebilir?
Anlık 10-500 zombieyi. Bu değer bağlantı özelliklerinize, sunucunun donanımına göre değişebilir. CSF ile birlikte kullanırsanız daha güçlü bir kalkanınız olur.
Başka Ne Kullanıyorsun?
Ddos kesmek için
- Syn.sh
- CSF (tabi ki doğru ayarlarla)
- Güçlü donanım ve hat
- Donanımsal Firewall ve Paket Süzücü (Ayrıntı)
Bunları Yapamam, Sunucum Yok Bana Korumalı Host Sağlar Mısın?
Teşekkür Ederim.
Rica Ederim.
Posted in Linux | 
Tags: anti syn, bnd, botnet, botnet engelleme, csf, ddos, ddos engelleme, ddos koruması, ddostan korunma, firewall, iweb, linux firewall, saldırı engellemek, sunucu koruması, syn, syn saldırıları, syn scripti, syn.sh, zombie
başarılı olmuş. synleri kesiyor. teşekkürler.
teşekkürler sayenizde loadlar 1 e düştü:D
host ihityacınz olursa msn e mi ekleyin eminim firma sahibisinizdir ama:D