LinuxシステムはどのようにCC攻撃を防止してホームページのカートンを避けます

2022-01-28

サーバーが正常に稼働しているのに、ユーザーがサイトにアクセスする人数が正常なのに、ページが詰まっていることがありますか。潰れるまで、CCに攻撃されることが多いのではないでしょうか。予防は治療より優れています。以下、Linuxシステムを例に、LinuxがCC攻撃を防ぐ方法を紹介します。

CC攻撃とは

cc攻撃は簡単(ChallengeCollapsar)

CC攻撃の原理は、攻撃者が一部のホストが大量のパケットを相手サーバに送信し続け、ダウンタイムが崩壊するまでサーバリソースが消費されることを制御することである。CCは主にページを攻撃するために使用され、誰もがこのような体験を持っている:1つのページにアクセスする人数が特に多い場合、ページを開くのが遅くなり、CCは複数のユーザー(どれだけのスレッドがどれだけのユーザー)をシミュレートして、大量のデータ操作(つまり大量のCPU時間を必要とする)を必要とするページにアクセスし続け、サーバー資源の浪費をもたらす。CPUは長時間100%で、ネットワークが混雑するまで処理しきれない接続があり、正常なアクセスが中止されます。

CC攻撃防止方法

このCC攻撃を防ぐには2つの方法があります

1つ目は、本機のファイアウォールを利用してCSF内に設置できるファイアウォールを解決することです。このような弊害は、小規模なCC攻撃やDDOS(私の立ち位置はアリ雲なので、DDOSはあまり心配しない)CC攻撃が比較的強いと機器もそのままCUPでいっぱいになることを防ぐことです。

2つ目の方法はCDNを追加することです。CC攻撃を防ぐ方法が一番ですが、CDNは一般的にお金がかかります。

具体的な防護についてお話しします

まずCSFファイアウォールをインストールします。これは簡単でドメイン名を変更する必要はありません。小規模なものは直接解決します。

一、依存パッケージのインストール：

　　yum install perl-libwww-perl perl iptables

二、CSFをダウンロードしてインストールする：

　　wget http://www.configserver.com/free/csf.tgz

　　tar -xzf csf.tgz

　　cd csf

　　sh install.sh

三、CSFが正常に動作するかどうかをテストする：

　　［root@localhost csf］# perl /etc/csf/csftest.pl

　　Testing ip_tables/iptable_filter.。.OK

　　Testing ipt_LOG.。.OK

　　Testing ipt_multiport/xt_multiport.。.OK

　　Testing ipt_REJECT.。.OK

　　Testing ipt_state/xt_state.。.OK

　　Testing ipt_limit/xt_limit.。.OK

　　Testing ipt_recent.。.OK

　　Testing xt_connlimit.。.OK

　　Testing ipt_owner/xt_owner.。.OK

　　Testing iptable_nat/ipt_REDIRECT.。.OK

　　Testing iptable_nat/ipt_DNAT.。.OK

　　RESULT： csf should function on this server

四、csfの構成：

CSFのプロファイルは

　　vim /etc/csf/csf.conf

　　# Allow incoming TCP ports

#SSHのデフォルトポート(22)を他のポートに変更することをお勧めしますが、必ず新しいポートを次の行に追加してください

　　TCP_IN = “20，21，47，81，1723，25，53，80，110，143，443，465，587，993，995〃

#Allow outgoing TCP ports同様に、SSHのログインポートを次の行に追加します。

#プログラムによっては、Pureftpdのpassive modeなど、一定範囲のポートを開く必要がある場合、30000:35000のように30000-35000の範囲のポートを開くことができます。

　　TCP_OUT = “20，21，47，81，1723，25，53，80，110，113，443〃

　　# Allow incoming UDP ports

　　UDP_IN = “20，21，53〃

　　# Allow outgoing UDP ports

　　# To allow outgoing traceroute add 33434:33523 to this list

　　UDP_OUT = “20，21，53，113，123〃

#Allow incoming PING他の人にあなたのサーバーをpingすることを許可するかどうか、デフォルトは1で、許可します。0は許可されていません。

　　ICMP_IN = “1〃

これらの構成はご覧の通りですが、一般的に使われているものをいくつか紹介します。

前のページ 1 合計2ページ いくつかのタイプの小規模DDos攻撃を免疫する:

　　# Connection Tracking. This option enables tracking of all connections from IP

　　# addresses to the server. If the total number of connections is greater than

　　# this value then the offending IP address is blocked. This can be used to help

　　# prevent some types of DOS attack.

　　# Care should be taken with this option. It’s entirely possible that you will

　　# see false-positives. Some protocols can be connection hungry， e.g. FTP， IMAPD

　　# and HTTP so it could be quite easy to trigger， especially with a lot of

　　# closed connections in TIME_WAIT. However， for a server that is prone to DOS

　　# attacks this may be very useful. A reasonable setting for this option might

　　# be arround 200.

　　# To disable this feature， set this to 0

　　CT_LIMIT="200"##固定時間内の同一IP要求の数

　　# Connection Tracking interval. Set this to the the number of seconds between

　　# connection tracking scans

　　CT_INTERVAL="30"##は上の固定時間を指し、単位は秒

　　# Send an email alert if an IP address is blocked due to connection tracking

　　CT_EMAIL_ALERT="1"##メールを送信するかどうか

　　# If you want to make IP blocks permanent then set this to 1， otherwise blocks

　　# will be temporary and will be cleared after CT_BLOCK_TIME seconds

#疑わしいIPに対して永続的なマスクを適用するかどうか、デフォルトは0、すなわち一時的なマスクです。

　　CT_PERMANENT = “0”

　　# If you opt for temporary IP blocks for CT， then the following is the interval

　　# in seconds that the IP will remained blocked for （e.g. 1800 = 30 mins）

#一時的な遮蔽時間

　　CT_BLOCK_TIME = “1800”

　　# If you don’t want to count the TIME_WAIT state against the connection count

　　# then set the following to “1〃

　　CT_SKIP_TIME_WAIT="0"##TIMEを統計するかどうかWAITリンク状態

　　# If you only want to count specific states （e.g. SYN_RECV） then add the states

　　# to the following as a comma separated list. E.g. “SYN_RECV，TIME_WAIT”

　　# Leave this option empty to count all states against CT_LIMIT

　　CT_STATES=""##国別に集計するかどうかは、国名で記入

　　# If you only want to count specific ports （e.g. 80，443） then add the ports

　　# to the following as a comma separated list. E.g. “80，443〃

　　# Leave this option empty to count all ports against CT_LIMIT

#どのポートを検出し、空であればすべてを検出し、sshを防止すれば空にし、すべてを統計することができます。

　　CT_PORTS = “”

以上の設定をした後、まずテストしてもいいです。問題がなければ、正式モードに変更します。さっきはテストモードだけでした。

#デフォルトの1を0に変更します。

　　TESTING = “0”

/etc/csf/の下にcsfがある.全部とcsf.deny 2つのファイル、

allowは信頼できるIPで、自分のIPをここに書いて誤封を防ぐことができます。

denyは閉鎖されたIPです。

調整があればcfsサービスを再起動する必要があります

LinuxがCC攻撃を防ぐ方法をご紹介しましたが、ユーザーサイトがCCに攻撃されたこと自体が知らない場合が多いので、定期的なチェックが必要です。

LinuxシステムはどのようにCC攻撃を防止してホームページのカートンを避けます

英国を代表する作曲家ブリテンが世界平和を願って作った『戦争レクイエム』【クラシック今日は何の日？】

被害者「問題解決には程遠い」　旧ジャニーズ被害者らが会見

民藝・イズ・ビューティフル。日本文化と黒人文化が融合する「アフロ民藝」とは？

杉真理×和田唱がビートルズをとことん語る！NHK-FMの人気番組「ディスカバー・ビートルズ」がオンライン講座として復活！

元アシスタントが語る　Dr.スランプ「あのキャラ」の誕生秘話

芸術レベルのグッズも登場！パリ・東京・大阪の名コレクションが集まる「TRIO展」

まだ無名だった作曲家エルガーが、婚約の贈り物として捧げた名曲【クラシック今日は何の日？】

大阪はアートとデザインの街となるか？ Osaka Art & Design 2024の見どころをレポート

「工芸的美しさの行方―うつわ・包み・装飾」が東京と京都で開催。第1弾はBONDED GALLERYにて7月から

ＩＴ国家の最先端研究を知って　奈良・宇陀市がエストニアへの短期留学事業

今週末に見たい展覧会ベスト12。山武市百年後芸術祭、版画の青春、北斎に三島喜美代まで

「UESHIMA MUSEUM」が開館。屈指の現代美術コレクションを一般公開

「ゲバルト」展が東京日仏学院などで開催。反暴力的反応とその美的様式を探る

横山奈美の個展「広い空に / Big Sky Mind」がN&A Art SITEで開催へ

謎多き家形埴輪「考古学の空白」に挑む橿考研ベテラン研究員、念願の特別展開催中

口腔ケアで高齢者を守ろう　「おとなの歯磨き」訪問歯科医が出版

105歳で死去した画家弥勒祐徳さん　おごらず、黙々と、ひたすらに神楽など描く

島左近の墓、京都の寺で発掘調査　三成の腹心、関ケ原後も生存？

沙に囲まれた残酷な世界が私たちの社会を浮かび上がらせる。期待の作家が令和の世に送り出す、新たな青春のバイブル！

田名網敬一が新作の巨大インスタレーションを発表へ。世界初の大規模回顧展「田名網敬一　記憶の冒険」