Для тех, кто использует для обеспечения работы сервера ОС Ubuntu, Debian, CentOS, либо OpenSUSE (т.е. «опирающихся» на ядро Linux), будет актуальным вопрос защиты от DDoS-атак средствами iptables (ай-пи тэйблс).

Что представляет собой iptables, и как он влияет на защиту от DDoS-атак

ВАЖНО. Для использования iptables вы должны иметь права суперпользователя. Поэтому перед началом работы убедитесь в их наличии.

Iptables представляет собой утилиту командной строки ядер Linux (версий 2.4 и выше), выполняющую роль стандартного интерфейса для работ со штатным брандмауэром системы. По сути – это набор определенных правил применяющихся к пакетам данных. Iptables анализирует передающиеся данные и их контекст, и на основании этого «решает судьбу» каждого пакета. А это значит, что настроив определённым образом ай-пи тэйблс (точнее задав для него правила), можно обеспечить защиту от DDoS-атак на уровне файрвола.

Как обеспечивают защиту от DDoS атак

Суть защиты в данном случае сводится к фильтрации IP-адресов  и блокированию нежелательных. При этом важно помнить, что использование Iptables актуально в случае с фильтрацией относительно небольшого количества адресов. Если количество цепочек будет >2К, процесс ksoftirqd будет создавать колоссальную нагрузку на сервер. Вызвано это тем, что  Iptables не может эффективно работать с большим количеством адресов (сетей). Если нужно больше – используйте утилиту Ipset, которая дает возможность задавать правила  для определенных групп, оперируя при этом списками.

Рассмотрим пример обеспечения защиты средствами Iptables, задав в нем команду для сброса всех входящих пакетов с определённого IP-адреса. Выглядеть она будет так:

iptables -I INPUT -s xxx.xxx.x.xxx -j DROP.

Здесь xxx.xxx.x.xxx – конкретный IP-адрес.

При помощи аналогичной команды можно обеспечить блокировку входящего трафика по подсети. Выглядеть это будет так:

iptables -i eth1 -A INPUT -s xxx.xxx.x.0/24 -j DROP (т.е. указываем маску подсети и длину префикса в битах).

Это один из самых простых способов обеспечения защиты от DDoS-атак при помощи Iptables (мы знаем диапазон IP-адресов и блокируем его). Еще один вариант – создание разрешительной политики   для iptables и оптимизации настроек sysctl, за счет чего ограничивается число подключений с одного адреса на порты сервера DNS и веб-сервера, к службе ssh, а также защита от спуфинга на уровне ядра и файрвола. Вот пример реализации этого:

Видно, что такой способ реализации защиты от DDoS-атак требует серьезных знаний ядра Linux и программирования. Ели их нет, целесообразно воспользоваться услугами специальных компаний, которые могут организовать защиту, например, с использованием технологии проксирования.

  
Электронная книга: как правильно выбрать?
В настоящее время, электронные книги среди многих пользователей становятся всё более и более популяр
Какой правильно выбирать планшетный ПК?
Подобрать планшетный ПК достаточно непросто. Сегодня присутствует множество предложений, среди котор
Влияние музыки на человека трудно переоценить
Лечите душу ощущениями и…музыкой. Влияние музыки на человека поистине значительное, и это факт, о

Оставить комментарий