Введение и цели
В области информационной безопасности существует три основных аспекта любой информации: целостность, доступность и конфиденциальность, которые могут быть нарушены. Главная проблема в этой ситуации – это «угрозы».
Угрозы — совокупность факторов и процессов, которые могут нанести ущерб информационной системе и повлиять на выполнение бизнес-задач. Одна из угроз, направленных на доступность информации, — это DDoS-атаки (Distributed Denial of Service или распределенный отказ в обслуживании).
Почему это важно?
Атака направлена на сервер для того, чтобы создать критическую ситуацию: недоступность серверов из-за перегрузки огромным количеством запросов. DDoS направлен на 2 уровня: аппаратный или уровень железа, сервисов развернутых на сервере или ПО.
И что с этим делать?
Разделим инфраструктуру на две категории: внутренний и прокси-уровень, которые будут выступать защитными этапами инфраструктуры. На каждом из них будут описаны утилиты и методы, которые представляют собой сложные и точечные способы защиты системы.
План защиты
Теория: первоначально используем комплексный подход к созданию первичного уровня системы защиты от потенциальных DDoS-атак. Впоследствии, установим целенаправленные решения для устранения оставшихся уязвимых областей, которые, возможно, были упущены из виду при первоначальных мерах защиты.
Практика: довольно сложное, но эффективное решение — «внедрение трафика», которое включает в себя IP—адреса/идентификаторы, программное обеспечение для создания ложного трафика, брандмауэр, фильтры, балансировку нагрузки, автоматическое масштабирование и виртуальную инфраструктуру. Это уже набор точечных решений, объединенных в единую и взаимосвязанную систему. Подходит для различных типов архитектуры сетей.
ПО и установка
Первая стадия плана включает установку и развертывание службы сбора информации и анализа для составления профиля эталонного трафика.
Ниже приведены обычно рекомендуемые минимальные системные требования:
- Процессор: 2.5 ГГц или быстрее;
- ОЗУ: 2 Гб (4 Гб или более рекомендовано);
- Жесткий диск: 20 Гб свободного места;
- Операционная система: ОС Debian или системы семейства Unix.
Если с параметрами системы все в порядке, можем начать установку с помощью приведенных ниже команд:
sudo apt update && sudo apt upgrade -y

Эта команда обновляет индекс пакетов и загружает необходимые компоненты. Установите необходимые параметры, включающие инструменты для мониторинга трафика, анализа журналов и другое:
sudo apt install tcpdump -y

Однако вы можете использовать другое программное обеспечение из-за возможностей системы:
sudo apt install wireshark -y
Эта команда загружает необходимый пакет для мониторинга и перехвата трафика:
sudo apt install logwatch -y

Для создания профилей необходимо установить контроль над журналом событий:
sudo apt install acct -y
Для сбора информации о пользователях вы можете использовать «acct», но для этой цели вы также можете выбрать любое доступное ПО:

Настройте параметры сбора информации в соответствии с требованиями вашей информационной системы. После анализа архитектуры сети и вашего запроса на систему защиты — определите потоки входящего и исходящего трафика для записи: определите используемые интерфейсы, пул портов и IP—адресов:
sudo tcpdump -i enp0s5 -s 0 -w output.pcap port 80

В этом примере используется интерфейс «enp0s5», источником обозначен абсолютно любой IP-адрес, порт «80» и выходной файл с именем «output.pcap». Поэтому перехватывается трафик с eth0 на порт 80, HTTP-трафик.
Для Wireshark плоскость использования будет такой же:
sudo wireshark
Выберите интерфейс, нажмите кнопку «Пуск», чтобы начать считывать трафик, и «Стоп», чтобы закончить, а затем сохраните дамп данных. Нажмите на «Файл» —> «Сохранить» и выберите местоположение и формат для сохраненного файла. Из-за небольшого размера дампа данных рекомендуем очистить вашу систему:
sudo apt-get autoremove && sudo apt-get clean

Для получения более подробных и точных результатов начните мониторинг системы в течение 7 дней. Чем больше, тем лучше! Таким образом, мы сможем собрать данные из системы и составить профиль обычного трафика. Этот процесс будет описан в следующем эпизоде инструкции.
Вывод
Настройка системы сбора и перехвата информации о DDoS-атаках является важным шагом в защите вашей сети от вредоносного трафика. Используя такие инструменты, как Wireshark и tcpdump, вы можете легко захватывать и анализировать сетевой трафик в режиме реального времени, помогая выявлять закономерности и потенциальные угрозы до того, как они нанесут значительный ущерб. Важно убедиться, что ваша система правильно настроена и защищена, так как неправильная настройка может привести к дополнительным уязвимостям. С помощью правильных инструментов и надлежащей реализации вы можете значительно снизить риск DDoS-атак и защитить свою сеть от киберугроз.