news
Serverspace в «Рейтинге провайдеров IaaS Enterprise 2023» от Market.CNews
KA
16 мая 2023
Обновлено 21 июля 2023

Как настроить систему защиты от DDoS-атак в Debian: Часть 1

Debian Мониторинг Сети

Введение и цели

В области информационной безопасности существует три основных аспекта любой информации: целостность, доступность и конфиденциальность, которые могут быть нарушены. Главная проблема в этой ситуации – это «угрозы».

Угрозы —  совокупность факторов и процессов, которые могут нанести ущерб информационной системе и повлиять на выполнение бизнес-задач. Одна из угроз, направленных на доступность информации, — это DDoS-атаки (Distributed Denial of Service или распределенный отказ в обслуживании).

Почему это важно?

Атака направлена на сервер для того, чтобы создать критическую ситуацию: недоступность серверов из-за перегрузки огромным количеством запросов. DDoS направлен на 2 уровня: аппаратный или уровень железа, сервисов развернутых на сервере или ПО.

И что с этим делать?

Разделим инфраструктуру на две категории: внутренний и прокси-уровень, которые будут выступать защитными этапами инфраструктуры. На каждом из них будут описаны утилиты и методы, которые представляют собой сложные и точечные способы защиты системы.

План защиты

Теория: первоначально используем комплексный подход к созданию первичного уровня системы защиты от потенциальных DDoS-атак. Впоследствии, установим целенаправленные решения для устранения оставшихся уязвимых областей, которые, возможно, были упущены из виду при первоначальных мерах защиты.

Практика: довольно сложное, но эффективное решение — «внедрение трафика», которое включает в себя IP—адреса/идентификаторы, программное обеспечение для создания ложного трафика, брандмауэр, фильтры, балансировку нагрузки, автоматическое масштабирование и виртуальную инфраструктуру. Это уже набор точечных решений, объединенных в единую и взаимосвязанную систему. Подходит для различных типов архитектуры сетей.

ПО и установка

Первая стадия плана включает установку и развертывание службы сбора информации и анализа для составления профиля эталонного трафика.

Ниже приведены обычно рекомендуемые минимальные системные требования:

  • Процессор: 2.5 ГГц или быстрее;
  • ОЗУ: 2 Гб (4 Гб или более рекомендовано);
  • Жесткий диск: 20 Гб свободного места;
  • Операционная система: ОС Debian или системы семейства Unix.

Если с параметрами системы все в порядке, можем начать установку с помощью приведенных ниже команд:

sudo apt update && sudo apt upgrade -y
Обновление пакетов
Скриншот №1 — Обновление пакетов

Эта команда обновляет индекс пакетов и загружает необходимые компоненты. Установите необходимые параметры, включающие инструменты для мониторинга трафика, анализа журналов и другое:

sudo apt install tcpdump -y
Установка tcpdump
Скриншот №2 — Установка tcpdump

Однако вы можете использовать другое программное обеспечение из-за возможностей системы:

sudo apt install wireshark -y

Эта команда загружает необходимый пакет для мониторинга и перехвата трафика:

sudo apt install logwatch -y
Установка logwatch
Скриншот №3 — Установка logwatch

Для создания профилей необходимо установить контроль над журналом событий:

sudo apt install acct -y

Для сбора информации о пользователях вы можете использовать «acct», но для этой цели вы также можете выбрать любое доступное ПО:

Установка acct
Скриншот №4 — Установка acct

Настройте параметры сбора информации в соответствии с требованиями вашей информационной системы. После анализа архитектуры сети и вашего запроса на систему защиты — определите потоки входящего и исходящего трафика для записи: определите используемые интерфейсы, пул портов и IP—адресов:

sudo tcpdump -i enp0s5 -s 0 -w output.pcap port 80
Настройка правил tcpdump
Скриншот №5 — Настройка правил tcpdump

В этом примере используется интерфейс «enp0s5», источником обозначен абсолютно любой IP-адрес, порт «80» и выходной файл с именем «output.pcap». Поэтому перехватывается трафик с eth0 на порт 80, HTTP-трафик.

Для Wireshark плоскость использования будет такой же:

sudo wireshark

Выберите интерфейс, нажмите кнопку «Пуск», чтобы начать считывать трафик, и «Стоп», чтобы закончить, а затем сохраните дамп данных. Нажмите на «Файл» —> «Сохранить» и выберите местоположение и формат для сохраненного файла. Из-за небольшого размера дампа данных рекомендуем очистить вашу систему:

sudo apt-get autoremove && sudo apt-get clean
Wireshark
Скриншот №6 — Wireshark

Для получения более подробных и точных результатов начните мониторинг системы в течение 7 дней. Чем больше, тем лучше! Таким образом, мы сможем собрать данные из системы и составить профиль обычного трафика. Этот процесс будет описан в следующем эпизоде инструкции.

Вывод

Настройка системы сбора и перехвата информации о DDoS-атаках является важным шагом в защите вашей сети от вредоносного трафика. Используя такие инструменты, как Wireshark и tcpdump, вы можете легко захватывать и анализировать сетевой трафик в режиме реального времени, помогая выявлять закономерности и потенциальные угрозы до того, как они нанесут значительный ущерб. Важно убедиться, что ваша система правильно настроена и защищена, так как неправильная настройка может привести к дополнительным уязвимостям. С помощью правильных инструментов и надлежащей реализации вы можете значительно снизить риск DDoS-атак и защитить свою сеть от киберугроз.

Оценка:
5 из 5
Аverage rating : 5
Оценок: 3
191028 Санкт-Петербург Литейный пр., д. 26, Лит. А
+7 (812) 403-06-99
700 300
ООО «ИТГЛОБАЛКОМ ЛАБС»
700 300

Вам также может быть интересно...