eu tenho ataque maciço na porta no meu servidor

Navegue suas respostas
1

eu tenho servidor Ubuntu 15.4 eu abro uma porta com o número 20000 eu tenho ataque ddos maciço sobre esta porta eu digitei no terminal 

netstat -ntu | awk '{print $5}' | cut -d: -f1 | sort | uniq -c | sort -n

para pegar o ip do atacante e bloquear ele achei bazillion ip's com conexão aberta 55

eu preciso criar script automático usando o iptables para proteger essa porta

então se ip tiver conexão mais que 5 iptable bloqueá-lo automaticamente usando 

iptables -A INPUT -s attacker ip address -j DROP

mas eu não sei como fazer esse script vai demorar uma eternidade para bloquear os ips um por um:)

    
por Vlark.Lopin 05.08.2016 / 02:33

1 resposta

0

O seguinte irá detectar os IPs e depois soltá-los por mais de um dia. 

# Dynamic Badguy List. Detect and DROP Bad IPs that try to access port 20000.
# Once they are on the BADGUY list then DROP all packets from them.

iptables -A INPUT -i eth0 -m recent --update --hitcount 5 --seconds 90000 --name BADGUY -j LOG --log-prefix "Port 20000 BAD:" --log-level info
iptables -A INPUT -i eth0 -m recent --update --hitcount 5 --seconds 90000 --name BADGUY -j DROP
iptables -A INPUT -i eth0 -p tcp -m tcp --dport 20000 -m recent --set --name BADGUY -j ACCEPT

Substitua eth0 pelo seu nome de interface real.
Coloque essas regras depois da regra de by-pass ESTABELECIDA e RELACIONADA. Um exemplo típico: 

iptables -A INPUT -i eth0 -m state --state ESTABLISHED,RELATED -j ACCEPT
    
por Doug Smythies 27.08.2016 / 16:45
Como transferir um DVD para o meu disco rígido A montagem do CIFS como usuário no Ubuntu 16.04 retorna “Nenhum arquivo ou diretório”