Web sitesi Güvenliği, DOS - DDOS Saldırıları...
SSH İle İçerden Bir IP'ye Yapılan Saldırıyı Önlemek
SSH İle İçerden Bir IP'ye Yapılan Saldırıyı Önlemek
-
Selamlar,
Sunucu içerisinden bildiğim bir ip den, devamlı bir ip ye 1 gbitlik saldırı yapılıyor. Sunucuya tanımlı IP adresi, veri merkezinden saldırı cıkışı yapıyor nedeni ile devamlı bloklanıyor.
Bunu ssh ile nasıl engelleyebiliriz. (CentOs, whm yüklü)
Saygılar
PLaXToR tarafından 14/Mar/16 16:34 tarihinde düzenlenmiştir -
bkz. iptables
-
ip adresini değil saldırıyı bloklamak istiyorum çünkü ip adresi iç ip eğer çıkışı kesersem üzerindeki siteler gider ip üzerinde siteler var sadece nereden/hangi scriptten saldırı çıkışı olduğunu görmek istiyorum.
-
Saldırı senin sunucudan oluyorsa saldırılan ip ye giden OUTPUT u iptables ile engelleyebilirsin. örneğin:
iptables -A OUTPUT -d 202.54.1.22 -j DROP
bu kuralı iptables listesinin en üstüne kaydetmek istersen de
iptables -I 1 OUTPUT -d 202.54.1.22 -j DROP
olarak kullanabilirsin. burada 1 sayısı, komutun ekleneceği satırı gösteriyor. satırları görüntülemek için:
iptables -L --line-numbers
yazabilirsin.
(bu metodun çalışacağını düşünüyorum lakin pratikte uygulamadım, emin değilim).
RockZs tarafından 15/Mar/16 08:27 tarihinde düzenlenmiştir -
/sbin/iptables -A OUTPUT -i eth0 -p tcp --destination-port {PORT-NUMBER-HERE} -s {IP-ADDRESS-HERE} -j DROP /sbin/iptables -A OUTPUT -i eth0 -p tcp --destination-port {PORT-NUMBER-HERE} -s {IP/SUBNET-HERE} -j DROP
dış çıkış portlarını bir kapatsana 80 25 22, -
Yok hocam hala saldırı devam ediyor.
Network tarafındaki görülen log detayı aşağıdaki şekildedir ;
16:08:10.000000 00:0c:29:5c:4e:c1 > 00:24:38:9b:5b:00, IPv4, length 1522: $BENIM_SERVER_IC_IP_ADRESI > 95.10.61.98: udp
16:08:10.000000 00:0c:29:5c:4e:c1 > 00:24:38:9b:5b:00, IPv4, length 1522: $BENIM_SERVER_IC_IP_ADRESI > 95.10.61.98: udp
16:08:10.000000 00:0c:29:5c:4e:c1 > 00:24:38:9b:5b:00, IPv4, length 1522: $BENIM_SERVER_IC_IP_ADRESI.33144 > 95.10.61.98.80: UDP, length 8192
16:08:10.000000 00:0c:29:5c:4e:c1 > 00:24:38:9b:5b:00, IPv4, length 1522: $BENIM_SERVER_IC_IP_ADRESI > 95.10.61.98: udp
16:08:11.000000 00:0c:29:5c:4e:c1 > 00:24:38:9b:5b:00, IPv4, length 1522: $BENIM_SERVER_IC_IP_ADRESI > 95.10.61.98: udp
16:08:11.000000 00:0c:29:5c:4e:c1 > 00:24:38:9b:5b:00, IPv4, length 1522: $BENIM_SERVER_IC_IP_ADRESI > 95.10.61.98: udp
16:08:11.000000 00:0c:29:5c:4e:c1 > 00:24:38:9b:5b:00, IPv4, length 1522: $BENIM_SERVER_IC_IP_ADRESI > 95.10.61.98: udp
16:08:11.000000 00:0c:29:5c:4e:c1 > 00:24:38:9b:5b:00, IPv4, length 842: $BENIM_SERVER_IC_IP_ADRESI > 95.10.61.98: udp
16:08:11.000000 00:0c:29:5c:4e:c1 > 00:24:38:9b:5b:00, IPv4, length 1522: $BENIM_SERVER_IC_IP_ADRESI > 95.10.61.98: udp
16:08:11.000000 00:0c:29:5c:4e:c1 > 00:24:38:9b:5b:00, IPv4, length 842: $BENIM_SERVER_IC_IP_ADRESI > 95.10.61.98: udp
16:08:11.000000 00:0c:29:5c:4e:c1 > 00:24:38:9b:5b:00, IPv4, length 1522: $BENIM_SERVER_IC_IP_ADRESI > 95.10.61.98: udp
16:08:11.000000 00:0c:29:5c:4e:c1 > 00:24:38:9b:5b:00, IPv4, length 1522: $BENIM_SERVER_IC_IP_ADRESI > 95.10.61.98: udp
16:08:11.000000 00:0c:29:5c:4e:c1 > 00:24:38:9b:5b:00, IPv4, length 1522: $BENIM_SERVER_IC_IP_ADRESI > 95.10.61.98: udp
16:08:11.000000 00:0c:29:5c:4e:c1 > 00:24:38:9b:5b:00, IPv4, length 1522: $BENIM_SERVER_IC_IP_ADRESI > 95.10.61.98: udp
16:08:12.000000 00:0c:29:5c:4e:c1 > 00:24:38:9b:5b:00, IPv4, length 1522: $BENIM_SERVER_IC_IP_ADRESI.38173 > 95.10.61.98.80: UDP, length 8192
16:08:12.000000 00:0c:29:5c:4e:c1 > 00:24:38:9b:5b:00, IPv4, length 1522: $BENIM_SERVER_IC_IP_ADRESI > 95.10.61.98: udp
16:08:12.000000 00:0c:29:5c:4e:c1 > 00:24:38:9b:5b:00, IPv4, length 842: $BENIM_SERVER_IC_IP_ADRESI > 95.10.61.98: udp -
@Janni nin verdiği kodda tcp leri udp yaparsan çözülecek gibi.
-
/sbin/iptables -A OUTPUT -i eth0 -p tcp --destination-port {PORT-NUMBER-HERE} -s {IP-ADDRESS-HERE} -j DROP /sbin/iptables -A OUTPUT -i eth0 -p tcp --destination-port {PORT-NUMBER-HERE} -s {IP/SUBNET-HERE} -j DROP
IP-ADRESS-HERE yazan yer iç ip mi yoksa saldırı yapılan ip mi?
Birde
Komple 95.10.XX.XX olarak bütün portlardan tcp ve udp olarak herhangi bir ip den paket gönderimini nasıl kapatabiliriz?
ssh ssh ile saldırı önleme ssh ile içerden dışarıya yapılan saldırıyı önlemek