Configurando CSF

Como evitar ataques DDOS com o firewall CSF?

Este artigo é a seguinte a utilizar o CSF ​​para lançar ataques DDOS contra o seu servidor.

 

Passo 1: Abre e edita o configurador de CSF

nano /etc/csf/csf.conf

Configurações:

Localize a linha:

SYNFLOOD = "0"

e altere o valor 0 para 1, ficando assim:

SYNFLOOD = "1"

Logo após esta linha verifique se as duas linhas abaixo estão com as seguintes configurações:

SYNFLOOD_RATE = "100/s"

Esta linha acima é para monitorar quando houver mais de 100 conexões por segundo.

SYNFLOOD_BURST = "150"

Nesta linha o IP é bloqueado quando chegar a 150 conexões por segundo.

Ativar rastreamento de conexão. 
CT_LIMIT é o número máximo de conexões permitidas de um IP, você pode definir esse valor de acordo com o requisito do servidor.

CT_LIMIT = 100
Definir intervalo de rastreamento de conexão.

CT_INTERVAL = 30
Se você deseja obter um e-mail de ataque de ddos ​​possível, ative-o.

CT_EMAIL_ALERT = 1
Se você quiser tornar os blocos IP permanentes, defina isso como 1, caso contrário, os blocos 
serão temporários e serão limpos após CT_BLOCK_TIME segundos

CT_PERMANENT = 1
Se você optar por blocos IP temporários para CT, o seguinte é o intervalo 
em segundos em que o IP permanecerá bloqueado (por exemplo, 1800 = 30 min)

CT_BLOCK_TIME = 36000
Se você deseja apenas contar portas específicas (por exemplo, 80.443), adicione as portas 
ao seguinte como uma lista separada por vírgulas. Por exemplo, "80.443"

CT_PORTS = 80,23,443

Essas configurações serão suficientes para ataques de DDOS, mas se você estiver recebendo mais ataques, mesmo que tenha a opção acima configurada, poderemos definir mais algumas opções.

 

Etapa 2: ativar ataques distribuídos

LF_DISTATTACK = 1 
Defina o seguinte para o número mínimo de endereços IP exclusivos que disparam 
LF_DISTATTACK

LF_DISTATTACK_UNIQ = 2

Etapa 3: Ativar ataques FTP distribuídos

LF_DISTFTP = 1

Defina o seguinte para o número mínimo de endereços IP exclusivos que disparam 
LF_DISTFTP. LF_DISTFTP_UNIQ deve ser <= LF_DISTFTP para que isso funcione

LF_DISTFTP_UNIQ = 3

Se esta opção estiver definida como 1, os blocos serão permanentes 
Se esta opção for> 1, os blocos serão temporários para o número especificado 
de segundos

LF_DISTFTP_PERM = 1

Etapa 4: ative os ataques SMTP distribuídos.

 

LF_DISTSMTP = 1

Defina o seguinte para o número mínimo de endereços IP exclusivos que disparam 
LF_DISTSMTP. LF_DISTSMTP_UNIQ deve ser <= LF_DISTSMTP para que isso funcione

LF_DISTSMTP_UNIQ = 4

Se esta opção estiver definida como 1, os blocos serão permanentes 
Se esta opção for> 1, os blocos serão temporários para o número especificado 
de segundos

LF_DISTSMTP_PERM = 1

Este é o intervalo durante o qual um ataque FTP ou SMTP distribuído é 
medido

LF_DIST_INTERVAL = 300

Após fazer essas alterações, reinicie o CSF e o LFD:

  • service lfd restart
  • service csf restart

 

  • Email, SSL
  • 500 Usuários acharam útil
Esta resposta lhe foi útil?