APF antidos

APF ile beraber gelen antidos apf altında çalışan bir modül olarak kullanılır ne kadar ben işe yaramadığını savunsam da çoğu hosting satıcısı arkadaşımız kurmuş olmalı load seviyesi birden yükselince artık zaten antidos modülünün çalışması bile güç oluyor apache loglarını okuyan ve arka arkaya istek yapan elemanları kendi belirteceğimiz limitlerde banlayacak esavise gibi...

/etc/apf/ad/conf.antidos bu dosya açılıyor nano pico veya vim hangisi hoşunuza gidiyorsa vim benim vazgeçilmezim...

burada zaten çeşitli ayarların çeşitli açıklamaları yazar kendinize özel ayarlamalar yapabilirsiniz EVET=1 HAYIR=0 olarak düzenlemeleri yapabilirsiniz...

EVET yani değeri "1" olacak ayarları listeliyorum...

LP_KLOG=
USR_ALERT=
DET_SF=

cron (zamanlanmış görevler) kısmına herhangi bir şekilde ekleyin...

*/1 * * * * root /etc/apf/ad/antidos -a >> /dev/null 2>&1

pek cron ile aranız iyi değil ise crontab -e yazarak nano yada pico ile açılan ekrana bu yukarıda yazılanları ekleyin altına üstüne fark etmez... başta yazılan 1 1dk da 1 kez olarak antidos taraması yapacak ne kadar sık olursa bu sunucuyu o kadar yoracak 5 veya 10 yapabilirsiniz...

buna ek olarak asagidakide yaygin olarak kullaniliyor..

wget http://www.inetbase.com/scripts/ddos/install.sh
chmod 0755 install.sh
./install.sh

write following command to change config file

pico /usr/local/ddos/ddos.conf

NO_OF_CONNECTIONS=100
EMAIL_TO="your email"
BAN_PERIOD=30

change following files chmod to 777
ignore.ip.list
/sbin/iptables

bunu öneririm antidos logları tarayacakta saldıranı bulacakta Ohooo... mrt nin vermiş oldugu şey

belirli zaman aralıklarında bu komudu yazar hatta bu değil buna benzer bir komut... sadece 80 portu için değil tüm portlara (smtp) gelebilecek ddos saldırıları için etkili... en çok bağlantı oluşturan (netstat da) vatandaşları apf yardımı ile banlar APF yok ise işe yaramaz.... APF kurulumu için döküman yazılmıştı..

antidos genelde sakatlık çıkarır
150 bağlantıda joomla adminleri banlanıyor bundada

örn sayfalar yüklenmeden link değişimi yapanlar sürekli kısa süre time wait bırakacak... bu çogaldıkca aslında saldırı yapmayanlarda banlanmaya başlayacak....


NO_OF_CONNECTIONS= bu değeri genelde 100 - 50 tutarlar ama farkında olmazlar userleri banlıyorlar kafadan 350 -400 olarak ayarlarsanız ve güzel bir httpd.conf dosyanız varsa gelen ddos da httpd durmaz netstat da hıyar 10sn geçmeden 500 olur ve banlanır... düşük tutmayın ayarı.

Geçen baktım kendi makinenin iplerini banlıyo sürekli, bi erden sonra sıyırıyo.kaldırdım.

şunu farkettim bizim netinternetdeki arkadaşlar bundan kurmuşlar ama cron'a eklememişler oradan silmişler sanırım saldırı anında konsola ddos yaparak kesiyorlar... sizde cron dan kaldırın saldırı anında ssh yapın konsola ddos yazın daha güzel olur ozaman 8)

bu tarz işlemler hiç bir işe yaramaz

ancak ufak tefek 2-3 tane kaynaktan gelecek atakları temizleyebiliyor...

abartı bir trafik varsa bu tarz çözümlerin hiç biri işe yaramıyor...

ayrıca aşırı yüklü bir anda netstat'ı çalıştırdığınızda zaten yoğun işlemci birden bu yükü de aldıgında kilitlenecektir...

APF php nuke gibi sıteler barındıran sunucular için sağlıklı değil.