1. 모듈 적재

[root@sysdocu ~]# modprobe bonding

확인

[root@sysdocu ~]# lsmod |grep bonding

※ 커널에서 bonding 기능을 지원 해야함

2. 설정

[root@sysdocu ~]# vi /etc/sysconfig/network-scripts/ifcfg-bond0

[root@sysdocu ~]# vi /etc/sysconfig/network-scripts/ifcfg-eth0

[root@sysdocu ~]# vi /etc/sysconfig/network-scripts/ifcfg-eth1

[root@sysdocu ~]# vi /etc/sysconfig/network-scripts/ifcfg-eth2

[root@sysdocu ~]# vi /etc/sysconfig/network-scripts/ifcfg-eth3

3. 구동

[root@sysdocu ~]# /etc/init.d/network restart

확인

[root@sysdocu ~]# ifconfig

# SYN 숫자 체크후 HOST_IP 차단쉘

지금 이 쉘을 보면 웃음이 난다.

한참 SYN flooding 공격으로 고생하고 있을때 막을 수 있는 여러가지 고민을 하고 적용을 했지만

처리를 못했다. 서버는 계속 죽고 서비스는 해야겠고 일단 임시적으로 방법을 만들어 놓고 원인을 분석하고

원천적으로 막을 수 있는 방법을 생각할 수 밖에 없었다.

이 쉘을 만들 당시 공격으로 인해 스트레스도 많이 받고 힘들었지만 어느정도 이 쉘이 시간을 벌어 줬고

원인을 찾을 수 있었다.

필요에 따라 수정 해서 사용 할 수 있는 쉘이다.

#!/bin/sh 
# by ForSpeed | i@minsu.net

TODAY=$(date +%Y%m%d.%H:%M:%S) 
LOGDIR="/root/bin/syn_log" 
LIST="$LOGDIR/syn_list" 
netstat -an |grep SYN |awk '{print $5}' | awk -F : '{print $1}' | sort -n -u | grep -v 59.9.140.34 > $LOGDIR/syn_list

for i in `cat $LIST` 
do 
SYN_NUM=`netstat -an |grep SYN |grep $i|wc -l` 
if [ $SYN_NUM -gt 50 ]; then 
X=`/sbin/iptables -L -n |grep $i |awk '{print $4}' |sort -u ` 
if [ $X = $i ]; then 
echo "$i already insert iptalbes rule" 
else 
echo "$TODAY $i DROP" >> $LOGDIR/drop_list.log 
/sbin/iptables -I INPUT -s $i -j DROP 
fi 
fi 
done 

[출처] 항상 행복한 사람 | 심민수 (http://blog.minsu.net/130037696585)

고의가 아닌 클라이언트 컴퓨터의 플러그인 문제등으로 과다 패킷을 생성하여 SYN_Flooding 공격으로 오해할 경우도 있음을 참고해야 한다

#!/usr/bin/perl

$TASK = `netstat -na|grep SYN_RECV`;
$HOSTNAME = `/bin/hostname`;
$TO_MAIL = 'hkbyun@simplexi.com';
$SUBJECT = "$HOSTNAME SYN_FLOODING 공격 감지";
$MAIL_PROGRAM = "/usr/sbin/sendmail";

if ($TASK) {
$TASK_CONFIRM = `netstat -na|grep SYN_RECV|wc -l`;

if ($TASK_CONFIRM > 20) {
`/etc/rc.d/init.d/httpd stop`;
`/etc/rc.d/init.d/httpd start`;
$HTTP_DONE = "httpd was Refreshed!!n";
}

open(MAIL, "|$MAIL_PROGRAM -t");
print MAIL "To: $TO_MAIL n";
print MAIL "Subject: $SUBJECT nn";
print MAIL "$HOSTNAME Server is Attaked  by SYN_Flooding!!!n";
print MAIL "SYN_Flooding Process Number :$TASK_CONFIRM n";
print MAIL "$HTTP_DONEn";
print MAIL "$TASK n";
close(MAIL);
} 

[출처] SYN_Flooding 공격을 감지|작성자 소룡매냨

iptables 구문에

-m state --state 의 상태 추적 구문을 사용한다면,

ip_conntrack 모듈을 사용하게 되고 table에 캐쉬값에 일정시간 그 결과 저장합니다.

이를 확인해 볼 수 있는데...

[root@localhost bind-9.2.4]# grep ^tcp /proc/net/ip_conntrack | awk '{print $4}' | sort | uniq -c

    1 ESTABLISHED

    6 TIME_WAIT

watch를 이용해서 실시간 모니터링으로 사용할 수도 있습니다.

[root@localhost ~]# watch -d -n3 'grep ^tcp /proc/net/ip_conntrack | awk '"'"'{print $4}'"'"' | sort | uniq -c'

awk '"'"'{print $4}'"'"' 를 빼면, state, src ip, dst ip, sport, dport, packet, bytes 까지 확인 가능합니다.

[root@localhost ~]# watch -d -n3 'grep ^tcp /proc/net/ip_conntrack | sort | uniq -c'

 Every 3.0s: grep ^tcp /proc/net/ip_conntrack | sort | uniq -c

Mon Oct 29 05:06:25 2007

    1 tcp        6 431997 ESTABLISHED src="220.90.215.4 dst=222.122.156.22 sport=2952 dport=22 packets=4451 bytes=292473

src=222.122.156.22 dst=220.90.215.4 sp

ort=22 dport=2952 packets=4251 bytes=489998 [ASSURED] use=1

간략하게 나마 서버 모니터링이 가능하게 됩니다...

아니면 grep ^tcp /proc/net/ip_conntrack | awk '{print $4}' | sort | uniq -c 구문으로 스크립트를 작성하여,

데몬에 넣고 일정시간마다 리포트를 받게 설정하셔도 모니터링에 유용할 듯...

[출처] DNS전문가 | 오테 (http://cafe.naver.com/dnspro.cafe?iframe_url=/ArticleRead.nhn%3Farticleid=2839)

원작자는 리눅스원3기 수료생 심민수님 글이며 5기 임태곤군이 쓴글입니다. 

리눅스원 수료생들 홈페이지 http://www.lse.pe.kr 에서 퍼 온 글입니다. 
접속자 별루 없는 서버에서는 상관없지만.. 
접속자가 많은 대형서버에서 TIMEWAIT 세션이 많아지는건.. 
그만큼 서버의 리소스를 사용하는것이기땜시.. 퍼포먼스를 떨어뜨리는 결과를 초래하게 됩니다. 
구래서 TIMEWAIT값을 줄이므로써 서버의 성능을 올릴수 있는 튜닝 팁 하나 가져왔습니다. 
커널소스에서.. /usr/src/linux-2.4/include/net/tcp.h 파일을 열어보시면.. 

#define TCP_TIMEWAIT_LEN (60*HZ) 

(60*HZ) 이 부분을 (1*HZ) 이렇게 바꿔주시면.. 
세션이 금방 끊어지겠지요.

[출처] http://mediakorea.net/board3/viewbody.php?code=board3&page=4&number=132&keyfield=&key=

아래파일 수정하면 됩니다.

/usr/src/kernels/2.6.18-194.11.3.el5-i686/include/net/tcp.h

리눅스에서는 squid 라는 프로그램을 통해서 프록시 서버 구축이 가능하다.
먼저 아래의 사이트에 방문하여 squid 파일을 받는다.

squid 사이트 >> http://www.squid-cache.org/

필자가 받은 파일의 명은 squid-3.0.STABLE17.tar.gz 이다.

위 과정이 오류 없이 끝났다면 /usr/local/squid 에 설치가 된 것이다.

squid 의 설정 파일을 열어서 몇가지 설정을 확인한다.

설정 파일에서 위의 항목을 본인의 환경에 맞게 설정한다.
필자는 위 항목 이외의 항목은 기본값을 사용하였습니다.

설정 파일에서 캐시나 로그등을 기록하도록 설정된 폴더를 사용할 수 있도록 아래와 같이 입력한다.

스왑디렉토리(캐쉬용 디렉토리)를 초기화하고 데몬을 실행한다.

이제 다른 컴퓨터에서 프록시 서버를 통해서 웹에 접속해보자.

윈도우 익스플로러에서 "도구" -> "인터넷 옵션".

"연결" 탭으로 넘어가서 아래에 있는 "LAN 설정" 버튼을 누른다.

프록시 서버에서 체크박스에 체크를 하고 "고급" 버튼을 클릭한다.

붉은 박스 표시 부분에 아까 프록시 설정을 해두었던 리눅스 서버의 주소와 서비스 포트를 입력하고 "확인" 버튼을 누른다.

위의 모든 작업이 끝나면 익스플로러를 띄워 본다. 웹이 정상적으로 뜬다면 성공한 것이다.

만약 웹이 뜨지 않는다면 리눅스 서버에서 방화벽 설정이 되어 있는지 확인하고 3128번 포트를 예외로 빼준 후 다시 시도해 보자.

[출처] Development & Information Security | Huikyun (http://huikyun.tistory.com/236)

error는 잘못된 패킷의 받은 수를 표시합니다. 그 잘못된 패킷의 구체적인 
원인으로 ifconfig에서 표시해주는 것으로 overruns 과 frame이 있는데 
overrun은 FIFO가 overrun 됬기 때문에 에러가 발생했다는 것을 뜻합니다. 
dropped 는 버퍼가 꽉 찼차서 버린 패킷수를 말해줍니다. 

[출처]http://kltp.kldp.net/~eunjea/hcol-archive/2002/networking/2003-Jun/1588.html

ifconfig의 항목 설명

[출처] http://www.linux.co.kr/home/lecture/index.php?cateNo=1&secNo=27&theNo=&leccode=10878

[ 예: 192.168.0.10 만 ftp 접속 허용하기 ]

설정 전 iptables 에 21번 port 가 open 되어있으면 안됩니다.

방법 1) 명령어

# iptables -A INPUT -s 192.168.0.10 -p tcp --dport 21 -j ACCEPT

방법 2) 룰셋 수정

/etc/sysconfig/iptables

-A RH-Firewall-1-INPUT -s 192.168.0.10 -p tcp --dport 21 -j ACCEPT

ping -s 1024 -i 2 -c 5 8.8.8.8

* 옵션 설명

-s 1024    // 1024byte 패킷 전송

-i 2           // 2초 간격 실행

-c 5          // ping 을 5회 실행

ip 설정 파일을 수정합니다.
    # vi /etc/network/interfaces

저장한 내용을 적용시킵니다.
    # /etc/init.d/networking restart