Kızgın ve asosyal bir adamın gazabından korkun.” der Internet raconu. Syn flood ddos saldırıları popülerliğe yaklaşmış, düşman edinmiş hemen her site/sunucu sahibini çileden çıkaran saldırılardır. Binlerce, on binlerce ip adresinden sunucunuza gönderilen syn istekleri sunucunuza erişimi durdurabilir. Eğer donanımsal ağ tabanlı bir firewall kullanmıyorsanız – ki maliyetleri oldukça yüksek – yazılımsal açıdan syn saldırılarını engellemek bir noktaya kadar olanaklı. İyi ayarlanmış bir CSF işinizi görse de bu yazımızda birkaç komut yardımıyla saldırganları bertaraf etmeye çalışacağız.

Ssh’inize root girişi yapın.

komutunu vererek boş bir belge açılmasını sağlayın. pico yerine nano da kullanabilirsiniz. Açılan dosya içerisine aşağıdaki bash scriptini yapıştırın (Ssh içine sağ tıklayarak.)

Bu script, iptables aracılığı ile, bir ip adresinden 21 kezden daha fazla gönderilmiş SYN isteği (SYN_RECV) varsa ilgili ip adresini sunucudan banlamaktadır. Aldığınız saldırı yoğunluğuna göre 21 olan bölümü 5’e kadar düşürebilirsiniz. Ancak saldırı durduğunda, saldırgan iplerin sunucuya erişimi engellendiğinde bu sayıyı 100’e kadar yükseltebilirsiniz.

Ctrl+w tuşlarıyla çıkış yaparken scriptinizi kaydedin.

Scriptin çalışması için son bir adım kaldı. Cron yardımıyla 3 saniyede bir scripti çalıştıracak ve syn isteğini aşmış kullanıcıları uzaklaştıracağız.

crontab yazarak cron içeriğine erişin. Yön tuşlarıyla en alt bölüme gelip aşağıdaki satırı cronjob’a ekleyin.

Hepsi bu kadar. Artık her 3 saniyede bir gelen Syn istekleri kontrol edilecek; eğer 21’i aşan sayıda Syn isteği bir ip tarafından gönderilmişse bu ip adresi sunucudan uzaklaştırılacaktır.

Bu güvenlik önlemi sunucunuzun bağlantı ve donanım özellikleriyle sınırlıdır. Örneğin sunucunuz 100 mbps bağlantı hızına sahipse ve siz bir anda 200 mbps gücünde bir saldırı alırsanız bunu bu önlemle atlatamazsınız. Yine de deneyimlerime dayalı olarak Syn saldırılarının büyük bölümünü bu yolla atlatacağınızı söyleyebilirim. Eğer çok büyük boyutlu saldırılara maruz kalıyorsanız OVH, Iweb gibi ağ bazında koruma sağlayan verimerkezleriyle çalışmayı düşünebilirsiniz.

Geçmiş olsun.