Linux工具选择合适的Cisco ASA 5500

Question

我有一个linux网络主机服务器，它影响一个高DDOS。我想使用Cisco ASA 5500系列自适应安全装置来保护linux服务器免受这个DDOS的攻击。我知道在您选择合适的硬件防火墙之前，应该知道很多因素，比如这个DDOS和pps ..etc的数量。

请建议一个linux工具来测量这些因素，并帮助我收集所需的信息( pps - DDOS的数量-并发连接和其他因素)。

致以敬意，

Answer 1

有很多linux工具可以帮助您收集关于DDOS和其他攻击的信息。

一个简单的免费解决方案是Fail2Ban。

Fail2ban是一个用programming语言编写的入侵预防框架。它能够在具有与本地安装的包控制系统或防火墙(例如iptables或TCP包装器)接口的POSIX系统上运行。

保护Apache的示例：

编辑/etc/fail2ban/jail.conf以添加：

[http-get-dos]
enabled = true
port = http,https
filter = http-get-dos
logpath = /var/log/apache2/access.log
maxretry = 300
findtime = 300
#ban for 25 hours
bantime = 600
action = iptables[name=HTTP, port=http, protocol=tcp]

接下来，创建文件：/etc/fail2ban/filter.d/http-get-ddos.conf：

# Fail2Ban configuration file

[Definition]

# Option: failregex
# Note: This regex will match any GET entry in your logs, so basically all valid and not valid entries are a match.
# You should set up in the jail.conf file, the maxretry and findtime carefully in order to avoid false positives.

failregex = ^ -.*GET

# Option: ignoreregex
# Notes.: regex to ignore. If this regex matches, the line is ignored.
# Values: TEXT
#
ignoreregex =

检查/var/log/fail2ban.log的通知，看看它是否正常工作。

http://www.fail2ban.org/wiki/index.php/HOWTOs