DDOS防御实验----反射器的安全配置

0x01 环境

共包含三台主机

一台centos7.3 为attact主机，装有python +Scapy

一台centos7.3,server，装有bind9 ntp memcached，作为DDOS攻击的反射器

一台windwos,作为被攻击方，来分析 攻击数据

一、BIND9的安全配置

1、 限制或禁止域名递归查询

编辑配置文件vi /etc/named.conf

option {}中加入下列限制
recursion no;   //禁止递归查询

配置后，重启服务

systemctl restart named

登录attact机器,使用dig查询

dig any baidu.com @x.x.x.x

2、bind服务器限速配置

编辑配置文件
vi /etc/named.conf

在option 下加入

 rate-limit {
            ipv4-prefix-length 32;
            window 10;
            responses-per-second 20;
            errors-per-second 5;
            nxdomains-per-second 5;
            slip 2;
};

配置后需重启服务

同学们可以编写shell脚本或python脚本 ，使用dig或scapy快速查询。观察配置效果。shell脚本可以参ssl攻击脚本 ，python脚本可以参照之前send_ntp

二、NTP安全配置

NTP被利用的本质就是monlist功能，直接禁用掉

vi /etc/ntp.conf

 
 disable monlist  //关闭monlist功能
 
 restrict 192.168.164.0 mask 255.255.255.0 notrust nomodify notrap noquery  //禁止向网段 192.168.164.0/24提供服务

配置后，重启服务，再次验证攻击

三、memcached配置

memcached默认启动UDP端口。在启动memcached时，

不要使用

systemctl start memcached

使用下列命令代替，-U 0 （大写U）表示禁止启动UDP端口
/usr/bin/memcached -u memcached -p 11211 -U 0 -m 64 -c 1024

同时替代方案也有多种

可以使用iptables过滤相应端口

可以使用memcached的认证功能等。