Защита TCP с синхронизацией ISN

Mitigator имеет режим защиты TCP с синхронизацией ISN, в котором после проверки клиента соединение не разрывается, фильтрация получается прозрачной и удобной. Для этого нужно установить на защищаемый сервер модуль ядра, который будет выдавать нужную информацию, и сервис, который Mitigator будет опрашивать.

Код модуля: https://github.com/ddos-mitigator/tcpsecrets.

Системные требования:

  • Mitigator v20.12.0 и выше.

  • На защищаемом сервере: Linux с ядром 4.13 и выше (показывает команда uname -r).

  • Время на защищаемом сервере и Mitigator´е синхронизировано. Фактически, нужно настроить NTP на обоих серверах.

Установка модуля ядра и сервиса

На защищаемом сервисе под управлением Debian или Ubuntu:

wget -O- https://docs.mitigator.ru/dist/mitigator-agent | sudo sh

Если используется firewall, нужно разрешить TCP-подключения к порту 7100.

Администратор Mitigator´а предоставит ключ такого вида:

ssh-ed25519 AAAAC3NzaC1lZDI1NTE5AAAAIDO7P4aiE3fgdsVieFiFaUKjU54yFpU9FdiimsFHd6eZ mitigator1

Нужно дописать его в файл /opt/mitigator/agent/keys:

head -1 >> /opt/mitigator/agent/keys 
ssh-ed25519 AAAAC3NzaC1lZDI1NTE5AAAAIDO7P4aiE3fgdsVieFiFaUKjU54yFpU9FdiimsFHd6eZ mitigator1

Командой wget -O- https://… | sudo sh код из интернета запускается от root. Более безопасно скачать файл по ссылке, прочитать его и запустить.
Для удаления модуля и сервиса нужно запустить sudo sh mitigator-agent -d.