Mitigator имеет режим защиты TCP с синхронизацией ISN, в котором после проверки клиента соединение не разрывается, фильтрация получается прозрачной и удобной. Для этого нужно установить на защищаемый сервер модуль ядра, который будет выдавать нужную информацию, и сервис, который Mitigator будет опрашивать.
Код модуля: https://github.com/ddos-mitigator/tcpsecrets.
Mitigator v20.12.0 и выше.
На защищаемом сервере:
Linux с ядром 4.13 и выше (показывает команда uname -r
).
Время на защищаемом сервере и Mitigator´е синхронизировано. Фактически, нужно настроить NTP на обоих серверах.
На защищаемом сервисе под управлением Debian или Ubuntu:
wget -O- https://docs.mitigator.ru/dist/mitigator-agent | sudo sh
Скрипт устанавливает пакеты и загружает исходный код модуля с GitHub.
Если используется firewall, нужно разрешить TCP-подключения к порту 7100.
Администратор Mitigator´а предоставит ключ такого вида:
ssh-ed25519 AAAAC3NzaC1lZDI1NTE5AAAAIDO7P4aiE3fgdsVieFiFaUKjU54yFpU9FdiimsFHd6eZ mitigator1
Здесь mitigator1
– ID экземпляра или комментарий, позволяющий определить,
какой экземпляр производил опрос.
Нужно дописать его в файл /opt/mitigator/agent/keys
:
head -1 >> /opt/mitigator/agent/keys
ssh-ed25519 AAAAC3NzaC1lZDI1NTE5AAAAIDO7P4aiE3fgdsVieFiFaUKjU54yFpU9FdiimsFHd6eZ mitigator1
Командой wget -O- https://… | sudo sh
код из интернета запускается от root.
Более безопасно скачать файл по ссылке, прочитать его и запустить.
Запустить команду установки еще раз. Настроенные ключи сохранятся.
Запустить sudo sh mitigator-agent -d
.