Защита TCP с синхронизацией ISN

MITIGATOR имеет режим защиты TCP с синхронизацией ISN, в котором после проверки клиента соединение не разрывается, фильтрация получается прозрачной и удобной. Для этого нужно установить на защищаемый сервер модуль ядра, который будет выдавать нужную информацию, и сервис, который MITIGATOR будет опрашивать.

Код модуля: https://github.com/ddos-mitigator/tcpsecrets.

Системные требования:

  • MITIGATOR v20.12.0 и выше.

  • На защищаемом сервере: Linux с ядром 4.13 и выше (показывает команда uname -r).

  • Время на защищаемом сервере и MITIGATOR синхронизировано. Фактически, нужно настроить NTP на обоих серверах.

Установка модуля ядра и сервиса (агента)

На защищаемом сервисе под управлением Debian или Ubuntu:

wget -O- https://docs.mitigator.ru/dist/mitigator-agent | sh

Скрипт устанавливает пакеты и загружает исходный код модуля с GitHub.

Если используется firewall, нужно разрешить TCP-подключения к порту 7100.

Администратор системы MITIGATOR предоставит ключ такого вида:

ssh-ed25519 AAAAC3NzaC1lZDI1NTE5AAAAIDO7P4aiE3fgdsVieFiFaUKjU54yFpU9FdiimsFHd6eZ mitigator1

Здесь mitigator1 – ID экземпляра или комментарий, позволяющий определить, какой экземпляр производил опрос.

Нужно дописать его в файл /opt/mitigator/agent/keys:

head -1 >> /opt/mitigator/agent/keys
ssh-ed25519 AAAAC3NzaC1lZDI1NTE5AAAAIDO7P4aiE3fgdsVieFiFaUKjU54yFpU9FdiimsFHd6eZ mitigator1

Командой wget -O- https://… | sh код из интернета запускается от root. Более безопасно скачать файл по ссылке, прочитать его и запустить.

Обновление агента

Запустить команду установки еще раз. Настроенные ключи сохранятся.

Удаление агента

Запустить sh mitigator-agent -d.