MITIGATOR имеет режим защиты TCP с синхронизацией ISN, в котором после проверки клиента соединение не разрывается, фильтрация получается прозрачной и удобной. Для этого нужно установить на защищаемый сервер модуль ядра, который будет выдавать нужную информацию, и агент синхронизации, который будет опрашиваться системой MITIGATOR. Режим работы с синхронизацией ISN поддерживается в контрмерах TCP, ATLS, MINE и BPF.
Код модуля: https://github.com/ddos-mitigator/tcpsecrets.
MITIGATOR v20.12.0 и выше.
На защищаемом сервере:
Linux с ядром 4.13 и выше (показывает команда uname -r).
Время на защищаемом сервере и MITIGATOR синхронизировано. Фактически, нужно настроить NTP на обоих серверах.
На защищаемом сервисе под управлением Debian или Ubuntu:
wget -O- https://docs.mitigator.ru/v22.06/dist/mitigator-agent | sh
Скрипт устанавливает пакеты и загружает исходный код модуля с GitHub.
Если используется firewall, нужно разрешить TCP-подключения к порту 7100.
Администратор системы MITIGATOR предоставит публичный ключ такого вида:
ssh-ed25519 AAAAC3NzaC1lZDI1NTE5AAAAIDO7P4aiE3fgdsVieFiFaUKjU54yFpU9FdiimsFHd6eZ mitigator1
Здесь mitigator1 – название экземпляра MITIGATOR в кластере.
Полученный ключ нужно дописать в файл /opt/mitigator_agent/keys:
head -1 >> /opt/mitigator_agent/keys
ssh-ed25519 AAAAC3NzaC1lZDI1NTE5AAAAIDO7P4aiE3fgdsVieFiFaUKjU54yFpU9FdiimsFHd6eZ mitigator1
Здесь mitigator1 – тэг, помогающий идентифицировать в журналах, какой экземпляр производил
опрос агента синхронизации.
Командой wget -O- https://… | sh код из интернета запускается от root.
Более безопасно скачать файл по ссылке, прочитать его и запустить.
Запустить команду установки еще раз. Настроенные ключи сохранятся.
Запустить sh mitigator-agent -d.