Защита TCP с синхронизацией ISN

MITIGATOR имеет режим защиты TCP с синхронизацией ISN, в котором после проверки клиента соединение не разрывается, фильтрация получается прозрачной и удобной. Для этого нужно установить на защищаемый сервер модуль ядра, который будет выдавать нужную информацию, и агент синхронизации, который будет опрашиваться системой MITIGATOR. Режим работы с синхронизацией ISN поддерживается в контрмерах TCP, ATLS, MINE и BPF.

Код модуля: https://github.com/ddos-mitigator/tcpsecrets.

Системные требования:

  • MITIGATOR v20.12.0 и выше.

  • На защищаемом сервере: Linux с ядром 4.13 и выше (показывает команда uname -r).

  • Время на защищаемом сервере и MITIGATOR синхронизировано. Фактически, нужно настроить NTP на обоих серверах.

Установка модуля ядра и сервиса (агента синхронизации)

На защищаемом сервисе под управлением Debian или Ubuntu:

wget -O- https://docs.mitigator.ru/v22.06/dist/mitigator-agent | sh

Скрипт устанавливает пакеты и загружает исходный код модуля с GitHub.

Если используется firewall, нужно разрешить TCP-подключения к порту 7100.

Администратор системы MITIGATOR предоставит публичный ключ такого вида:

ssh-ed25519 AAAAC3NzaC1lZDI1NTE5AAAAIDO7P4aiE3fgdsVieFiFaUKjU54yFpU9FdiimsFHd6eZ mitigator1

Здесь mitigator1 – название экземпляра MITIGATOR в кластере.

Полученный ключ нужно дописать в файл /opt/mitigator_agent/keys:

head -1 >> /opt/mitigator_agent/keys
ssh-ed25519 AAAAC3NzaC1lZDI1NTE5AAAAIDO7P4aiE3fgdsVieFiFaUKjU54yFpU9FdiimsFHd6eZ mitigator1

Здесь mitigator1 – тэг, помогающий идентифицировать в журналах, какой экземпляр производил опрос агента синхронизации.

Командой wget -O- https://… | sh код из интернета запускается от root. Более безопасно скачать файл по ссылке, прочитать его и запустить.

Обновление агента синхронизации

Запустить команду установки еще раз. Настроенные ключи сохранятся.

Удаление агента синхронизации

Запустить sh mitigator-agent -d.