[Tutorial]: Cegah Apache Benchmark (DDOS Attack) dengan ‘Fail2ban’

Fail2ban

Author: Rizkan Abadi.


Tutorial: Cegah Apache Benchmark (DDOS Attack) dengan ‘Fail2ban’

Pada kesempatan  kali ini akan dibahas mengenai Fail2ban. Fail2ban adalah apalikasi yang digunakan mengamankan server dari serangan ddos atau bruteforce. Cara kerja tools ini adalah dengan membaca log file. Contohnya apabila ada serangan ddos ke port 80 (http) dengan menggunakan ab (apache benchmark), maka ip yang melakukan ab tersebut akan diban.

Berikut langkah-langkah untuk melakukan instalasi dan konfigurasi fail2ban untuk mencegah dari serangan ddos pada http

1. Install paket untuk fail2ban

[root@local~]#yum install fail2ban

2. Tambahkan rule di file jail.conf untuk http

[root@local~]vi /etc/fail2ban/jail.conf
[http-get-dos] 
enabled = true 
port = http,https 
filter = http-get-dos 
#Path to your logs
#To add all logs in a folder add Wildcard (*) expression 
logpath = /var/log/virtualmin/*_access_log
#Max number of requests
maxretry = 500
#Findtime in seconds
findtime = 120 
#Bantime in seconds - set negative to ban forever 
bantime = -1
#Action - change sendmail to send to your email
action = iptables[name=HTTP, port=http, protocol=tcp]
         sendmail-whois[name=httpd-get-dos, dest=you@domain.com, sender=fail2ban@serverdomain.com]

3. Tambahkan script pada filter.

vim /etc/fail2ban/filter.d/http-get-dos.conf
# Fail2Ban configuration file
#
# Author: http://www.go2linux.org
#
[Definition]

# Option: failregex
# Note: This regex will match any GET entry in your logs, so basically all valid and not valid entries are a match.
# You should set up in the jail.conf file, the maxretry and findtime carefully in order to avoid false positives.

failregex = ^<HOST> -.*\"(GET|POST).*

# Option: ignoreregex
# Notes.: regex to ignore. If this regex matches, the line is ignored.
# Values: TEXT
#
ignoreregex =

4. Restart service fail2ban

service fail2ban restart

chkconfig fail2ban on

 

 ***

 

Article by: Rizkan Forever
PT. Lintas Media Danawa