Joao Paulo Just escreveu: > > Olá, lista. > > Ultimamente tenho sido vítima de DoS no meu Apache. Várias conexões > simultâneas do mesmo IP esgotavam os recursos do Apache. A solução > imediata era bloquear o IP no IPFW, mas alguns dias depois, o atacante > vinha com outro IP. > > Tentei fazer algo pelo httpd.conf, alterando configurações de time-out > e keepalive, mas não adiantou. Até que eu decidi limitar o número de > conexões entrantes com essa regra no IPFW: > > $cmd add pass tcp from any to me 80 via $pif setup limit src-addr 10 > > Assim, apenas 10 conexões de um mesmo IP poderão ser feitas na porta > 80. Fiz isso hoje e vou aguardar pra ver se o DoS acontece de novo. > > O que vocês acham disso? Recomendam ou des-recomendam?
Você trabalha com bgp ? Coloque o ip do "meliante" em blackhole e seja feliz ! Não tem solução melhor, pois o ataque é bloqueado no seu upstream (que tem BEM mais recursos de hardware e link que a gente). Se você fizer no seu firewall, o atacante continuará consumindo seu link até que seja bloqueado na sua rede. Sem falar que ainda pode derrubar o firewall e cair toda sua rede. Sds, -- Eduardo Schoedler ------------------------- Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd