Re: Чем защищаться от DoS?
Stanislav Kruchinin пишет: Kirill Shatalaev wrote: Приветствую. У меня VPS на Debian Etch, ядро 2.6.18-028stab059..5-ent Собственно, DoS-ят VDS, причём достаточно примитивно: Первая мысль: # iptables -A INPUT -p tcp --dport 80 -m connlimit --connlimit-above 5 -j DROP Если уж на то пошло, то лучше использовать hashlimit, поскольку он ограничивает число соединений не для всех IP, а для каждого в отдельности. Иначе DoS-атака окажется успешной, т.к. все разрешенные соединения будут идти только с IP атакующего. Если я ничего не путаю, то отличие connlimit от простого limit как раз и состоит в том что это правило срабатывает на 1 IP. -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org
Re: Чем защищаться от DoS?
Kirill Shatalaev wrote: Если уж на то пошло, то лучше использовать hashlimit, поскольку он ограничивает число соединений не для всех IP, а для каждого в отдельности. Иначе DoS-атака окажется успешной, т.к. все разрешенные соединения будут идти только с IP атакующего. Если я ничего не путаю, то отличие connlimit от простого limit как раз и состоит в том что это правило срабатывает на 1 IP. Да, я перепутал connlimit с limit. Однако, стоит попробовать переписать правила под hashlimit, поскольку connlimit внесли в ядро из patch-o-matic сравнительно недавно. -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org
Чем защищаться от DoS?
Приветствую. У меня VPS на Debian Etch, ядро 2.6.18-028stab059.5-ent Собственно, DoS-ят VDS, причём достаточно примитивно: 77.244.37.68 - - [26/Jan/2009:13:25:30 +0100] GET / HTTP/1.0 200 51928 - Mozilla/5.0 (Windows; U; Windows NT 5.1; ru; rv:1.9.0.5) Gecko/2008120122 Firefox/3.0.5 77.244.37.68 - - [26/Jan/2009:13:25:33 +0100] GET / HTTP/1.0 200 51928 - Mozilla/5.0 (Windows; U; Windows NT 5.1; ru; rv:1.9.0.5) Gecko/2008120122 Firefox/3.0.5 77.244.37.68 - - [26/Jan/2009:13:25:33 +0100] GET / HTTP/1.0 200 51928 - Mozilla/5.0 (Windows; U; Windows NT 5.1; ru; rv:1.9.0.5) Gecko/2008120122 Firefox/3.0.5 77.244.37.68 - - [26/Jan/2009:13:25:33 +0100] GET / HTTP/1.0 200 52064 - Mozilla/5.0 (Windows; U; Windows NT 5.1; ru; rv:1.9.0.5) Gecko/2008120122 Firefox/3.0.5 Лог апача забит подобными строками - тысячи их. Первая мысль: # iptables -A INPUT -p tcp --dport 80 -m connlimit --connlimit-above 5 -j DROP В ответ отлуп: iptables: No chain/target/match by that name Поддержка в iptables есть: #iptables -m connlimit -h connlimit v1.3.6 options: [!] --connlimit-above n match if the number of existing tcp connections is (not) above n --connlimit-mask n group hosts using mask Обратился в техподдержку хостера - в ответ отлуп: бла-бла-бла невозможно добавить в ВПС данные модули. В общем, очаровательно, и чего же мне делать теперь? Какие есть альтернативы? Прошу помощи. -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org
Re: Чем защищаться от DoS?
On Tuesday 27 January 2009 20:23:22 Kirill Shatalaev wrote: Приветствую. У меня VPS на Debian Etch, ядро 2.6.18-028stab059.5-ent Собственно, DoS-ят VDS, причём достаточно примитивно: 77.244.37.68 - - [26/Jan/2009:13:25:30 +0100] GET / HTTP/1.0 200 51928 - Mozilla/5.0 (Windows; U; Windows NT 5.1; ru; rv:1.9.0.5) Gecko/2008120122 Firefox/3.0.5 77.244.37.68 - - [26/Jan/2009:13:25:33 +0100] GET / HTTP/1.0 200 51928 - Mozilla/5.0 (Windows; U; Windows NT 5.1; ru; rv:1.9.0.5) Gecko/2008120122 Firefox/3.0.5 77.244.37.68 - - [26/Jan/2009:13:25:33 +0100] GET / HTTP/1.0 200 51928 - Mozilla/5.0 (Windows; U; Windows NT 5.1; ru; rv:1.9.0.5) Gecko/2008120122 Firefox/3.0.5 77.244.37.68 - - [26/Jan/2009:13:25:33 +0100] GET / HTTP/1.0 200 52064 - Mozilla/5.0 (Windows; U; Windows NT 5.1; ru; rv:1.9.0.5) Gecko/2008120122 Firefox/3.0.5 Лог апача забит подобными строками - тысячи их. Первая мысль: # iptables -A INPUT -p tcp --dport 80 -m connlimit --connlimit-above 5 -j DROP В ответ отлуп: iptables: No chain/target/match by that name Поддержка в iptables есть: #iptables -m connlimit -h connlimit v1.3.6 options: [!] --connlimit-above n match if the number of existing tcp connections is (not) above n --connlimit-mask n group hosts using mask Обратился в техподдержку хостера - в ответ отлуп: бла-бла-бла невозможно добавить в ВПС данные модули. В общем, очаровательно, и чего же мне делать теперь? Какие есть альтернативы? Прошу помощи. Поставьте nginx акселератором и забаньте в нём :)
Re: Чем защищаться от DoS?
Поставьте nginx акселератором и забаньте в нём :) А он что, может автоматом это делать по тому же принципу? Просто не имел дела с ним никогда. -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org
Re: Чем защищаться от DoS?
Kirill Shatalaev wrote: Приветствую. У меня VPS на Debian Etch, ядро 2.6.18-028stab059.5-ent Собственно, DoS-ят VDS, причём достаточно примитивно: Первая мысль: # iptables -A INPUT -p tcp --dport 80 -m connlimit --connlimit-above 5 -j DROP Если уж на то пошло, то лучше использовать hashlimit, поскольку он ограничивает число соединений не для всех IP, а для каждого в отдельности. Иначе DoS-атака окажется успешной, т.к. все разрешенные соединения будут идти только с IP атакующего. В ответ отлуп: iptables: No chain/target/match by that name Поддержка в iptables есть: #iptables -m connlimit -h connlimit v1.3.6 options: [!] --connlimit-above nmatch if the number of existing tcp connections is (not) above n --connlimit-mask ngroup hosts using mask Это означает только то, что управляющая программа iptables поддерживает синтаксис для этого модуля. Без предварительного modprobe ipt_connlimit ничего работать не будет. Обратился в техподдержку хостера - в ответ отлуп: бла-бла-бла невозможно добавить в ВПС данные модули. В общем, очаровательно, и чего же мне делать теперь? Какие есть альтернативы? Прошу помощи. Настраивайте в Apache количество соединений с одного IP с помощью модуля mod_limitipconn. Обращайтесь к хостеру, чтобы он предоставил какие-то средства для бана по IP, хотя бы tcp_wrapper какой-нибудь. -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org
Re: Чем защищаться от DoS?
Andrew N Golovkov wrote: В общем, очаровательно, и чего же мне делать теперь? Какие есть альтернативы? Прошу помощи. Поставьте nginx акселератором и забаньте в нём :) Да, пускай рунет пополнится еще одним сайтом с очаровательной заставкой 502 Bad gateway, если атакующий додумается устроить атаку на динамический контент. -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org