subject:"Чем защищаться от DoS\?"

Re: Чем защищаться от DoS?

2009-01-28 Пенетрантность Kirill Shatalaev


Stanislav Kruchinin пишет:

Kirill Shatalaev wrote:

Приветствую.

У меня VPS на Debian Etch, ядро 2.6.18-028stab059..5-ent

Собственно, DoS-ят VDS, причём достаточно примитивно:

Первая мысль:
# iptables -A INPUT -p tcp --dport 80 -m connlimit --connlimit-above 5
-j DROP


Если уж на то пошло, то лучше использовать hashlimit, поскольку он ограничивает
число соединений не для всех IP, а для каждого в отдельности. Иначе DoS-атака
окажется успешной, т.к. все разрешенные соединения будут идти только с IP
атакующего.


Если я ничего не путаю, то отличие connlimit от простого limit как раз и 
состоит в том что это правило срабатывает на 1 IP.



--
To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org
with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org

Re: Чем защищаться от DoS?

2009-01-28 Пенетрантность Stanislav Kruchinin

Kirill Shatalaev wrote:

 Если уж на то пошло, то лучше использовать hashlimit, поскольку он
 ограничивает
 число соединений не для всех IP, а для каждого в отдельности. Иначе
 DoS-атака
 окажется успешной, т.к. все разрешенные соединения будут идти только с IP
 атакующего.
 
 Если я ничего не путаю, то отличие connlimit от простого limit как раз и
 состоит в том что это правило срабатывает на 1 IP.
 
 

Да, я перепутал connlimit с limit. Однако, стоит попробовать переписать правила
под hashlimit, поскольку connlimit внесли в ядро из patch-o-matic сравнительно
недавно.


-- 
To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org
with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org

Чем защищаться от DoS?

2009-01-27 Пенетрантность Kirill Shatalaev


Приветствую.

У меня VPS на Debian Etch, ядро 2.6.18-028stab059.5-ent

Собственно, DoS-ят VDS, причём достаточно примитивно:

77.244.37.68 - - [26/Jan/2009:13:25:30 +0100] GET / HTTP/1.0 200 51928 
- Mozilla/5.0 (Windows; U; Windows NT 5.1; ru; rv:1.9.0.5) 
Gecko/2008120122 Firefox/3.0.5
77.244.37.68 - - [26/Jan/2009:13:25:33 +0100] GET / HTTP/1.0 200 51928 
- Mozilla/5.0 (Windows; U; Windows NT 5.1; ru; rv:1.9.0.5) 
Gecko/2008120122 Firefox/3.0.5
77.244.37.68 - - [26/Jan/2009:13:25:33 +0100] GET / HTTP/1.0 200 51928 
- Mozilla/5.0 (Windows; U; Windows NT 5.1; ru; rv:1.9.0.5) 
Gecko/2008120122 Firefox/3.0.5
77.244.37.68 - - [26/Jan/2009:13:25:33 +0100] GET / HTTP/1.0 200 52064 
- Mozilla/5.0 (Windows; U; Windows NT 5.1; ru; rv:1.9.0.5) 
Gecko/2008120122 Firefox/3.0.5


Лог апача забит подобными строками - тысячи их.

Первая мысль:
# iptables -A INPUT -p tcp --dport 80 -m connlimit --connlimit-above 5 
-j DROP


В ответ отлуп:
iptables: No chain/target/match by that name

Поддержка в iptables есть:
#iptables -m connlimit -h

connlimit v1.3.6 options:
[!] --connlimit-above n		match if the number of existing tcp connections 
is (not) above n

 --connlimit-mask n group hosts using mask

Обратился в техподдержку хостера - в ответ отлуп: бла-бла-бла невозможно 
 добавить в ВПС данные модули.


В общем, очаровательно, и чего же мне делать теперь? Какие есть 
альтернативы? Прошу помощи.



--
To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org
with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org

Re: Чем защищаться от DoS?

2009-01-27 Пенетрантность Andrew N Golovkov

On Tuesday 27 January 2009 20:23:22 Kirill Shatalaev wrote:
 Приветствую.

 У меня VPS на Debian Etch, ядро 2.6.18-028stab059.5-ent

 Собственно, DoS-ят VDS, причём достаточно примитивно:

 77.244.37.68 - - [26/Jan/2009:13:25:30 +0100] GET / HTTP/1.0 200 51928
 - Mozilla/5.0 (Windows; U; Windows NT 5.1; ru; rv:1.9.0.5)
 Gecko/2008120122 Firefox/3.0.5
 77.244.37.68 - - [26/Jan/2009:13:25:33 +0100] GET / HTTP/1.0 200 51928
 - Mozilla/5.0 (Windows; U; Windows NT 5.1; ru; rv:1.9.0.5)
 Gecko/2008120122 Firefox/3.0.5
 77.244.37.68 - - [26/Jan/2009:13:25:33 +0100] GET / HTTP/1.0 200 51928
 - Mozilla/5.0 (Windows; U; Windows NT 5.1; ru; rv:1.9.0.5)
 Gecko/2008120122 Firefox/3.0.5
 77.244.37.68 - - [26/Jan/2009:13:25:33 +0100] GET / HTTP/1.0 200 52064
 - Mozilla/5.0 (Windows; U; Windows NT 5.1; ru; rv:1.9.0.5)
 Gecko/2008120122 Firefox/3.0.5

 Лог апача забит подобными строками - тысячи их.

 Первая мысль:
 # iptables -A INPUT -p tcp --dport 80 -m connlimit --connlimit-above 5
 -j DROP

 В ответ отлуп:
 iptables: No chain/target/match by that name

 Поддержка в iptables есть:
 #iptables -m connlimit -h

 connlimit v1.3.6 options:
 [!] --connlimit-above n   match if the number of existing tcp 
 connections
 is (not) above n
   --connlimit-mask n  group hosts using mask

 Обратился в техподдержку хостера - в ответ отлуп: бла-бла-бла невозможно
   добавить в ВПС данные модули.

 В общем, очаровательно, и чего же мне делать теперь? Какие есть
 альтернативы? Прошу помощи.

Поставьте nginx акселератором и забаньте в нём :)

Re: Чем защищаться от DoS?

2009-01-27 Пенетрантность Kirill Shatalaev


Поставьте nginx акселератором и забаньте в нём :)


А он что, может автоматом это делать по тому же принципу?

Просто не имел дела с ним никогда.


--
To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org
with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org

Re: Чем защищаться от DoS?

2009-01-27 Пенетрантность Stanislav Kruchinin

Kirill Shatalaev wrote:
Приветствую.

У меня VPS на Debian Etch, ядро 2.6.18-028stab059.5-ent

Собственно, DoS-ят VDS, причём достаточно примитивно:

Первая мысль:
# iptables -A INPUT -p tcp --dport 80 -m connlimit --connlimit-above 5
-j DROP

Если уж на то пошло, то лучше использовать hashlimit, поскольку он ограничивает
число соединений не для всех IP, а для каждого в отдельности. Иначе DoS-атака
окажется успешной, т.к. все разрешенные соединения будут идти только с IP
атакующего.

В ответ отлуп:
iptables: No chain/target/match by that name

Поддержка в iptables есть:
#iptables -m connlimit -h

connlimit v1.3.6 options:
[!] --connlimit-above nmatch if the number of existing tcp
connections is (not) above n
--connlimit-mask ngroup hosts using mask

Это означает только то, что управляющая программа iptables поддерживает
синтаксис для этого модуля. Без предварительного modprobe ipt_connlimit ничего
работать не будет.

Обратился в техподдержку хостера - в ответ отлуп: бла-бла-бла невозможно
добавить в ВПС данные модули.

В общем, очаровательно, и чего же мне делать теперь? Какие есть
альтернативы? Прошу помощи.

Настраивайте в Apache количество соединений с одного IP с помощью модуля
mod_limitipconn. Обращайтесь к хостеру, чтобы он предоставил какие-то средства
для бана по IP, хотя бы tcp_wrapper какой-нибудь.

--
To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org
with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org

Re: Чем защищаться от DoS?

2009-01-27 Пенетрантность Stanislav Kruchinin

Andrew N Golovkov wrote:
 В общем, очаровательно, и чего же мне делать теперь? Какие есть
 альтернативы? Прошу помощи.
 
 Поставьте nginx акселератором и забаньте в нём :)

Да, пускай рунет пополнится еще одним сайтом с очаровательной заставкой
502 Bad gateway, если атакующий додумается устроить атаку на динамический 
контент.


-- 
To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org
with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org

Re: Чем защищаться от DoS?

Re: Чем защищаться от DoS?

Чем защищаться от DoS?

Re: Чем защищаться от DoS?

Re: Чем защищаться от DoS?

Re: Чем защищаться от DoS?

Re: Чем защищаться от DoS?

7 matches

Site Navigation

Mail list logo

Footer information