Re: проблемс
On Thu, 18 Jul 2002, Yurkin Evgenie wrote: IMHO надо писать своему ISP - это как правило его проблема. Date: Thu, 18 Jul 2002 12:52:50 +0700 From: Yurkin Evgenie [EMAIL PROTECTED] To: debian-russian@lists.debian.org Subject: проблемс Resent-Date: Thu, 18 Jul 2002 09:51:10 +0400 Resent-From: debian-russian@lists.debian.org Народ подскажите что делать стоит сервак на нем апач последнии 3 дня его с определенного ip пытаются зафлудить что то типа DoS атаки то есть поступают запросы на какие то данные сервер их обрабатывает но до того как он предоставляет результат сыпятся новые запросы. похоже на какой то скрипт вообщем как избавится от сего напастья в корне писал письма провайдеру этого ip но без результатно этот ip = 217.11.98.129 whois 217.11.98.129 inetnum: 217.11.96.0 - 217.11.99.255 netname: FIRSTMARK-MADRID descr:Iberbanda S.A. descr:Madrid ISP country: ES admin-c: IRFS1-RIPE tech-c: IRFS1-RIPE status: ASSIGNED PA notify: [EMAIL PROTECTED] mnt-by: FMCE-MNT mnt-lower:FMCE-MNT mnt-routes: FMCE-MNT changed: [EMAIL PROTECTED] 20020226 source: RIPE пока закрыл их в фиреволе но однотипные логи читать каждный день это надоедает кто что посоветует??? Жду предложений P.S. билет на самолет до них покупать не советовать Евгений -- Michael Vlasov , MICHAEL-RIPN, MVY162-RIPE http://www.matrix.ru/michael, ICQ#12612617 -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
re проблемс
в апаче если не ошибаюсь можно выставить max clients per host это во первых, ну и на будущее syn cookies включить, если еще и спуфить начнут echo 1 /proc/sys/net/ipv4/tcp_syncookies ?? а max clients per host где ставится? в конфигах apacha нет подобного On Thu, Jul 18, 2002 at 12:52:50PM +0700, Yurkin Evgenie wrote: Народ подскажите что делать стоит сервак на нем апач последнии 3 дня его с определенного ip пытаются зафлудить что то типа DoS атаки то есть поступают запросы на какие то данные сервер их обрабатывает но до того как он предоставляет результат сыпятся новые запросы. похоже на какой то скрипт вообщем как избавится от сего напастья в корне писал письма провайдеру этого ip но без результатно этот ip = 217.11.98.129 whois 217.11.98.129 inetnum: 217.11.96.0 - 217.11.99.255 netname: FIRSTMARK-MADRID descr:Iberbanda S.A. descr:Madrid ISP country: ES admin-c: IRFS1-RIPE tech-c: IRFS1-RIPE status: ASSIGNED PA notify: [EMAIL PROTECTED] mnt-by: FMCE-MNT mnt-lower:FMCE-MNT mnt-routes: FMCE-MNT changed: [EMAIL PROTECTED] 20020226 source: RIPE пока закрыл их в фиреволе но однотипные логи читать каждный день это надоедает кто что посоветует??? Жду предложений P.S. билет на самолет до них покупать не советовать Евгений -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED] -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: re проблемс
On Thu, Jul 18, 2002 at 01:35:42PM +0700, Yurkin Evgenie wrote: в апаче если не ошибаюсь можно выставить max clients per host это во первых, ну и на будущее syn cookies включить, если еще и спуфить начнут echo 1 /proc/sys/net/ipv4/tcp_syncookies ?? включить поддержку в ядре и в это самое место echo 1 (afaik там по умолчанию 1 ставится) а max clients per host где ставится? в конфигах apacha нет подобного вот это может помочь: MaxKeepAliveRequests directive Syntax: MaxKeepAliveRequests number Default: MaxKeepAliveRequests 100 Context: server config Status: core Compatibility: Only available in Apache 1.2 and later. The MaxKeepAliveRequests directive limits the number of requests allowed per connection when KeepAlive is on. If it is set to 0, unlimited requests will be allowed. We recommend that this setting be kept to a high value for maximum server performance. In Apache 1.1, this is controlled through an option to the KeepAlive directive. For example MaxKeepAliveRequests 500 On Thu, Jul 18, 2002 at 12:52:50PM +0700, Yurkin Evgenie wrote: Народ подскажите что делать стоит сервак на нем апач последнии 3 дня его с определенного ip пытаются зафлудить что то типа DoS атаки то есть поступают запросы на какие то данные сервер их обрабатывает но до того как он предоставляет результат сыпятся новые запросы. похоже на какой то скрипт вообщем как избавится от сего напастья в корне писал письма провайдеру этого ip но без результатно этот ip = 217.11.98.129 whois 217.11.98.129 inetnum: 217.11.96.0 - 217.11.99.255 netname: FIRSTMARK-MADRID descr:Iberbanda S.A. descr:Madrid ISP country: ES admin-c: IRFS1-RIPE tech-c: IRFS1-RIPE status: ASSIGNED PA notify: [EMAIL PROTECTED] mnt-by: FMCE-MNT mnt-lower:FMCE-MNT mnt-routes: FMCE-MNT changed: [EMAIL PROTECTED] 20020226 source: RIPE пока закрыл их в фиреволе но однотипные логи читать каждный день это надоедает кто что посоветует??? Жду предложений P.S. билет на самолет до них покупать не советовать Евгений -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED] -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED] -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: re проблемс
On Thu, Jul 18, 2002 at 01:35:42PM +0700, Yurkin Evgenie wrote: в апаче если не ошибаюсь можно выставить max clients per host это во первых, ну и на будущее syn cookies включить, если еще и спуфить начнут echo 1 /proc/sys/net/ipv4/tcp_syncookies ?? Вроде того. Хотя в дебиановских инит скриптах есть соответствуюющая ручка (/etc/network/options), да, и не забыть вкомпилять поддержку этого дела в ядро, т.к. по дефолту она выключена. Хотя лично я syncookies не люблю - т.к. они несколько нарушают tcp протокол - и стараюсь где можно использовать что-то типа iptables -N flood iptables -A INPUT -i eth0 -p tcp --syn -j flood iptables -A flood -m limit --limit 1/s --limit-burst 5 -j RETURN iptables -A flood -j DROP а max clients per host где ставится? в конфигах apacha нет подобного On Thu, Jul 18, 2002 at 12:52:50PM +0700, Yurkin Evgenie wrote: Народ подскажите что делать стоит сервак на нем апач последнии 3 дня его с определенного ip пытаются зафлудить что то типа DoS атаки то есть поступают запросы на какие то данные сервер их обрабатывает но до того как он предоставляет результат сыпятся новые запросы. похоже на какой то скрипт вообщем как избавится от сего напастья в корне писал письма провайдеру этого ip но без результатно этот ip = 217.11.98.129 whois 217.11.98.129 inetnum: 217.11.96.0 - 217.11.99.255 netname: FIRSTMARK-MADRID descr:Iberbanda S.A. descr:Madrid ISP country: ES admin-c: IRFS1-RIPE tech-c: IRFS1-RIPE status: ASSIGNED PA notify: [EMAIL PROTECTED] mnt-by: FMCE-MNT mnt-lower:FMCE-MNT mnt-routes: FMCE-MNT changed: [EMAIL PROTECTED] 20020226 source: RIPE пока закрыл их в фиреволе но однотипные логи читать каждный день это надоедает кто что посоветует??? Жду предложений P.S. билет на самолет до них покупать не советовать Евгений -- WBR, Konstantin Sorokin -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: re проблемс
А есть еще такая штука как iplimit в iptables. Можно резать если слишком много запросов на per ip base. Правда для этого надо крутить match-o-matic в iptables. Konstantin Sorokin wrote: On Thu, Jul 18, 2002 at 01:35:42PM +0700, Yurkin Evgenie wrote: в апаче если не ошибаюсь можно выставить max clients per host это во первых, ну и на будущее syn cookies включить, если еще и спуфить начнут echo 1 /proc/sys/net/ipv4/tcp_syncookies ?? Вроде того. Хотя в дебиановских инит скриптах есть соответствуюющая ручка (/etc/network/options), да, и не забыть вкомпилять поддержку этого дела в ядро, т.к. по дефолту она выключена. Хотя лично я syncookies не люблю - т.к. они несколько нарушают tcp протокол - и стараюсь где можно использовать что-то типа iptables -N flood iptables -A INPUT -i eth0 -p tcp --syn -j flood iptables -A flood -m limit --limit 1/s --limit-burst 5 -j RETURN iptables -A flood -j DROP а max clients per host где ставится? в конфигах apacha нет подобного On Thu, Jul 18, 2002 at 12:52:50PM +0700, Yurkin Evgenie wrote: Народ подскажите что делать стоит сервак на нем апач последнии 3 дня его с определенного ip пытаются зафлудить что то типа DoS атаки то есть поступают запросы на какие то данные сервер их обрабатывает но до того как он предоставляет результат сыпятся новые запросы. похоже на какой то скрипт вообщем как избавится от сего напастья в корне писал письма провайдеру этого ip но без результатно этот ip = 217.11.98.129 whois 217.11.98.129 inetnum: 217.11.96.0 - 217.11.99.255 netname: FIRSTMARK-MADRID descr:Iberbanda S.A. descr:Madrid ISP country: ES admin-c: IRFS1-RIPE tech-c: IRFS1-RIPE status: ASSIGNED PA notify: [EMAIL PROTECTED] mnt-by: FMCE-MNT mnt-lower:FMCE-MNT mnt-routes: FMCE-MNT changed: [EMAIL PROTECTED] 20020226 source: RIPE пока закрыл их в фиреволе но однотипные логи читать каждный день это надоедает кто что посоветует??? Жду предложений P.S. билет на самолет до них покупать не советовать Евгений -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]