Re: ddos, iptables, shaping..
tis 2004-12-28 klockan 15:52 +0100 skrev Johan Segernäs: On 2004-12-28 13:23 +0100 or thereabouts, Per Eric Rosén wrote: Har du provat syn-kakor? (vet inte om det säkert hjälper, men dock) se närmaste linuxkärnedokumentation, eller http://cr.yp.to/syncookies.html Syncookies är på men det är ingen vanlig hederlig söt syn-flood där det bara skickas en jävla massa synar som man kan klara sig hyfsat ifrån. Oerhört svårt att skilja ut ddos-junket från vanlig trafik. :/ Jag har aldrig administrerat en seriös Apache-server, men min första reaktion är att det bästa vore om man kunde fixa Apache så att den klarar av belastningen. Se följande simpla benchmark av Apache mot Yaws: http://www.sics.se/~joe/apachevsyaws.html Kan man kanske konfigurera Apache till att göra trådningen på något annat sätt så att brutna uppkopplingar inte kostar så mycket resurser, minska tiden innan den avbryter en uppkoppling för att den är för långsam, köra en proxy-server framför Apache, eller kanske byta ut Apache mot någon resurssnålare server som Boa eller Yaws? Jag vet inte om det skulle räcka, men det är ju värt att fundera över andra lösningar. -- Niklas signature.asc Description: Detta är en digitalt signerad meddelandedel
ddos, iptables, shaping..
Assisstans mot en ddos skulle jag behöva. 62-66 byte stora syn-paket mot port 80, får apache att leka '...reading...' i server-status och bli helt förvirrad. Kommer från MASSOR av ip-adresser, provat blocka ~400 helt utan någon verkan. Korskörde top 800 från olika tillfällen och fick 4-5 matchande. Just nu leker jag lite DROP på småpaket men MSIE initierar sina http-connections med samma size på paketen så det är en tråkig lösning. Kommer från olika portar, olika ip'n, hittar inget bra samma lika och börja röjja på. Tips och hjälp så jag får sova nästa natt. -- PGP: F9FDB750 --- http://sege.nu/pubkey.asc signature.asc Description: Digital signature
Re: ddos, iptables, shaping..
Har du provat syn-kakor? (vet inte om det säkert hjälper, men dock) se närmaste linuxkärnedokumentation, eller http://cr.yp.to/syncookies.html /Per Eric -- ^): Per Eric Rosén http://rosnix.nu/~per/ / [EMAIL PROTECTED] GPG 7A7A BD68 ADC0 01E1 F560 79FD 33D1 1EC3 1EBB 7311
Re: ddos, iptables, shaping..
On 2004-12-28 13:23 +0100 or thereabouts, Per Eric Rosén wrote: Har du provat syn-kakor? (vet inte om det säkert hjälper, men dock) se närmaste linuxkärnedokumentation, eller http://cr.yp.to/syncookies.html Syncookies är på men det är ingen vanlig hederlig söt syn-flood där det bara skickas en jävla massa synar som man kan klara sig hyfsat ifrån. Oerhört svårt att skilja ut ddos-junket från vanlig trafik. :/ -- PGP: F9FDB750 --- http://sege.nu/pubkey.asc signature.asc Description: Digital signature
