Re: ddos атака
Alexander Shepetko wrote: Gerasim Ivanov wrote: Я не знаю как работает утилита ngrep - но если выполнить ngrep port 80 - несмотря на бан всех адресов можно увидеть эти запросы на эту страницу Влияет ли на нее iptables? Простите, на кого влияет? На страницу? Вообще, насколько я понимаю, ngrep работает уже после ядерного фаервола. И, если я не ошибаюсь, то ngrep не должен видеть входящие запросы на 80 порт, при условии, что их режет фаервол. Я понял. Я просматривал ngrep и сам коннектился к сайту. Мои запросы - были с ответами апача, а остальные - без. Тогда как работает правило iptables? Позволяет устанавливать логическое соединение, но игнорирует запросы? -- ubuntu-ru mailing list ubuntu-ru@lists.ubuntu.com https://lists.ubuntu.com/mailman/listinfo/ubuntu-ru
Re: ddos атака
Serge Matveenko wrote: 2008/11/16 Gerasim Ivanov [EMAIL PROTECTED]: Итак, долго пытаясь ставить всякие там модули для апача (evasity, modsecurity) - ничего не помогло. Сначала запретил icmp через iptables, потом мне пришла в голову гениальная мысль :) Просмотрев лог-файл того сайта, на который шла атака - там был запрос GET /index.php HTTP 1.x Зная, что на такую страницу у меня никто не может обращаться - понял, что можно их отслеживать. Написал скрипт, который следит за лог-файлом в реальном времени, и кидает в базу все ip адреса, которые обращаются на эту страницу. Написал второй скрипт, который следит за базой - и банит полностью ip через iptables. # iptables -A INPUT -s %IP% -j DROP достойное решение у меня в делишесе давно валется вот: DDOS - что делать. Если сервер только один - Linux с Apache. http://hostinghelp.biz/content/ddos-%D1%87%D1%82%D0%BE-%D0%B4%D0%B5%D0%BB%D0%B0%D1%82%D1%8C-%D0%B5%D1%81%D0%BB%D0%B8-%D1%81%D0%B5%D1%80%D0%B2%D0%B5%D1%80-%D1%82%D0%BE%D0%BB%D1%8C%D0%BA%D0%BE-%D0%BE%D0%B4%D0%B8%D0%BD-linux-%D1%81-apache2 пробовал, часто натыкался на эту страницу... все равно апач висел -- ubuntu-ru mailing list ubuntu-ru@lists.ubuntu.com https://lists.ubuntu.com/mailman/listinfo/ubuntu-ru
Re: ddos атака
rvadmin wrote: Простите, на кого влияет? На страницу? Вообще, насколько я понимаю, ngrep работает уже после ядерного фаервола. И, если я не ошибаюсь, то ngrep не должен видеть входящие запросы на 80 порт, при условии, что их режет фаервол. Я понял. Я просматривал ngrep и сам коннектился к сайту. Мои запросы - были с ответами апача, а остальные - без. Тогда как работает правило iptables? Позволяет устанавливать логическое соединение, но игнорирует запросы? Что значит логическое соединение? -- ICQ UIN: 124692835 -- ubuntu-ru mailing list ubuntu-ru@lists.ubuntu.com https://lists.ubuntu.com/mailman/listinfo/ubuntu-ru
Re: ddos атака
Alexander Shepetko wrote: rvadmin wrote: Простите, на кого влияет? На страницу? Вообще, насколько я понимаю, ngrep работает уже после ядерного фаервола. И, если я не ошибаюсь, то ngrep не должен видеть входящие запросы на 80 порт, при условии, что их режет фаервол. Я понял. Я просматривал ngrep и сам коннектился к сайту. Мои запросы - были с ответами апача, а остальные - без. Тогда как работает правило iptables? Позволяет устанавливать логическое соединение, но игнорирует запросы? Что значит логическое соединение? То, что отличает TCP от UDP через UDP пакет отправляется, и пофиг, дойдет он или нет а TCP - сначала устанавливаю соединение - а потом отправляю пакет. -- ubuntu-ru mailing list ubuntu-ru@lists.ubuntu.com https://lists.ubuntu.com/mailman/listinfo/ubuntu-ru
Re: ddos атака
rvadmin wrote: Я понял. Я просматривал ngrep и сам коннектился к сайту. Мои запросы - были с ответами апача, а остальные - без. Тогда как работает правило iptables? Позволяет устанавливать логическое соединение, но игнорирует запросы? Что значит логическое соединение? То, что отличает TCP от UDP через UDP пакет отправляется, и пофиг, дойдет он или нет а TCP - сначала устанавливаю соединение - а потом отправляю пакет. Так ведь, при установке TCP-соединения пакет, содержащий запрос на соединение, тоже адресуется на 80-й порт. Стало быть, при срабатывании правила фаервола, режущего всё приходящее на 80-й порт, он тоже должен фильтроваться. У Вас в правиле вообще сказано, чтоб все пакеты с определенного ИП дропились независимо от порта назначения. Насколько я понимаю, пакеты, приходящие на сетевой интерфейс Вашего сервера, в любом случае поступают в обработку ядром. Другое дело, что они не доходят до процесса апача. Это дает возможность уменьшить трафик за счет исключения ответов апачем, но входящий трафик все равно будет. Вот вам и загрузка канала. Пусть меньшая, чем если бы апач отвечал, но она есть. У меня нет опыта борьбы с ddos-атаками, но мне кажется, что в вашем случае чуть ли не единственный выход - обратиться, как было сказано ранее, к провайдеру, чтоб он зарубил весь нежелательный для вас трафик. -- ICQ UIN: 124692835 -- ubuntu-ru mailing list ubuntu-ru@lists.ubuntu.com https://lists.ubuntu.com/mailman/listinfo/ubuntu-ru
Re: ddos атака
Gerasim Ivanov wrote: Что еще посоветуете сделать? Как вы защищаетесь от DDOS атак? Спасибо что выслушали меня :) Кстати, а не имеет ли место быть еще и ICMP-атака? -- ICQ UIN: 124692835 -- ubuntu-ru mailing list ubuntu-ru@lists.ubuntu.com https://lists.ubuntu.com/mailman/listinfo/ubuntu-ru
Re: ddos атака
Alexander Shepetko wrote: rvadmin wrote: Я понял. Я просматривал ngrep и сам коннектился к сайту. Мои запросы - были с ответами апача, а остальные - без. Тогда как работает правило iptables? Позволяет устанавливать логическое соединение, но игнорирует запросы? Что значит логическое соединение? То, что отличает TCP от UDP через UDP пакет отправляется, и пофиг, дойдет он или нет а TCP - сначала устанавливаю соединение - а потом отправляю пакет. Так ведь, при установке TCP-соединения пакет, содержащий запрос на соединение, тоже адресуется на 80-й порт. Стало быть, при срабатывании правила фаервола, режущего всё приходящее на 80-й порт, он тоже должен фильтроваться. У Вас в правиле вообще сказано, чтоб все пакеты с определенного ИП дропились независимо от порта назначения. Насколько я понимаю, пакеты, приходящие на сетевой интерфейс Вашего сервера, в любом случае поступают в обработку ядром. Другое дело, что они не доходят до процесса апача. Это дает возможность уменьшить трафик за счет исключения ответов апачем, но входящий трафик все равно будет. Вот вам и загрузка канала. Пусть меньшая, чем если бы апач отвечал, но она есть. У меня нет опыта борьбы с ddos-атаками, но мне кажется, что в вашем случае чуть ли не единственный выход - обратиться, как было сказано ранее, к провайдеру, чтоб он зарубил весь нежелательный для вас трафик. Понимаете, ботнет постоянно просыпается, и атака идет с новых адресов. Провайдер же не запустит мой скрипт у себя :) ну разве что для экономии канала можно запостить им то, что уже собрал... -- ubuntu-ru mailing list ubuntu-ru@lists.ubuntu.com https://lists.ubuntu.com/mailman/listinfo/ubuntu-ru
Re: ddos атака
Alexander Shepetko wrote: Gerasim Ivanov wrote: Что еще посоветуете сделать? Как вы защищаетесь от DDOS атак? Спасибо что выслушали меня :) Кстати, а не имеет ли место быть еще и ICMP-атака? была, зарубил все icmp запросы... -- ubuntu-ru mailing list ubuntu-ru@lists.ubuntu.com https://lists.ubuntu.com/mailman/listinfo/ubuntu-ru
Re: ddos атака
2008/11/16 Gerasim Ivanov [EMAIL PROTECTED]: Итак, долго пытаясь ставить всякие там модули для апача (evasity, modsecurity) - ничего не помогло. Сначала запретил icmp через iptables, потом мне пришла в голову гениальная мысль :) Просмотрев лог-файл того сайта, на который шла атака - там был запрос GET /index.php HTTP 1.x Зная, что на такую страницу у меня никто не может обращаться - понял, что можно их отслеживать. Написал скрипт, который следит за лог-файлом в реальном времени, и кидает в базу все ip адреса, которые обращаются на эту страницу. Написал второй скрипт, который следит за базой - и банит полностью ip через iptables. # iptables -A INPUT -s %IP% -j DROP достойное решение у меня в делишесе давно валется вот: DDOS - что делать. Если сервер только один - Linux с Apache. http://hostinghelp.biz/content/ddos-%D1%87%D1%82%D0%BE-%D0%B4%D0%B5%D0%BB%D0%B0%D1%82%D1%8C-%D0%B5%D1%81%D0%BB%D0%B8-%D1%81%D0%B5%D1%80%D0%B2%D0%B5%D1%80-%D1%82%D0%BE%D0%BB%D1%8C%D0%BA%D0%BE-%D0%BE%D0%B4%D0%B8%D0%BD-linux-%D1%81-apache2 -- Serge Matveenko mailto:[EMAIL PROTECTED] http://serge.matveenko.ru/ -- ubuntu-ru mailing list ubuntu-ru@lists.ubuntu.com https://lists.ubuntu.com/mailman/listinfo/ubuntu-ru
Re: ddos атака
Gerasim Ivanov wrote: Я не знаю как работает утилита ngrep - но если выполнить ngrep port 80 - несмотря на бан всех адресов можно увидеть эти запросы на эту страницу Влияет ли на нее iptables? Простите, на кого влияет? На страницу? Вообще, насколько я понимаю, ngrep работает уже после ядерного фаервола. И, если я не ошибаюсь, то ngrep не должен видеть входящие запросы на 80 порт, при условии, что их режет фаервол. -- ICQ UIN: 124692835 -- ubuntu-ru mailing list ubuntu-ru@lists.ubuntu.com https://lists.ubuntu.com/mailman/listinfo/ubuntu-ru
Re: ddos атака
16 ноября 2008 г. 1:47 пользователь Alexander Shepetko [EMAIL PROTECTED] написал: Gerasim Ivanov wrote: Я не знаю как работает утилита ngrep - но если выполнить ngrep port 80 - несмотря на бан всех адресов можно увидеть эти запросы на эту страницу Влияет ли на нее iptables? Простите, на кого влияет? На страницу? Вообще, насколько я понимаю, ngrep работает уже после ядерного фаервола. И, если я не ошибаюсь, то ngrep не должен видеть входящие запросы на 80 порт, при условии, что их режет фаервол. -- ICQ UIN: 124692835 -- ubuntu-ru mailing list ubuntu-ru@lists.ubuntu.com https://lists.ubuntu.com/mailman/listinfo/ubuntu-ru Если список атакующих IP не велик, то можно попытаться договорится с провайдером о блокировке траффика с оных средствами провайдера(временно или навсегда). Вероятность того, что провайдер согласится пойти Вам на встречу - невелика, но попробывать можно. -- With best regards, Ivan Surzhenko -- ubuntu-ru mailing list ubuntu-ru@lists.ubuntu.com https://lists.ubuntu.com/mailman/listinfo/ubuntu-ru