unixforum.org

mandreika писал(а): ↑

25.09.2009 10:18

iptables -t filter -A INPUT -i ppp0 -p tcp --dport 80 -m connlimit --connlimit-above 200 --connlimit-mask 0 -j DROP
iptables -t filter -A INPUT -i ppp0 -p tcp --dport 80 -m connlimit --connlimit-above 200 --connlimit-mask 0 -j LOG --log-prefix "DoS200:"
iptables -t filter -A INPUT -i ppp0 -p tcp --dport 80 --syn -m connlimit --connlimit-above 5 -j DROP
iptables -t filter -A INPUT -i ppp0 -p tcp --dport 80 --syn -m connlimit --connlimit-above 5 -j LOG --log-prefix "DoS5:"
iptables -t filter -A INPUT -i ppp0 -p tcp --dport 80 -j ACCEPT

rooty писал(а): ↑

25.09.2009 03:14

Здравствуйте!
Вот столкнулся с проблемой DDoS'а.
При чем все смешно... я точно не уверен, т.к. аксес логи энджинка перенаправлялись в /dev/null , но похоже в досе участвовало где-то 4 машины всего ( . Если не меньше. А т.к. На ВПСке мне выделено не много ресурсов, некоторые ПО ложатся, а мастер отвечает, что-то вроде
"виртуальный сервер достиг предела выделенных ему ресурсов numtcpsock: 12686 раз."
Досят nginx простыми запросами страниц.
Конечно, в nginx'е можно попробовать поправить keepalive_timeout 60 , сменить на 0, но мне кажется, это не выход... поправьте меня, если я чего-то не правильно сформулировал.

Вот подумал составить правило в , т.к. в голову другого нечего не приходит.

Может кто поделиться советами, что тут еще можно сделать?

На счет iptables, к сожалению я с ним плохо знаком, составить правило нужно что-то вроде:

глобально не более 5 запросов с одного IP на 80 порт и не более 200 IP одноврменно на 80 порт

не более 200 IP на случай если досят не 4 машины, а больше...

Спасибо огромное за помощь.

srv2# wget http://www.zdziarski.com/projects/mod_evasive/mod_evasive_1.10.1.tar.gz
srv2# tar xfz mod_evasive_1.10.1.tar.gz
srv2# cd mod_evasive
srv2# whereis apxs
apxs: /usr/local/sbin/apxs /usr/local/man/man8/apxs.8.gz // По умолчанию он тут
srv2# /usr/local/sbin/apxs -i -a -c mod_evasive.c // для Apache 1.3
srv2# /usr/local/sbin/apxs -i -a -c mod_evasive2.c // для Apache 2.2
srv2# rehash

<IfModule mod_evasive.c>
DOSHashTableSize 3097
DOSPageCount 2
DOSSiteCount 50
DOSPageInterval 1
DOSSiteInterval 1
DOSBlockingPeriod 300
</IfModule>

<IfModule mod_evasive20.c>
DOSHashTableSize 3097
DOSPageCount 2
DOSSiteCount 50
DOSPageInterval 1
DOSSiteInterval 1
DOSBlockingPeriod 300
</IfModule>

srv2# /usr/local/etc/rc.d/apache restart

#!/usr/bin/perl

# test.pl: small script to test mod_dosevasive's effectiveness

use IO::Socket;
use strict;

for(0..100) {
  my($response);
  my($SOCKET) = new IO::Socket::INET( Proto   => "tcp",
                                      PeerAddr=> "127.0.0.1:80");
  if (! defined $SOCKET) { die $!; }
  print $SOCKET "GET /?$_ HTTP/1.0\n\n";
  $response = <$SOCKET>;
  print $response;
  close($SOCKET);
}

HTTP/1.1 200 OK
HTTP/1.1 200 OK
HTTP/1.1 200 OK
HTTP/1.1 200 OK
HTTP/1.1 200 OK
HTTP/1.1 200 OK
HTTP/1.1 200 OK
HTTP/1.1 200 OK
HTTP/1.1 200 OK
HTTP/1.1 200 OK
HTTP/1.1 200 OK
HTTP/1.1 200 OK
HTTP/1.1 200 OK
HTTP/1.1 200 OK
HTTP/1.1 200 OK
HTTP/1.1 200 OK
HTTP/1.1 200 OK
HTTP/1.1 403 Forbidden
HTTP/1.1 403 Forbidden
HTTP/1.1 403 Forbidden
HTTP/1.1 403 Forbidden
HTTP/1.1 403 Forbidden
HTTP/1.1 403 Forbidden
HTTP/1.1 403 Forbidden
HTTP/1.1 403 Forbidden
HTTP/1.1 403 Forbidden
HTTP/1.1 403 Forbidden
HTTP/1.1 403 Forbidden
HTTP/1.1 403 Forbidden
HTTP/1.1 403 Forbidden
HTTP/1.1 403 Forbidden
HTTP/1.1 403 Forbidden
HTTP/1.1 403 Forbidden
HTTP/1.1 403 Forbidden
HTTP/1.1 403 Forbidden
HTTP/1.1 403 Forbidden
HTTP/1.1 403 Forbidden
HTTP/1.1 403 Forbidden
HTTP/1.1 403 Forbidden
HTTP/1.1 403 Forbidden

cat /etc/pf.conf

ext_if="em0"

table <ddos> persist
block in log quick from <ddos>

pass in on $ext_if proto tcp to $ext_if \
port www flags S/SA keep state \
( max-src-conn-rate 100/5, overload <ddos> flush)

pfctl -t ddos -T show

pfctl -t ddos -T flush

*/20    *       *       *       *       root     pfctl -t ddos -T flush

mandreika писал(а): ↑

25.09.2009 12:18

у меня в Debian/Lenny изкаропки connlimit пашет - а работать с индивидуальными ip сессиями только с ним.

Можно использовать критерий limit/сек для syn на 80 порт.

mandreika писал(а): ↑

25.09.2009 12:18

Или замени главную страничку на форму авторизации - кто не прошел проверку блочить Ip

mandreika писал(а): ↑

25.09.2009 12:58

iptables -t filter -A INPUT -i ppp0 -p tcp --syn --dport 80 -m limit --limit 10/s -j ACCEPT

все остальные Ассепты на 80 порт выброси

mandreika писал(а): ↑

25.09.2009 12:58

На сколько я понимаю тебе не нужно новое ядро - просто скомпилированный модуль connlimit подключить
Ставь себе OpenVZ c точно токим же линупсом, компилируй модуль - закидывай в lib - подключай в iptables

mandreika писал(а): ↑

25.09.2009 10:18

iptables -t filter -A INPUT -i ppp0 -p tcp --dport 80 -m connlimit --connlimit-above 200 --connlimit-mask 0 -j DROP
iptables -t filter -A INPUT -i ppp0 -p tcp --dport 80 -m connlimit --connlimit-above 200 --connlimit-mask 0 -j LOG --log-prefix "DoS200:"
iptables -t filter -A INPUT -i ppp0 -p tcp --dport 80 --syn -m connlimit --connlimit-above 5 -j DROP
iptables -t filter -A INPUT -i ppp0 -p tcp --dport 80 --syn -m connlimit --connlimit-above 5 -j LOG --log-prefix "DoS5:"
iptables -t filter -A INPUT -i ppp0 -p tcp --dport 80 -j ACCEPT

rooty писал(а): ↑

25.09.2009 13:52

OpenVZ использует одно ядро на всех.... я не могу просто так вмешаться в работу ядра...
connlimit подключить то в ядре нужно? так?

но похоже в досе участвовало где-то 4 машины всего