Fórum Root.cz

Hlavní témata => Server => Téma založeno: jarinokovac 22. 04. 2011, 10:15:16

Název: Ochrana Apache před přetížením
Přispěvatel: jarinokovac 22. 04. 2011, 10:15:16
Ahojte chalani, potreboval by som od Vás jednu pomoc.

Viem že existuje script (teraz neviem jeho presné pomenovanie) ktorý úmyselne vykoná záťaž apache webservera pomocou dopytu viacerých IP.

Potreboval by som vedieť ako sa takejto záťaži vyhnúť a vysokým odozvám vyplývajúcim s tejto záťaže zabrániť. Najlepšie by bolo asi dať BAN na IP no problém je v tom že ten script má IP adresy generované zjavne pomocou proxy servera. Dá sa v apache nastaviť nejaká hodnota alebo.. etc...?

Ďakujem.  ;)
Název: Re: script na preťaženie servera (ako predísť)
Přispěvatel: P 22. 04. 2011, 10:26:58
ja bych na to sel asi pres iptables a modul recent.
Název: Re: script na preťaženie servera (ako predísť)
Přispěvatel: jarinokovac 22. 04. 2011, 10:33:21
mohol by si prosím trošku viac upresniť? Moje zručnosti linuxu sú zatiaľ základné a využívam ho iba s princípu  :D
Název: Re: script na preťaženie servera (ako predísť)
Přispěvatel: P 22. 04. 2011, 10:43:16
pokud nepouzivas iptables, tak zrovna toto nebude na vysvetleni jednoduche (google ti na dotaz "+iptables +recent" vrati dost relevantnich vysledku ke "studiu".

kazdopadne, opravdu ti hrozi takovyto utok? Ja mam par webu na vlastnich serverech, ale zatim jsem se s takovymto utokem nesetkal (mimo svuj vlastni "pokusnej").
Název: Re: script na preťaženie servera (ako predísť)
Přispěvatel: jarinokovac 22. 04. 2011, 10:46:26
pokud nepouzivas iptables, tak zrovna toto nebude na vysvetleni jednoduche (google ti na dotaz "+iptables +recent" vrati dost relevantnich vysledku ke "studiu".

kazdopadne, opravdu ti hrozi takovyto utok? Ja mam par webu na vlastnich serverech, ale zatim jsem se s takovymto utokem nesetkal (mimo svuj vlastni "pokusnej").

ono to není o "hrozí" ale o jednom špekulantovi ktorý mi toto už na mojom servery 2x skúšal a relevantne sa mu to podarilo nakoľko ping zvýšil zo 16ms na 1s. :D Žiaľ, nedá si pokoj a býva dosť ďaleko na to aby som mu to mohol vysvetliť osobne že sa nepatrí zhadzovať cudzie servery. Preto premýšľam ako sa brániť. Iptables nevyužívam ale pôjdem nejaké manuálny naštudovať. Je tu ešte nejaká možnosť? :)
Název: Re: script na preťaženie servera (ako predísť)
Přispěvatel: P 22. 04. 2011, 10:56:08
muzes jeste zkouset modul do apache - evasive (http://www.zdziarski.com/blog/?page_id=442)
nebo skript deflate (http://deflate.medialayer.com/)
Název: Re: script na preťaženie servera (ako predísť)
Přispěvatel: Ivan 22. 04. 2011, 10:57:39
dalsi moznosti je mod_throttle do apache. Pokud ma ale utocnik lepsi konektivitu nez, ty, tak toho moc nezmuzes. Jedine si muzes stezovat u sveho ISP.
Název: Re: script na preťaženie servera (ako predísť)
Přispěvatel: jarinokovac 22. 04. 2011, 11:45:36
muzes jeste zkouset modul do apache - evasive (http://www.zdziarski.com/blog/?page_id=442)
nebo skript deflate (http://deflate.medialayer.com/)

Vyzerá to dobre, vyskúšam :) Diky :)
Název: Re: script na preťaženie servera (ako predísť)
Přispěvatel: Sten 22. 04. 2011, 12:55:49
ono to není o "hrozí" ale o jednom špekulantovi ktorý mi toto už na mojom servery 2x skúšal a relevantne sa mu to podarilo nakoľko ping zvýšil zo 16ms na 1s. :D Žiaľ, nedá si pokoj a býva dosť ďaleko na to aby som mu to mohol vysvetliť osobne že sa nepatrí zhadzovať cudzie servery. Preto premýšľam ako sa brániť. Iptables nevyužívam ale pôjdem nejaké manuálny naštudovať. Je tu ešte nejaká možnosť? :)

iptables je nejlepší řešení. Cokoliv jiného je daleko náročnější a tedy i náchylnější ke shození.

Jednoduché řešení pro iptables:
Kód: [Vybrat]
iptables -t filter -N SynFlood
iptables -t filter -A SynFlood -p tcp ! --syn -j DROP
iptables -t filter -A SynFlood -p tcp --tcp-flags SYN,FIN SYN,FIN -j DROP
iptables -t filter -A SynFlood -m limit --limit 50/s --limit-burst 250 -j RETURN
iptables -t filter -A SynFlood -p tcp -j REJECT --reject-with tcp-reset
iptables -t filter -A INPUT -p tcp -m state --state NEW -j SynFlood

Hodnoty 50/s a 250 burst mohou být moc velké, pokud máte pomalejší server, případně můžete udělat ochranu odděleně pro HTTP a pro ostatní porty.
Název: Re: script na preťaženie servera (ako predísť)
Přispěvatel: jarinokovac 22. 04. 2011, 12:59:16
ono to není o "hrozí" ale o jednom špekulantovi ktorý mi toto už na mojom servery 2x skúšal a relevantne sa mu to podarilo nakoľko ping zvýšil zo 16ms na 1s. :D Žiaľ, nedá si pokoj a býva dosť ďaleko na to aby som mu to mohol vysvetliť osobne že sa nepatrí zhadzovať cudzie servery. Preto premýšľam ako sa brániť. Iptables nevyužívam ale pôjdem nejaké manuálny naštudovať. Je tu ešte nejaká možnosť? :)

iptables je nejlepší řešení. Cokoliv jiného je daleko náročnější a tedy i náchylnější ke shození.

Jednoduché řešení pro iptables:
Kód: [Vybrat]
iptables -t filter -N SynFlood
iptables -t filter -A SynFlood -p tcp ! --syn -j DROP
iptables -t filter -A SynFlood -p tcp --tcp-flags SYN,FIN SYN,FIN -j DROP
iptables -t filter -A SynFlood -m limit --limit 50/s --limit-burst 250 -j RETURN
iptables -t filter -A SynFlood -p tcp -j REJECT --reject-with tcp-reset
iptables -t filter -A INPUT -p tcp -m state --state NEW -j SynFlood

Hodnoty 50/s a 250 burst mohou být moc velké, pokud máte pomalejší server, případně můžete udělat ochranu odděleně pro HTTP a pro ostatní porty.

50/s - 250 znamená max. 250 načítaní za 50 sekúnd? Alebo čo vlastne? (prepáčte som rookie  :) )
Název: Re: Ochrana Apache před přetížením
Přispěvatel: P 22. 04. 2011, 13:01:24
bohuzel toto reseni, ti hodi vsechny do jednoho pytle :(
Název: Re: Ochrana Apache před přetížením
Přispěvatel: jarinokovac 22. 04. 2011, 13:05:59
A potom ešte jedna otázočka ohľadom Iptables, ako to zruším ak to nebude "pracovať" korektne?
Název: Re: Ochrana Apache před přetížením
Přispěvatel: P 22. 04. 2011, 13:10:50
http://www.root.cz/serialy/vse-o-iptables/
Název: Re: Ochrana Apache před přetížením
Přispěvatel: jarinokovac 22. 04. 2011, 13:19:25
http://www.root.cz/serialy/vse-o-iptables/

komplikejšn, to nedočítam ani do rána a že by som s toho niečo pochopil to už vôbec  ;D
Název: Re: Ochrana Apache před přetížením
Přispěvatel: jarinokovac 22. 04. 2011, 13:33:22
chalani takto :D do firewallu som pomocou tej jednoduchej srandy nazývanej webmin vložil toto

Odmietnuť, Ak priepustnosť je menšia než 50/second a paketov v dávke je menej ako 250

pomôže to, nemôže sa stať že sa nepodarí pripojiť ani mne? .. :)
Název: Re: Ochrana Apache před přetížením
Přispěvatel: P 22. 04. 2011, 13:39:39
jo, to se prave muze stat. Pokud nebudes mit nekde vys pravidlo pro svoji IP adresu.
Název: Re: Ochrana Apache před přetížením
Přispěvatel: jarinokovac 22. 04. 2011, 13:46:03
Prijať   Ak zdroj je xxx.xxx.xxxx.xxx

malo by to stačiť?

Je potrebné nastaviť tam ešte niečo alebo by toto teoreticky mohlo fičať? Môžem to risknúť spustiť?  ;D
Název: Re: Ochrana Apache před přetížením
Přispěvatel: motyq 22. 04. 2011, 17:35:23
jeste je vice nez vhodne schovat apache za reverzni proxy - doporucuju pouzit nginx.
Pomoci vhodne konfigurace pak muzes treba staticke souboru (obrazky, javascripty, styly) vydavat touto proxy a na apache nechat propadavat az opravdu requesty ktere budou spoustet nejaky dynamicky kod...
Nerikam ze tim odstinis dos utoky, ale vykonove muzes apachovi ulehcit o nezanedbatelne procento ...