Fórum Root.cz
Hlavní témata => Server => Téma založeno: jarinokovac 22. 04. 2011, 10:15:16
-
Ahojte chalani, potreboval by som od Vás jednu pomoc.
Viem že existuje script (teraz neviem jeho presné pomenovanie) ktorý úmyselne vykoná záťaž apache webservera pomocou dopytu viacerých IP.
Potreboval by som vedieť ako sa takejto záťaži vyhnúť a vysokým odozvám vyplývajúcim s tejto záťaže zabrániť. Najlepšie by bolo asi dať BAN na IP no problém je v tom že ten script má IP adresy generované zjavne pomocou proxy servera. Dá sa v apache nastaviť nejaká hodnota alebo.. etc...?
Ďakujem. ;)
-
ja bych na to sel asi pres iptables a modul recent.
-
mohol by si prosím trošku viac upresniť? Moje zručnosti linuxu sú zatiaľ základné a využívam ho iba s princípu :D
-
pokud nepouzivas iptables, tak zrovna toto nebude na vysvetleni jednoduche (google ti na dotaz "+iptables +recent" vrati dost relevantnich vysledku ke "studiu".
kazdopadne, opravdu ti hrozi takovyto utok? Ja mam par webu na vlastnich serverech, ale zatim jsem se s takovymto utokem nesetkal (mimo svuj vlastni "pokusnej").
-
pokud nepouzivas iptables, tak zrovna toto nebude na vysvetleni jednoduche (google ti na dotaz "+iptables +recent" vrati dost relevantnich vysledku ke "studiu".
kazdopadne, opravdu ti hrozi takovyto utok? Ja mam par webu na vlastnich serverech, ale zatim jsem se s takovymto utokem nesetkal (mimo svuj vlastni "pokusnej").
ono to není o "hrozí" ale o jednom špekulantovi ktorý mi toto už na mojom servery 2x skúšal a relevantne sa mu to podarilo nakoľko ping zvýšil zo 16ms na 1s. :D Žiaľ, nedá si pokoj a býva dosť ďaleko na to aby som mu to mohol vysvetliť osobne že sa nepatrí zhadzovať cudzie servery. Preto premýšľam ako sa brániť. Iptables nevyužívam ale pôjdem nejaké manuálny naštudovať. Je tu ešte nejaká možnosť? :)
-
muzes jeste zkouset modul do apache - evasive (http://www.zdziarski.com/blog/?page_id=442)
nebo skript deflate (http://deflate.medialayer.com/)
-
dalsi moznosti je mod_throttle do apache. Pokud ma ale utocnik lepsi konektivitu nez, ty, tak toho moc nezmuzes. Jedine si muzes stezovat u sveho ISP.
-
muzes jeste zkouset modul do apache - evasive (http://www.zdziarski.com/blog/?page_id=442)
nebo skript deflate (http://deflate.medialayer.com/)
Vyzerá to dobre, vyskúšam :) Diky :)
-
ono to není o "hrozí" ale o jednom špekulantovi ktorý mi toto už na mojom servery 2x skúšal a relevantne sa mu to podarilo nakoľko ping zvýšil zo 16ms na 1s. :D Žiaľ, nedá si pokoj a býva dosť ďaleko na to aby som mu to mohol vysvetliť osobne že sa nepatrí zhadzovať cudzie servery. Preto premýšľam ako sa brániť. Iptables nevyužívam ale pôjdem nejaké manuálny naštudovať. Je tu ešte nejaká možnosť? :)
iptables je nejlepší řešení. Cokoliv jiného je daleko náročnější a tedy i náchylnější ke shození.
Jednoduché řešení pro iptables:
iptables -t filter -N SynFlood
iptables -t filter -A SynFlood -p tcp ! --syn -j DROP
iptables -t filter -A SynFlood -p tcp --tcp-flags SYN,FIN SYN,FIN -j DROP
iptables -t filter -A SynFlood -m limit --limit 50/s --limit-burst 250 -j RETURN
iptables -t filter -A SynFlood -p tcp -j REJECT --reject-with tcp-reset
iptables -t filter -A INPUT -p tcp -m state --state NEW -j SynFlood
Hodnoty 50/s a 250 burst mohou být moc velké, pokud máte pomalejší server, případně můžete udělat ochranu odděleně pro HTTP a pro ostatní porty.
-
ono to není o "hrozí" ale o jednom špekulantovi ktorý mi toto už na mojom servery 2x skúšal a relevantne sa mu to podarilo nakoľko ping zvýšil zo 16ms na 1s. :D Žiaľ, nedá si pokoj a býva dosť ďaleko na to aby som mu to mohol vysvetliť osobne že sa nepatrí zhadzovať cudzie servery. Preto premýšľam ako sa brániť. Iptables nevyužívam ale pôjdem nejaké manuálny naštudovať. Je tu ešte nejaká možnosť? :)
iptables je nejlepší řešení. Cokoliv jiného je daleko náročnější a tedy i náchylnější ke shození.
Jednoduché řešení pro iptables:
iptables -t filter -N SynFlood
iptables -t filter -A SynFlood -p tcp ! --syn -j DROP
iptables -t filter -A SynFlood -p tcp --tcp-flags SYN,FIN SYN,FIN -j DROP
iptables -t filter -A SynFlood -m limit --limit 50/s --limit-burst 250 -j RETURN
iptables -t filter -A SynFlood -p tcp -j REJECT --reject-with tcp-reset
iptables -t filter -A INPUT -p tcp -m state --state NEW -j SynFlood
Hodnoty 50/s a 250 burst mohou být moc velké, pokud máte pomalejší server, případně můžete udělat ochranu odděleně pro HTTP a pro ostatní porty.
50/s - 250 znamená max. 250 načítaní za 50 sekúnd? Alebo čo vlastne? (prepáčte som rookie :) )
-
bohuzel toto reseni, ti hodi vsechny do jednoho pytle :(
-
A potom ešte jedna otázočka ohľadom Iptables, ako to zruším ak to nebude "pracovať" korektne?
-
http://www.root.cz/serialy/vse-o-iptables/
-
http://www.root.cz/serialy/vse-o-iptables/
komplikejšn, to nedočítam ani do rána a že by som s toho niečo pochopil to už vôbec ;D
-
chalani takto :D do firewallu som pomocou tej jednoduchej srandy nazývanej webmin vložil toto
Odmietnuť, Ak priepustnosť je menšia než 50/second a paketov v dávke je menej ako 250
pomôže to, nemôže sa stať že sa nepodarí pripojiť ani mne? .. :)
-
jo, to se prave muze stat. Pokud nebudes mit nekde vys pravidlo pro svoji IP adresu.
-
Prijať Ak zdroj je xxx.xxx.xxxx.xxx
malo by to stačiť?
Je potrebné nastaviť tam ešte niečo alebo by toto teoreticky mohlo fičať? Môžem to risknúť spustiť? ;D
-
jeste je vice nez vhodne schovat apache za reverzni proxy - doporucuju pouzit nginx.
Pomoci vhodne konfigurace pak muzes treba staticke souboru (obrazky, javascripty, styly) vydavat touto proxy a na apache nechat propadavat az opravdu requesty ktere budou spoustet nejaky dynamicky kod...
Nerikam ze tim odstinis dos utoky, ale vykonove muzes apachovi ulehcit o nezanedbatelne procento ...