Ochrana Apache před přetížením

[jarinokovac]

Ahojte chalani, potreboval by som od Vás jednu pomoc.

Viem že existuje script (teraz neviem jeho presné pomenovanie) ktorý úmyselne vykoná záťaž apache webservera pomocou dopytu viacerých IP.

Potreboval by som vedieť ako sa takejto záťaži vyhnúť a vysokým odozvám vyplývajúcim s tejto záťaže zabrániť. Najlepšie by bolo asi dať BAN na IP no problém je v tom že ten script má IP adresy generované zjavne pomocou proxy servera. Dá sa v apache nastaviť nejaká hodnota alebo.. etc...?

Ďakujem. 

[Reklama]

[P]

ja bych na to sel asi pres iptables a modul recent.

[jarinokovac]

mohol by si prosím trošku viac upresniť? Moje zručnosti linuxu sú zatiaľ základné a využívam ho iba s princípu 

[P]

pokud nepouzivas iptables, tak zrovna toto nebude na vysvetleni jednoduche (google ti na dotaz "+iptables +recent" vrati dost relevantnich vysledku ke "studiu".

kazdopadne, opravdu ti hrozi takovyto utok? Ja mam par webu na vlastnich serverech, ale zatim jsem se s takovymto utokem nesetkal (mimo svuj vlastni "pokusnej").

[jarinokovac]

pokud nepouzivas iptables, tak zrovna toto nebude na vysvetleni jednoduche (google ti na dotaz "+iptables +recent" vrati dost relevantnich vysledku ke "studiu".

kazdopadne, opravdu ti hrozi takovyto utok? Ja mam par webu na vlastnich serverech, ale zatim jsem se s takovymto utokem nesetkal (mimo svuj vlastni "pokusnej").

ono to není o "hrozí" ale o jednom špekulantovi ktorý mi toto už na mojom servery 2x skúšal a relevantne sa mu to podarilo nakoľko ping zvýšil zo 16ms na 1s. Žiaľ, nedá si pokoj a býva dosť ďaleko na to aby som mu to mohol vysvetliť osobne že sa nepatrí zhadzovať cudzie servery. Preto premýšľam ako sa brániť. Iptables nevyužívam ale pôjdem nejaké manuálny naštudovať. Je tu ešte nejaká možnosť?

[Reklama]

[P]

muzes jeste zkouset modul do apache - evasive (http://www.zdziarski.com/blog/?page_id=442)
nebo skript deflate (http://deflate.medialayer.com/)

[Ivan]

dalsi moznosti je mod_throttle do apache. Pokud ma ale utocnik lepsi konektivitu nez, ty, tak toho moc nezmuzes. Jedine si muzes stezovat u sveho ISP.

[jarinokovac]

muzes jeste zkouset modul do apache - evasive (http://www.zdziarski.com/blog/?page_id=442)
nebo skript deflate (http://deflate.medialayer.com/)

Vyzerá to dobre, vyskúšam Diky

[Sten]

ono to není o "hrozí" ale o jednom špekulantovi ktorý mi toto už na mojom servery 2x skúšal a relevantne sa mu to podarilo nakoľko ping zvýšil zo 16ms na 1s. Žiaľ, nedá si pokoj a býva dosť ďaleko na to aby som mu to mohol vysvetliť osobne že sa nepatrí zhadzovať cudzie servery. Preto premýšľam ako sa brániť. Iptables nevyužívam ale pôjdem nejaké manuálny naštudovať. Je tu ešte nejaká možnosť?

iptables je nejlepší řešení. Cokoliv jiného je daleko náročnější a tedy i náchylnější ke shození.

Jednoduché řešení pro iptables:

Kód: [Vybrat]

iptables -t filter -N SynFlood
iptables -t filter -A SynFlood -p tcp ! --syn -j DROP
iptables -t filter -A SynFlood -p tcp --tcp-flags SYN,FIN SYN,FIN -j DROP
iptables -t filter -A SynFlood -m limit --limit 50/s --limit-burst 250 -j RETURN
iptables -t filter -A SynFlood -p tcp -j REJECT --reject-with tcp-reset
iptables -t filter -A INPUT -p tcp -m state --state NEW -j SynFlood
Hodnoty 50/s a 250 burst mohou být moc velké, pokud máte pomalejší server, případně můžete udělat ochranu odděleně pro HTTP a pro ostatní porty.

[jarinokovac]

ono to není o "hrozí" ale o jednom špekulantovi ktorý mi toto už na mojom servery 2x skúšal a relevantne sa mu to podarilo nakoľko ping zvýšil zo 16ms na 1s. Žiaľ, nedá si pokoj a býva dosť ďaleko na to aby som mu to mohol vysvetliť osobne že sa nepatrí zhadzovať cudzie servery. Preto premýšľam ako sa brániť. Iptables nevyužívam ale pôjdem nejaké manuálny naštudovať. Je tu ešte nejaká možnosť?

iptables je nejlepší řešení. Cokoliv jiného je daleko náročnější a tedy i náchylnější ke shození.

Jednoduché řešení pro iptables:

Kód: [Vybrat]

iptables -t filter -N SynFlood
iptables -t filter -A SynFlood -p tcp ! --syn -j DROP
iptables -t filter -A SynFlood -p tcp --tcp-flags SYN,FIN SYN,FIN -j DROP
iptables -t filter -A SynFlood -m limit --limit 50/s --limit-burst 250 -j RETURN
iptables -t filter -A SynFlood -p tcp -j REJECT --reject-with tcp-reset
iptables -t filter -A INPUT -p tcp -m state --state NEW -j SynFlood
Hodnoty 50/s a 250 burst mohou být moc velké, pokud máte pomalejší server, případně můžete udělat ochranu odděleně pro HTTP a pro ostatní porty.

50/s - 250 znamená max. 250 načítaní za 50 sekúnd? Alebo čo vlastne? (prepáčte som rookie  )

[P]

bohuzel toto reseni, ti hodi vsechny do jednoho pytle

[jarinokovac]

A potom ešte jedna otázočka ohľadom Iptables, ako to zruším ak to nebude "pracovať" korektne?

[P]

http://www.root.cz/serialy/vse-o-iptables/

[jarinokovac]

http://www.root.cz/serialy/vse-o-iptables/

komplikejšn, to nedočítam ani do rána a že by som s toho niečo pochopil to už vôbec 

[jarinokovac]

chalani takto do firewallu som pomocou tej jednoduchej srandy nazývanej webmin vložil toto

Odmietnuť, Ak priepustnosť je menšia než 50/second a paketov v dávke je menej ako 250

pomôže to, nemôže sa stať že sa nepodarí pripojiť ani mne? ..