Ochrana Apache před přetížením

Ochrana Apache před přetížením
« kdy: 22. 04. 2011, 10:15:16 »
Ahojte chalani, potreboval by som od Vás jednu pomoc.

Viem že existuje script (teraz neviem jeho presné pomenovanie) ktorý úmyselne vykoná záťaž apache webservera pomocou dopytu viacerých IP.

Potreboval by som vedieť ako sa takejto záťaži vyhnúť a vysokým odozvám vyplývajúcim s tejto záťaže zabrániť. Najlepšie by bolo asi dať BAN na IP no problém je v tom že ten script má IP adresy generované zjavne pomocou proxy servera. Dá sa v apache nastaviť nejaká hodnota alebo.. etc...?

Ďakujem.  ;)
« Poslední změna: 22. 04. 2011, 11:26:23 od Petr Krčmář »


P

Re: script na preťaženie servera (ako predísť)
« Odpověď #1 kdy: 22. 04. 2011, 10:26:58 »
ja bych na to sel asi pres iptables a modul recent.

Re: script na preťaženie servera (ako predísť)
« Odpověď #2 kdy: 22. 04. 2011, 10:33:21 »
mohol by si prosím trošku viac upresniť? Moje zručnosti linuxu sú zatiaľ základné a využívam ho iba s princípu  :D

P

Re: script na preťaženie servera (ako predísť)
« Odpověď #3 kdy: 22. 04. 2011, 10:43:16 »
pokud nepouzivas iptables, tak zrovna toto nebude na vysvetleni jednoduche (google ti na dotaz "+iptables +recent" vrati dost relevantnich vysledku ke "studiu".

kazdopadne, opravdu ti hrozi takovyto utok? Ja mam par webu na vlastnich serverech, ale zatim jsem se s takovymto utokem nesetkal (mimo svuj vlastni "pokusnej").

Re: script na preťaženie servera (ako predísť)
« Odpověď #4 kdy: 22. 04. 2011, 10:46:26 »
pokud nepouzivas iptables, tak zrovna toto nebude na vysvetleni jednoduche (google ti na dotaz "+iptables +recent" vrati dost relevantnich vysledku ke "studiu".

kazdopadne, opravdu ti hrozi takovyto utok? Ja mam par webu na vlastnich serverech, ale zatim jsem se s takovymto utokem nesetkal (mimo svuj vlastni "pokusnej").

ono to není o "hrozí" ale o jednom špekulantovi ktorý mi toto už na mojom servery 2x skúšal a relevantne sa mu to podarilo nakoľko ping zvýšil zo 16ms na 1s. :D Žiaľ, nedá si pokoj a býva dosť ďaleko na to aby som mu to mohol vysvetliť osobne že sa nepatrí zhadzovať cudzie servery. Preto premýšľam ako sa brániť. Iptables nevyužívam ale pôjdem nejaké manuálny naštudovať. Je tu ešte nejaká možnosť? :)


P

Re: script na preťaženie servera (ako predísť)
« Odpověď #5 kdy: 22. 04. 2011, 10:56:08 »
muzes jeste zkouset modul do apache - evasive (http://www.zdziarski.com/blog/?page_id=442)
nebo skript deflate (http://deflate.medialayer.com/)

Ivan

Re: script na preťaženie servera (ako predísť)
« Odpověď #6 kdy: 22. 04. 2011, 10:57:39 »
dalsi moznosti je mod_throttle do apache. Pokud ma ale utocnik lepsi konektivitu nez, ty, tak toho moc nezmuzes. Jedine si muzes stezovat u sveho ISP.

Re: script na preťaženie servera (ako predísť)
« Odpověď #7 kdy: 22. 04. 2011, 11:45:36 »
muzes jeste zkouset modul do apache - evasive (http://www.zdziarski.com/blog/?page_id=442)
nebo skript deflate (http://deflate.medialayer.com/)

Vyzerá to dobre, vyskúšam :) Diky :)

Sten

Re: script na preťaženie servera (ako predísť)
« Odpověď #8 kdy: 22. 04. 2011, 12:55:49 »
ono to není o "hrozí" ale o jednom špekulantovi ktorý mi toto už na mojom servery 2x skúšal a relevantne sa mu to podarilo nakoľko ping zvýšil zo 16ms na 1s. :D Žiaľ, nedá si pokoj a býva dosť ďaleko na to aby som mu to mohol vysvetliť osobne že sa nepatrí zhadzovať cudzie servery. Preto premýšľam ako sa brániť. Iptables nevyužívam ale pôjdem nejaké manuálny naštudovať. Je tu ešte nejaká možnosť? :)

iptables je nejlepší řešení. Cokoliv jiného je daleko náročnější a tedy i náchylnější ke shození.

Jednoduché řešení pro iptables:
Kód: [Vybrat]
iptables -t filter -N SynFlood
iptables -t filter -A SynFlood -p tcp ! --syn -j DROP
iptables -t filter -A SynFlood -p tcp --tcp-flags SYN,FIN SYN,FIN -j DROP
iptables -t filter -A SynFlood -m limit --limit 50/s --limit-burst 250 -j RETURN
iptables -t filter -A SynFlood -p tcp -j REJECT --reject-with tcp-reset
iptables -t filter -A INPUT -p tcp -m state --state NEW -j SynFlood

Hodnoty 50/s a 250 burst mohou být moc velké, pokud máte pomalejší server, případně můžete udělat ochranu odděleně pro HTTP a pro ostatní porty.

Re: script na preťaženie servera (ako predísť)
« Odpověď #9 kdy: 22. 04. 2011, 12:59:16 »
ono to není o "hrozí" ale o jednom špekulantovi ktorý mi toto už na mojom servery 2x skúšal a relevantne sa mu to podarilo nakoľko ping zvýšil zo 16ms na 1s. :D Žiaľ, nedá si pokoj a býva dosť ďaleko na to aby som mu to mohol vysvetliť osobne že sa nepatrí zhadzovať cudzie servery. Preto premýšľam ako sa brániť. Iptables nevyužívam ale pôjdem nejaké manuálny naštudovať. Je tu ešte nejaká možnosť? :)

iptables je nejlepší řešení. Cokoliv jiného je daleko náročnější a tedy i náchylnější ke shození.

Jednoduché řešení pro iptables:
Kód: [Vybrat]
iptables -t filter -N SynFlood
iptables -t filter -A SynFlood -p tcp ! --syn -j DROP
iptables -t filter -A SynFlood -p tcp --tcp-flags SYN,FIN SYN,FIN -j DROP
iptables -t filter -A SynFlood -m limit --limit 50/s --limit-burst 250 -j RETURN
iptables -t filter -A SynFlood -p tcp -j REJECT --reject-with tcp-reset
iptables -t filter -A INPUT -p tcp -m state --state NEW -j SynFlood

Hodnoty 50/s a 250 burst mohou být moc velké, pokud máte pomalejší server, případně můžete udělat ochranu odděleně pro HTTP a pro ostatní porty.

50/s - 250 znamená max. 250 načítaní za 50 sekúnd? Alebo čo vlastne? (prepáčte som rookie  :) )

P

Re: Ochrana Apache před přetížením
« Odpověď #10 kdy: 22. 04. 2011, 13:01:24 »
bohuzel toto reseni, ti hodi vsechny do jednoho pytle :(

Re: Ochrana Apache před přetížením
« Odpověď #11 kdy: 22. 04. 2011, 13:05:59 »
A potom ešte jedna otázočka ohľadom Iptables, ako to zruším ak to nebude "pracovať" korektne?

P


Re: Ochrana Apache před přetížením
« Odpověď #13 kdy: 22. 04. 2011, 13:19:25 »
http://www.root.cz/serialy/vse-o-iptables/

komplikejšn, to nedočítam ani do rána a že by som s toho niečo pochopil to už vôbec  ;D

Re: Ochrana Apache před přetížením
« Odpověď #14 kdy: 22. 04. 2011, 13:33:22 »
chalani takto :D do firewallu som pomocou tej jednoduchej srandy nazývanej webmin vložil toto

Odmietnuť, Ak priepustnosť je menšia než 50/second a paketov v dávke je menej ako 250

pomôže to, nemôže sa stať že sa nepodarí pripojiť ani mne? .. :)