Привет.
Второй день на сервер валяться тысячи запросов GET (Apache/1.3.34) сервер грузиться до 60 процентов успеваю зафильтровать ipfw очевидные ip. используют судя по всему соксы.
Все время так продолжаться не может.
Подскажите как можно решить эту проблемму.Заранее благодарен.
Попробуйте поднастроить параметры
StartServers, MinSpareServers, MaxSpareServers, MaxClients, MaxRequestsPerChild в конфиге апача, возможно загрузка проца снизится.
Если фильтруемые вами адреса относятся к одним провайдерским сетям, то лучше сразу запрещайте всю сеть. Также можете закрыть сети класса A, для которых не распределены IP-адреса, то есть используются кем угодно и не с благими целями. Это диапазоны 128-188;223-255. Также можно закрыть сеть 211.0/8 - за исключением одной австралийской подсетки в этом диапазоне остальные - Корея и близлежащие страны, из которых нередко вредят.
>Попробуйте поднастроить параметры
>StartServers, MinSpareServers, MaxSpareServers, MaxClients, MaxRequestsPerChild в конфиге апача, возможно загрузка проца снизится.
>
>Если фильтруемые вами адреса относятся к одним провайдерским сетям, то лучше сразу
>запрещайте всю сеть. Также можете закрыть сети класса A, для которых
>не распределены IP-адреса, то есть используются кем угодно и не с
>благими целями. Это диапазоны 128-188;223-255. Также можно закрыть сеть 211.0/8 -
>за исключением одной австралийской подсетки в этом диапазоне остальные - Корея
>и близлежащие страны, из которых нередко вредят.
Вот такой лог за ноч по фаервлу. Записи туда сейчас добавляються автоматически по ряду признаков.ipfw show
00010 10617 509616 deny ip from 213.113.225.102 to any
00010 19704 945792 deny ip from 220.120.30.239 to any
00010 4746 227808 deny ip from 86.101.134.44 to any
00010 0 0 deny ip from 70.141.10.161 to any
00010 9774 469152 deny ip from 69.122.134.168 to any
00010 0 0 deny ip from 84.60.27.12 to any
00010 6 288 deny ip from 65.167.93.29 to any
00010 11021 705344 deny ip from 81.233.41.86 to any
00010 18623 880478 deny ip from 69.209.170.20 to any
00010 11712 562176 deny ip from 69.177.230.12 to any
00010 1809 290592 deny ip from 84.165.62.187 to any
00010 12289 589872 deny ip from 84.122.126.48 to any
00010 47259 2268432 deny ip from 82.93.101.238 to any
00010 23020 1104960 deny ip from 69.237.69.148 to any
00010 2664 127872 deny ip from 201.58.18.216 to any
00010 0 0 deny ip from 84.67.219.155 to any
00010 148 7104 deny ip from 81.36.104.28 to any
00010 0 0 deny ip from 84.64.99.115 to any
00010 0 0 deny ip from 84.64.175.238 to any
00010 6580 315840 deny ip from 82.236.128.209 to any
00010 19229 922992 deny ip from 65.173.59.108 to any
00010 0 0 deny ip from 66.217.107.174 to any
00010 0 0 deny ip from 82.54.148.71 to any
00010 0 0 deny ip from 84.67.134.222 to any
00010 0 0 deny ip from 68.40.112.20 to any
00010 1109 48848 deny ip from 81.29.36.127 to any
00010 3908 216512 deny ip from 88.155.210.28 to any
00010 0 0 deny ip from 80.121.34.198 to any
00010 0 0 deny ip from 70.232.161.42 to any
00010 861 41328 deny ip from 66.217.108.119 to any
00010 0 0 deny ip from 88.153.120.30 to any
00010 12198 585504 deny ip from 68.98.186.223 to any
00010 8272 529408 deny ip from 65.5.252.178 to any
00010 4572 219456 deny ip from 216.171.152.190 to any
00010 0 0 deny ip from 208.20.204.5 to any
00010 0 0 deny ip from 70.249.147.176 to any
00010 0 0 deny ip from 201.250.55.111 to any
00010 1167 60684 deny ip from 83.244.83.185 to any
00010 13881 666288 deny ip from 66.227.165.113 to any
00010 0 0 deny ip from 87.5.154.77 to any
00010 0 0 deny ip from 81.183.168.214 to any
00010 10587 635220 deny ip from 67.161.127.228 to any
00010 0 0 deny ip from 200.121.148.106 to any
00010 6480 311040 deny ip from 69.219.15.30 to any
00010 0 0 deny ip from 80.121.52.126 to any
00010 0 0 deny ip from 84.0.143.51 to any
00010 0 0 deny ip from 84.67.58.18 to any
00010 0 0 deny ip from 84.2.206.18 to any
00010 0 0 deny ip from 80.121.18.14 to any
00010 4963 235640 deny ip from 83.165.222.53 to any
00010 5335 577208 deny ip from 70.57.101.35 to any
00010 8446 470252 deny ip from 196.202.71.120 to any
00010 5 952 deny ip from 84.66.212.28 to any
00010 0 0 deny ip from 80.121.15.142 to any
00010 1659 194004 deny ip from 84.65.37.160 to any
00010 8702 419752 deny ip from 86.143.176.40 to any
00010 9058 457872 deny ip from 67.170.202.19 to any
00010 0 0 deny ip from 70.141.9.22 to any
00010 1066 97496 deny ip from 80.121.32.165 to any
00010 564 75800 deny ip from 70.141.12.150 to any
00010 29 3560 deny ip from 81.77.181.196 to any
00010 13295 614032 deny ip from 211.30.241.144 to any
00010 17869 1115764 deny ip from 68.72.25.192 to any
00010 19069 986040 deny ip from 70.82.62.100 to any
00010 4021 326836 deny ip from 62.139.87.30 to any
00010 0 0 deny ip from 80.121.7.221 to any
00010 23 3272 deny ip from 59.161.15.5 to any
00010 3745 318024 deny ip from 70.28.13.136 to any
00010 9586 533160 deny ip from 66.217.108.85 to any
00010 1943 98976 deny ip from 71.162.136.30 to any
00010 18131 870288 deny ip from 69.15.226.97 to any
00010 27665 1327920 deny ip from 70.137.198.165 to any
00010 15789 760568 deny ip from 24.144.213.183 to any
00010 6358 408552 deny ip from 172.146.4.120 to any
00010 9037 492100 deny ip from 201.154.91.101 to any
00010 16828 856952 deny ip from 24.52.56.188 to any
00010 17217 842364 deny ip from 80.53.177.66 to any
00010 8409 460404 deny ip from 81.10.123.176 to any
00010 7706 516744 deny ip from 82.201.218.126 to any
00010 3909 307920 deny ip from 195.56.30.238 to any
00010 9470 500552 deny ip from 88.155.198.54 to any
00010 6125 421672 deny ip from 84.64.101.115 to any
00010 19748 1019864 deny ip from 69.172.176.238 to any
00010 3626 178512 deny ip from 67.189.55.92 to any
00010 18957 999832 deny ip from 24.127.51.97 to any
00010 5783 425872 deny ip from 59.161.13.18 to any
00010 10447 640488 deny ip from 172.156.222.138 to any
00010 8760 434392 deny ip from 69.249.199.128 to any
00010 394 18912 deny ip from 81.198.53.184 to any
00010 5299 279537 deny ip from 201.230.135.44 to any
00010 7312 496136 deny ip from 83.219.139.170 to any
00010 9320 476112 deny ip from 220.124.246.106 to any
00010 3978 300884 deny ip from 216.233.99.23 to any
00010 5082 246104 deny ip from 62.167.84.185 to any
00010 5037 367024 deny ip from 81.76.115.11 to any
00010 5402 259296 deny ip from 84.74.146.103 to any
00010 15278 1896377 deny ip from 202.146.243.179 to any
00010 10761 570792 deny ip from 24.15.235.72 to any
00010 3595 189064 deny ip from 221.215.191.161 to any
00010 6545 375624 deny ip from 24.6.16.235 to any
00010 3779 167136 deny ip from 80.196.118.90 to any
00010 61 2480 deny ip from 68.82.222.240 to any
00010 2002 198536 deny ip from 84.2.109.2 to any
00010 27 1152 deny ip from 59.115.199.207 to any
00010 12124 699584 deny ip from 71.103.236.199 to any
00010 27360 1278642 deny ip from 65.69.66.177 to any
00010 5085 244080 deny ip from 71.126.41.10 to any
00010 1373 108464 deny ip from 67.67.163.245 to any
00010 7944 484068 deny ip from 221.133.12.89 to any
00010 4611 243128 deny ip from 69.222.151.176 to any
00010 4059 183824 deny ip from 67.64.252.115 to any
00010 2011 204112 deny ip from 69.231.130.48 to any
00010 7661 456712 deny ip from 60.31.234.236 to any
00010 10541 649468 deny ip from 82.201.218.35 to any
00010 8373 397424 deny ip from 210.72.218.92 to any
00010 5752 416512 deny ip from 59.161.13.34 to any
00010 5954 313856 deny ip from 60.209.101.79 to any
00010 9895 561216 deny ip from 218.155.122.92 to any
00010 2157 138048 deny ip from 68.18.106.191 to any
00010 4580 249232 deny ip from 200.121.82.47 to any
00010 1076 90887 deny ip from 69.209.22.125 to any
00010 5164 258632 deny ip from 210.116.143.15 to any
00010 1602 140592 deny ip from 12.218.159.92 to any
00010 11965 637856 deny ip from 71.137.253.168 to any
00010 15044 870642 deny ip from 205.241.38.202 to any
00010 4073 209028 deny ip from 70.174.29.224 to any
00010 7573 501900 deny ip from 65.4.224.122 to any
00010 17238 922032 deny ip from 82.216.3.211 to any
00010 44285 2260464 deny ip from 202.83.61.130 to any
00010 2982 143096 deny ip from 69.205.52.14 to any
00010 19728 982048 deny ip from 70.137.199.95 to any
00010 13061 605608 deny ip from 203.210.243.177 to any
00010 1196 138820 deny ip from 220.226.49.110 to any
00010 0 0 deny ip from 60.209.103.27 to any
00010 2056 158428 deny ip from 71.105.251.187 to any
00010 5893 286496 deny ip from 24.237.214.157 to any
00010 8726 617056 deny ip from 218.148.54.7 to any
00010 898 74880 deny ip from 85.206.235.180 to any
00010 9653 463344 deny ip from 71.140.88.75 to any
00010 7869 446048 deny ip from 211.221.141.194 to any
00010 2385 178488 deny ip from 125.184.94.171 to any
00010 3209 158640 deny ip from 59.161.11.173 to any
00010 363 61952 deny ip from 80.13.100.91 to any
00010 25413 1362612 deny ip from 59.21.108.105 to any
00010 640 76060 deny ip from 80.13.100.123 to any
00010 3935 235944 deny ip from 81.169.237.94 to any
00010 809 65512 deny ip from 80.13.100.130 to any
00010 2579 233728 deny ip from 219.64.170.83 to any
00010 49777 3210832 deny ip from 80.179.244.99 to any
00010 8292 509244 deny ip from 59.144.66.237 to any
00010 73 4088 deny ip from 80.13.100.160 to any
00010 0 0 deny ip from 80.13.100.135 to any
00010 0 0 deny ip from 80.13.100.239 to any
00010 1749 99800 deny ip from 213.3.58.3 to any
00010 9524 553588 deny ip from 219.159.52.252 to any
00010 4266 293184 deny ip from 211.204.6.84 to any
00010 1451 195888 deny ip from 81.182.79.216 to any
00010 494 44032 deny ip from 80.13.100.76 to any
00010 5166 238596 deny ip from 211.204.6.139 to any
00010 2083 246588 deny ip from 81.182.206.185 to any
00010 5109 285208 deny ip from 80.188.34.42 to any
00010 1765 225784 deny ip from 81.182.206.36 to any
00010 5108 252168 deny ip from 211.204.6.105 to any
00010 1269 146720 deny ip from 83.176.2.83 to any
00010 3404 163384 deny ip from 151.41.195.145 to any
00010 3720 245952 deny ip from 83.176.126.113 to any
00010 6248 343928 deny ip from 221.0.142.205 to any
00010 1273 188840 deny ip from 81.182.206.60 to any
00010 1276 187424 deny ip from 81.182.206.240 to any
00010 6364 364352 deny ip from 83.135.83.226 to any
00010 1669 237796 deny ip from 81.182.206.58 to any
00010 927 106936 deny ip from 84.2.121.46 to any
00010 4990 308540 deny ip from 61.77.64.33 to any
00010 4327 337448 deny ip from 59.161.8.252 to any
00010 1486 71688 deny ip from 84.77.162.168 to any
00010 1267 158796 deny ip from 81.182.79.160 to any
00010 9120 448432 deny ip from 88.155.51.66 to any
00010 757 36288 deny ip from 59.115.219.44 to any
00010 0 0 deny ip from 83.135.95.177 to any
00010 2368 177468 deny ip from 211.178.12.108 to any
00010 3005 151768 deny ip from 61.206.75.140 to any
00010 3182 216064 deny ip from 69.231.118.163 to any
00010 2376 179960 deny ip from 218.147.195.72 to any
00010 2459 197080 deny ip from 80.137.180.248 to any
00010 376 46264 deny ip from 59.115.216.150 to any
00010 2261 149360 deny ip from 59.115.207.203 to any
00010 9824 649300 deny ip from 218.148.21.119 to any
00010 0 0 deny ip from 84.2.167.111 to any
00010 903 158932 deny ip from 81.199.166.65 to any
00010 4578 309016 deny ip from 201.40.91.2 to any
00010 3720 280600 deny ip from 59.182.22.125 to any
00010 3916 308944 deny ip from 72.139.95.169 to any
00010 7 1408 deny ip from 83.77.228.240 to any
00010 1417 170276 deny ip from 59.182.32.39 to any
>Второй день на сервер валяться тысячи запросов GET (Apache/1.3.34) сервер грузиться до
>60 процентов успеваю зафильтровать ipfw очевидные ip. используют судя по всему
>соксы.
>Все время так продолжаться не может.
>Подскажите как можно решить эту проблемму.Если дешево и быстро, то
рутер с дискетным linux-ом перед http-сервером
iptables -m recent ...Если нет свободных адресов, то dnat на рутере.
Если нет возможности всегда иметь рутер перед http-сервером,
то (imho) лучше заменить freebsd на linux на самом сервере.
2DAI
>Подскажите как можно решить эту проблемму.
Попробуйте так:
ipfw add allow tcp from any to me 80 limit src-port 5 versrcreach # не более 5 соединений на порт, обратный адрес должен быть достижим.
Можете подумать о замене ipfw на pf, там более гибкие настройки, если у Вас FreeBSD>5.4, то ненадо даже ядро обновлять.
То что Жека написал, сделали?2vt
>Если нет возможности всегда иметь рутер перед http-сервером,
>то (imho) лучше заменить freebsd на linux на самом сервере.
И что это даст? Аргументируйте, если есть чем.
>2DAI
>>Подскажите как можно решить эту проблемму.
>Попробуйте так:
>ipfw add allow tcp from any to me 80 limit src-port 5
>versrcreach # не более 5 соединений на порт, обратный адрес должен
>быть достижим.
>Можете подумать о замене ipfw на pf, там более гибкие настройки, если у Вас FreeBSD>5.4, то ненадо даже ядро обновлять.
>То что Жека написал, сделали?
>
>2vt
>>Если нет возможности всегда иметь рутер перед http-сервером,
>>то (imho) лучше заменить freebsd на linux на самом сервере.
>И что это даст? Аргументируйте, если есть чем.Спасибо, попробую. Сейчас полегче стало, вроде как отстали, поэтому не попробовать на практике к сожалению=))
Если я все правильно понял, то этим правилом я запрещаю более 5 соединений с одного ip на 80 порт?
И что значит "обратный адрес должен быть достижим"Спасибо.
>И что это даст? Аргументируйте, если есть чем.
Звучит вызывающе - попробую )
1. "-m recent" сильно отличается по смыслу от "from any"
2. syncookies
3. ECN
4. IMHO )
>2DAI
>>Подскажите как можно решить эту проблемму.
>Попробуйте так:
>ipfw add allow tcp from any to me 80 limit src-port 5
>versrcreach # не более 5 соединений на порт, обратный адрес должен
>быть достижим.
>Можете подумать о замене ipfw на pf, там более гибкие настройки, если у Вас FreeBSD>5.4, то ненадо даже ядро обновлять.
>То что Жека написал, сделали?
>
>2vt
>>Если нет возможности всегда иметь рутер перед http-сервером,
>>то (imho) лучше заменить freebsd на linux на самом сервере.
>И что это даст? Аргументируйте, если есть чем.
Сделал вот так
allow tcp from any to me dst-port 80 limit src-addr 5
Я не очень понял зачем "обратный адрес должен быть достижим" это такая защита от подмены IP ?
>Привет.
>Второй день на сервер валяться тысячи запросов GET (Apache/1.3.34) сервер грузиться до
>60 процентов успеваю зафильтровать ipfw очевидные ip. используют судя по всему
>соксы.
>Все время так продолжаться не может.
>Подскажите как можно решить эту проблемму.
>
>Заранее благодарен.
ммм
может конечно не совсем в тему - но всё же...
почему не поставить снорта с гвардианом?
будет немного легче (наверное), если снова навалятся