URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID10
Нить номер: 2599
[ Назад ]

Исходное сообщение
"DoS"

Отправлено DAI , 03-Мрт-06 00:00 
Привет.
Второй день на сервер валяться тысячи запросов GET (Apache/1.3.34) сервер грузиться до 60 процентов успеваю зафильтровать ipfw очевидные ip. используют судя по всему соксы.
Все время так продолжаться не может.
Подскажите как можно решить эту проблемму.

Заранее благодарен.


Содержание

Сообщения в этом обсуждении
"DoS"
Отправлено Жека , 03-Мрт-06 10:06 
Попробуйте поднастроить параметры
StartServers, MinSpareServers, MaxSpareServers, MaxClients, MaxRequestsPerChild в конфиге апача, возможно загрузка проца снизится.
Если фильтруемые вами адреса относятся к одним провайдерским сетям, то лучше сразу запрещайте всю сеть. Также можете закрыть сети класса A, для которых не распределены IP-адреса, то есть используются кем угодно и не с благими целями. Это диапазоны 128-188;223-255. Также можно закрыть сеть 211.0/8 - за исключением одной австралийской подсетки в этом диапазоне остальные - Корея и близлежащие страны, из которых нередко вредят.

"DoS"
Отправлено DAI , 03-Мрт-06 14:44 
>Попробуйте поднастроить параметры
>StartServers, MinSpareServers, MaxSpareServers, MaxClients, MaxRequestsPerChild в конфиге апача, возможно загрузка проца снизится.
>
>Если фильтруемые вами адреса относятся к одним провайдерским сетям, то лучше сразу
>запрещайте всю сеть. Также можете закрыть сети класса A, для которых
>не распределены IP-адреса, то есть используются кем угодно и не с
>благими целями. Это диапазоны 128-188;223-255. Также можно закрыть сеть 211.0/8 -
>за исключением одной австралийской подсетки в этом диапазоне остальные - Корея
>и близлежащие страны, из которых нередко вредят.


Вот такой лог за ноч по фаервлу. Записи туда сейчас добавляються автоматически по ряду признаков.

ipfw show
00010    10617     509616 deny ip from 213.113.225.102 to any
00010    19704     945792 deny ip from 220.120.30.239 to any
00010     4746     227808 deny ip from 86.101.134.44 to any
00010        0          0 deny ip from 70.141.10.161 to any
00010     9774     469152 deny ip from 69.122.134.168 to any
00010        0          0 deny ip from 84.60.27.12 to any
00010        6        288 deny ip from 65.167.93.29 to any
00010    11021     705344 deny ip from 81.233.41.86 to any
00010    18623     880478 deny ip from 69.209.170.20 to any
00010    11712     562176 deny ip from 69.177.230.12 to any
00010     1809     290592 deny ip from 84.165.62.187 to any
00010    12289     589872 deny ip from 84.122.126.48 to any
00010    47259    2268432 deny ip from 82.93.101.238 to any
00010    23020    1104960 deny ip from 69.237.69.148 to any
00010     2664     127872 deny ip from 201.58.18.216 to any
00010        0          0 deny ip from 84.67.219.155 to any
00010      148       7104 deny ip from 81.36.104.28 to any
00010        0          0 deny ip from 84.64.99.115 to any
00010        0          0 deny ip from 84.64.175.238 to any
00010     6580     315840 deny ip from 82.236.128.209 to any
00010    19229     922992 deny ip from 65.173.59.108 to any
00010        0          0 deny ip from 66.217.107.174 to any
00010        0          0 deny ip from 82.54.148.71 to any
00010        0          0 deny ip from 84.67.134.222 to any
00010        0          0 deny ip from 68.40.112.20 to any
00010     1109      48848 deny ip from 81.29.36.127 to any
00010     3908     216512 deny ip from 88.155.210.28 to any
00010        0          0 deny ip from 80.121.34.198 to any
00010        0          0 deny ip from 70.232.161.42 to any
00010      861      41328 deny ip from 66.217.108.119 to any
00010        0          0 deny ip from 88.153.120.30 to any
00010    12198     585504 deny ip from 68.98.186.223 to any
00010     8272     529408 deny ip from 65.5.252.178 to any
00010     4572     219456 deny ip from 216.171.152.190 to any
00010        0          0 deny ip from 208.20.204.5 to any
00010        0          0 deny ip from 70.249.147.176 to any
00010        0          0 deny ip from 201.250.55.111 to any
00010     1167      60684 deny ip from 83.244.83.185 to any
00010    13881     666288 deny ip from 66.227.165.113 to any
00010        0          0 deny ip from 87.5.154.77 to any
00010        0          0 deny ip from 81.183.168.214 to any
00010    10587     635220 deny ip from 67.161.127.228 to any
00010        0          0 deny ip from 200.121.148.106 to any
00010     6480     311040 deny ip from 69.219.15.30 to any
00010        0          0 deny ip from 80.121.52.126 to any
00010        0          0 deny ip from 84.0.143.51 to any
00010        0          0 deny ip from 84.67.58.18 to any
00010        0          0 deny ip from 84.2.206.18 to any
00010        0          0 deny ip from 80.121.18.14 to any
00010     4963     235640 deny ip from 83.165.222.53 to any
00010     5335     577208 deny ip from 70.57.101.35 to any
00010     8446     470252 deny ip from 196.202.71.120 to any
00010        5        952 deny ip from 84.66.212.28 to any
00010        0          0 deny ip from 80.121.15.142 to any
00010     1659     194004 deny ip from 84.65.37.160 to any
00010     8702     419752 deny ip from 86.143.176.40 to any
00010     9058     457872 deny ip from 67.170.202.19 to any
00010        0          0 deny ip from 70.141.9.22 to any
00010     1066      97496 deny ip from 80.121.32.165 to any
00010      564      75800 deny ip from 70.141.12.150 to any
00010       29       3560 deny ip from 81.77.181.196 to any
00010    13295     614032 deny ip from 211.30.241.144 to any
00010    17869    1115764 deny ip from 68.72.25.192 to any
00010    19069     986040 deny ip from 70.82.62.100 to any
00010     4021     326836 deny ip from 62.139.87.30 to any
00010        0          0 deny ip from 80.121.7.221 to any
00010       23       3272 deny ip from 59.161.15.5 to any
00010     3745     318024 deny ip from 70.28.13.136 to any
00010     9586     533160 deny ip from 66.217.108.85 to any
00010     1943      98976 deny ip from 71.162.136.30 to any
00010    18131     870288 deny ip from 69.15.226.97 to any
00010    27665    1327920 deny ip from 70.137.198.165 to any
00010    15789     760568 deny ip from 24.144.213.183 to any
00010     6358     408552 deny ip from 172.146.4.120 to any
00010     9037     492100 deny ip from 201.154.91.101 to any
00010    16828     856952 deny ip from 24.52.56.188 to any
00010    17217     842364 deny ip from 80.53.177.66 to any
00010     8409     460404 deny ip from 81.10.123.176 to any
00010     7706     516744 deny ip from 82.201.218.126 to any
00010     3909     307920 deny ip from 195.56.30.238 to any
00010     9470     500552 deny ip from 88.155.198.54 to any
00010     6125     421672 deny ip from 84.64.101.115 to any
00010    19748    1019864 deny ip from 69.172.176.238 to any
00010     3626     178512 deny ip from 67.189.55.92 to any
00010    18957     999832 deny ip from 24.127.51.97 to any
00010     5783     425872 deny ip from 59.161.13.18 to any
00010    10447     640488 deny ip from 172.156.222.138 to any
00010     8760     434392 deny ip from 69.249.199.128 to any
00010      394      18912 deny ip from 81.198.53.184 to any
00010     5299     279537 deny ip from 201.230.135.44 to any
00010     7312     496136 deny ip from 83.219.139.170 to any
00010     9320     476112 deny ip from 220.124.246.106 to any
00010     3978     300884 deny ip from 216.233.99.23 to any
00010     5082     246104 deny ip from 62.167.84.185 to any
00010     5037     367024 deny ip from 81.76.115.11 to any
00010     5402     259296 deny ip from 84.74.146.103 to any
00010    15278    1896377 deny ip from 202.146.243.179 to any
00010    10761     570792 deny ip from 24.15.235.72 to any
00010     3595     189064 deny ip from 221.215.191.161 to any
00010     6545     375624 deny ip from 24.6.16.235 to any
00010     3779     167136 deny ip from 80.196.118.90 to any
00010       61       2480 deny ip from 68.82.222.240 to any
00010     2002     198536 deny ip from 84.2.109.2 to any
00010       27       1152 deny ip from 59.115.199.207 to any
00010    12124     699584 deny ip from 71.103.236.199 to any
00010    27360    1278642 deny ip from 65.69.66.177 to any
00010     5085     244080 deny ip from 71.126.41.10 to any
00010     1373     108464 deny ip from 67.67.163.245 to any
00010     7944     484068 deny ip from 221.133.12.89 to any
00010     4611     243128 deny ip from 69.222.151.176 to any
00010     4059     183824 deny ip from 67.64.252.115 to any
00010     2011     204112 deny ip from 69.231.130.48 to any
00010     7661     456712 deny ip from 60.31.234.236 to any
00010    10541     649468 deny ip from 82.201.218.35 to any
00010     8373     397424 deny ip from 210.72.218.92 to any
00010     5752     416512 deny ip from 59.161.13.34 to any
00010     5954     313856 deny ip from 60.209.101.79 to any
00010     9895     561216 deny ip from 218.155.122.92 to any
00010     2157     138048 deny ip from 68.18.106.191 to any
00010     4580     249232 deny ip from 200.121.82.47 to any
00010     1076      90887 deny ip from 69.209.22.125 to any
00010     5164     258632 deny ip from 210.116.143.15 to any
00010     1602     140592 deny ip from 12.218.159.92 to any
00010    11965     637856 deny ip from 71.137.253.168 to any
00010    15044     870642 deny ip from 205.241.38.202 to any
00010     4073     209028 deny ip from 70.174.29.224 to any
00010     7573     501900 deny ip from 65.4.224.122 to any
00010    17238     922032 deny ip from 82.216.3.211 to any
00010    44285    2260464 deny ip from 202.83.61.130 to any
00010     2982     143096 deny ip from 69.205.52.14 to any
00010    19728     982048 deny ip from 70.137.199.95 to any
00010    13061     605608 deny ip from 203.210.243.177 to any
00010     1196     138820 deny ip from 220.226.49.110 to any
00010        0          0 deny ip from 60.209.103.27 to any
00010     2056     158428 deny ip from 71.105.251.187 to any
00010     5893     286496 deny ip from 24.237.214.157 to any
00010     8726     617056 deny ip from 218.148.54.7 to any
00010      898      74880 deny ip from 85.206.235.180 to any
00010     9653     463344 deny ip from 71.140.88.75 to any
00010     7869     446048 deny ip from 211.221.141.194 to any
00010     2385     178488 deny ip from 125.184.94.171 to any
00010     3209     158640 deny ip from 59.161.11.173 to any
00010      363      61952 deny ip from 80.13.100.91 to any
00010    25413    1362612 deny ip from 59.21.108.105 to any
00010      640      76060 deny ip from 80.13.100.123 to any
00010     3935     235944 deny ip from 81.169.237.94 to any
00010      809      65512 deny ip from 80.13.100.130 to any
00010     2579     233728 deny ip from 219.64.170.83 to any
00010    49777    3210832 deny ip from 80.179.244.99 to any
00010     8292     509244 deny ip from 59.144.66.237 to any
00010       73       4088 deny ip from 80.13.100.160 to any
00010        0          0 deny ip from 80.13.100.135 to any
00010        0          0 deny ip from 80.13.100.239 to any
00010     1749      99800 deny ip from 213.3.58.3 to any
00010     9524     553588 deny ip from 219.159.52.252 to any
00010     4266     293184 deny ip from 211.204.6.84 to any
00010     1451     195888 deny ip from 81.182.79.216 to any
00010      494      44032 deny ip from 80.13.100.76 to any
00010     5166     238596 deny ip from 211.204.6.139 to any
00010     2083     246588 deny ip from 81.182.206.185 to any
00010     5109     285208 deny ip from 80.188.34.42 to any
00010     1765     225784 deny ip from 81.182.206.36 to any
00010     5108     252168 deny ip from 211.204.6.105 to any
00010     1269     146720 deny ip from 83.176.2.83 to any
00010     3404     163384 deny ip from 151.41.195.145 to any
00010     3720     245952 deny ip from 83.176.126.113 to any
00010     6248     343928 deny ip from 221.0.142.205 to any
00010     1273     188840 deny ip from 81.182.206.60 to any
00010     1276     187424 deny ip from 81.182.206.240 to any
00010     6364     364352 deny ip from 83.135.83.226 to any
00010     1669     237796 deny ip from 81.182.206.58 to any
00010      927     106936 deny ip from 84.2.121.46 to any
00010     4990     308540 deny ip from 61.77.64.33 to any
00010     4327     337448 deny ip from 59.161.8.252 to any
00010     1486      71688 deny ip from 84.77.162.168 to any
00010     1267     158796 deny ip from 81.182.79.160 to any
00010     9120     448432 deny ip from 88.155.51.66 to any
00010      757      36288 deny ip from 59.115.219.44 to any
00010        0          0 deny ip from 83.135.95.177 to any
00010     2368     177468 deny ip from 211.178.12.108 to any
00010     3005     151768 deny ip from 61.206.75.140 to any
00010     3182     216064 deny ip from 69.231.118.163 to any
00010     2376     179960 deny ip from 218.147.195.72 to any
00010     2459     197080 deny ip from 80.137.180.248 to any
00010      376      46264 deny ip from 59.115.216.150 to any
00010     2261     149360 deny ip from 59.115.207.203 to any
00010     9824     649300 deny ip from 218.148.21.119 to any
00010        0          0 deny ip from 84.2.167.111 to any
00010      903     158932 deny ip from 81.199.166.65 to any
00010     4578     309016 deny ip from 201.40.91.2 to any
00010     3720     280600 deny ip from 59.182.22.125 to any
00010     3916     308944 deny ip from 72.139.95.169 to any
00010        7       1408 deny ip from 83.77.228.240 to any
00010     1417     170276 deny ip from 59.182.32.39 to any



"DoS"
Отправлено vt , 03-Мрт-06 16:51 
>Второй день на сервер валяться тысячи запросов GET (Apache/1.3.34) сервер грузиться до
>60 процентов успеваю зафильтровать ipfw очевидные ip. используют судя по всему
>соксы.
>Все время так продолжаться не может.
>Подскажите как можно решить эту проблемму.

Если дешево и быстро, то
рутер с дискетным linux-ом перед http-сервером
iptables -m recent ...

Если нет свободных адресов, то dnat на рутере.
Если нет возможности всегда иметь рутер перед http-сервером,
то (imho) лучше заменить freebsd на linux на самом сервере.


"DoS"
Отправлено idle , 10-Мрт-06 17:44 
2DAI
>Подскажите как можно решить эту проблемму.
Попробуйте так:
ipfw add allow tcp from any to me 80 limit src-port 5 versrcreach # не более 5 соединений на порт, обратный адрес должен быть достижим.
Можете подумать о замене ipfw на pf, там более гибкие настройки, если у Вас FreeBSD>5.4, то ненадо даже ядро обновлять.
То что Жека написал, сделали?

2vt
>Если нет возможности всегда иметь рутер перед http-сервером,
>то (imho) лучше заменить freebsd на linux на самом сервере.
И что это даст? Аргументируйте, если есть чем.


"DoS"
Отправлено DAI , 10-Мрт-06 18:58 
>2DAI
>>Подскажите как можно решить эту проблемму.
>Попробуйте так:
>ipfw add allow tcp from any to me 80 limit src-port 5
>versrcreach # не более 5 соединений на порт, обратный адрес должен
>быть достижим.
>Можете подумать о замене ipfw на pf, там более гибкие настройки, если у Вас FreeBSD>5.4, то ненадо даже ядро обновлять.
>То что Жека написал, сделали?
>
>2vt
>>Если нет возможности всегда иметь рутер перед http-сервером,
>>то (imho) лучше заменить freebsd на linux на самом сервере.
>И что это даст? Аргументируйте, если есть чем.

Спасибо, попробую. Сейчас полегче стало, вроде как отстали, поэтому не попробовать на практике к сожалению=))  
Если я все правильно понял, то этим правилом я запрещаю более 5 соединений с одного ip на 80 порт?
И что значит "обратный адрес должен быть достижим"

Спасибо.


"DoS"
Отправлено vt , 11-Мрт-06 15:20 
>И что это даст? Аргументируйте, если есть чем.
Звучит вызывающе - попробую )
1. "-m recent" сильно отличается по смыслу от "from any"
2. syncookies
3. ECN
4. IMHO )

"DoS"
Отправлено DAI , 24-Мрт-06 15:32 
>2DAI
>>Подскажите как можно решить эту проблемму.
>Попробуйте так:
>ipfw add allow tcp from any to me 80 limit src-port 5
>versrcreach # не более 5 соединений на порт, обратный адрес должен
>быть достижим.
>Можете подумать о замене ipfw на pf, там более гибкие настройки, если у Вас FreeBSD>5.4, то ненадо даже ядро обновлять.
>То что Жека написал, сделали?
>
>2vt
>>Если нет возможности всегда иметь рутер перед http-сервером,
>>то (imho) лучше заменить freebsd на linux на самом сервере.
>И что это даст? Аргументируйте, если есть чем.


Сделал вот так
allow tcp from any to me dst-port 80 limit src-addr 5
Я не очень понял зачем "обратный адрес должен быть достижим" это такая защита от подмены IP ?


"DoS"
Отправлено Arifolth , 21-Мрт-06 10:49 
>Привет.
>Второй день на сервер валяться тысячи запросов GET (Apache/1.3.34) сервер грузиться до
>60 процентов успеваю зафильтровать ipfw очевидные ip. используют судя по всему
>соксы.
>Все время так продолжаться не может.
>Подскажите как можно решить эту проблемму.
>
>Заранее благодарен.
ммм
может конечно не совсем в тему - но всё же...
почему не поставить снорта с гвардианом?
будет немного легче (наверное), если снова навалятся