URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID10
Нить номер: 2851
[ Назад ]

Исходное сообщение
"Как можно отсекать DoS"

Отправлено Артур , 13-Авг-06 14:26 
Есть  колокейшен у  которого наружу для  публичного доступа открыт только 80 порт,  и  этот  порт  регулярно с разных IP  досят. Пока это не составляет проблем. Как грамотно отсеивать таких товарищей. Насколько я понимаю, то их  надо  отсеивать с нашей циски, но тогда это будет нагружать циску. В общем где и как с такими товарищами нужно боротся.  

Содержание

Сообщения в этом обсуждении
"Как можно отсекать DoS"
Отправлено Vaso Petrovich , 14-Авг-06 08:37 
лучше сразу бригаду на крузаках высылать к таким товарищам

"Как можно отсекать DoS"
Отправлено Al_Nightmare , 14-Авг-06 11:11 
попробуй Short или portsentry


"Как можно отсекать DoS"
Отправлено Артур , 14-Авг-06 11:39 
>попробуй Short или portsentry
portsentry  не  подходит   так   как  у  нас  и  так  наружу  открыт только 80 порт. Всё  остальное  закрыто  на циске.

"Как можно отсекать DoS"
Отправлено Romik , 29-Авг-06 13:06 
>Есть  колокейшен у  которого наружу для  публичного доступа открыт
>только 80 порт,  и  этот  порт  регулярно
>с разных IP  досят. Пока это не составляет проблем. Как
>грамотно отсеивать таких товарищей. Насколько я понимаю, то их  надо
> отсеивать с нашей циски, но тогда это будет нагружать циску.
>В общем где и как с такими товарищами нужно боротся.

Грубо с помощью iptables ограничить максимальное количество сессий n штуками, остальные дропать.
Решение не совсем хорошее - спасет сервер, но нормальные пользователи все же не смогут нормально работать. Хотя зависит от ситуации конкретной.


"Как можно отсекать DoS"
Отправлено T1000 , 11-Дек-06 10:36 
подними на циске CBAC.


"Как можно отсекать DoS"
Отправлено Resident , 16-Дек-06 00:56 
А можно я одну глупую вешь скажу? :)

Глупую, но провереную. :) ДоС пионерский? То есть, если обычный син-дос, то ни чего лучше чем син-куки пока не придумали, не важно как вы относитесь к линуксу или солярису, но син-куки решает на корню одну очень важную проблему с пионерами. Дальше: дос всё ещё пионерский, но уже не бестолковый син. Решение просто ужасно простое: шэйп син пакетов, срежте их, ну скажем, до 250-ти в секунду с одного хоста и уже будет легче (не уверен насчет цифры, но можно поэкспериментировать с цифрой, так что бы это на честных пользователях не отражалось), дальше идёт mod_accel с проходом на прямую к динамическому контенту и кэшем на картинки. Дальше по ситуации, чего не хватает-то что бы переварить дос, как пример, может железа не хватает или апач больше 2к соединений не принимает? Имхо с этой позиции надо начинать решение проблемы доса. Может это не негодяи с досом а всего-лишь сетка за натом в количестве 5к пользователей, в форуме которой запостили линк на один очень смешной ресурс на вашем сервере и они все вечером кликнули на линк?

ЗЫ. не бойтесь грузить циску, она скажет когда ей плохо и тогда вы уже решите: расширяться и покупать что-нить более быстрое, а иожет даже и кластерное или лишаться каких-то фичерсов в безопасности и оставлять как есть, делать из гумна кофетку тоже хорошо, но всегда-ли оно стоит миллиардов сломанных мозговых клеток? (опять же имхо).