Итак, система FreeBSD 6.2 + Squid 2.5.14Stable + ipfw
Настроено прозрачное проксирование.
Недавно обнаружил, что прокся пытается съесть чуть ли не всё wcpu time. Стал разбираться в чём дело, и в логах обнаружил вот такое.1196690889.104 59129 172.16.2.64 TCP_MISS/500 1405 GET http://august4u.ru/secretdesires - DIRECT/84.19.185.16 text/html
1196690889.104 59233 172.16.2.64 TCP_MISS/500 1405 GET http://august4u.ru/secretdesires - DIRECT/84.19.185.16 text/html
1196690889.104 59233 172.16.2.64 TCP_MISS/500 1405 GET http://august4u.ru/secretdesires - DIRECT/84.19.185.16 text/htmlСообщения запросов от одного юзера повторяются бесконечное множество раз. Ясно, что у пользователя вирус, делающий dos атаку на сервак, а сквид видать forkает каждую новую сессию. Вопрос, как можно решить эту проблему средствами самого сквида или же файрвола?
Способ отключать пользователей вручную до выяснения обстоятельств не представляется возможным.Не хватает знаний определить тип этой атаки...является ли она SYN или ещё чем-то. Буду очень признателен, если кто-то хотя б даст направление куда копать.
Можно ли как-то ограничивать колличество сессий на ip?
hashlimit ищи аналог в фряхе...
>Можно ли как-то ограничивать колличество сессий на ip?В сквиде да можно, читай тэг maxconn http://www.visolve.com/squid/squid24s1/access_controls.php
>В сквиде да можно, читай тэг maxconnСделал вот такое
acl students src 172.16.0.0/255.255.0.0
acl limit maxconn 20
http_reply_access deny students limit
http_reply_access allow students
Запросы флудера теперь выглядят вот так4 172.16.2.4 TCP_NEGATIVE_HIT/404 353 GET http://august4u.ru/secretdesires -NONE/ -text/html
Но что странно, во фремя флуда процессорное время всё также жрётся сквидом чрезмерно. К тому же подозрительно упала загрузка канала в то время, когда обычно она близка к 100%(конфигурацию пулов не менял).