forum.opennet.ru - "http-ddos" (2)

форумы

помощь

поиск

регистрация

майллист

ВХОД

слежка

"http-ddos"

Форумы Информационная безопасность (Public)
Вариант для распечатки		Пред. тема \| След. тема
Изначальное сообщение		[Проследить за развитием треда]

"http-ddos"
Сообщение от Alex (??) on 17-Июл-07, 06:23
подскажите возможное решение, идет запрос индексовой страницы, по нетстату следующая картинка Proto Recv-Q Send-Q Local Address Foreign Address (state) tcp4 0 500 cs480.http ESTABLISHED tcp4 0 500 cs480.http ESTABLISHED tcp4 0 500 cs480.http ESTABLISHED tcp4 0 500 cs480.http ESTABLISHED таких коннектов около 3000, увеличили сокет, буферы, уменьшен msl. как лучше всего блокировать на пфе такие запросы? стоит нджинкс с апачем, думаю о варианте помечать куками, дальше редиректить хидером и если куа стоит пускать на сайт, но как забанить ИП?
Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору

Оглавление

http-ddos, domas, 15:30 , 17-Июл-07, (1)

http-ddos, Alex, 18:25 , 17-Июл-07, (2)

Сообщения по теме [Сортировка по времени, UBB]

1. "http-ddos"

Сообщение от domas (??) on 17-Июл-07, 15:30

Я у себя вот так сделал.

table <http-dos> persist
pass in on fxp0 proto tcp to (fxp0) port http flags S/SA keep state \
    (max-src-conn 50, max-src-conn-rate 100/2, overload <http-dos> flush)
block in quick proto tcp from <http-dos> to (fxp0) port http
max-src-conn 50 - максимум 50 одновременных соединений от каждого источника
max-src-conn-rate 100/2 - максимум 100 соединений в течении 2 сек.
Если одно из выше перечисленных условий произошло, то ip отправляется в таблицу http-dos. Из этой таблицы все ip блокируются.
Потом по крону можно чистить:
*/5 * * * * /sbin/pfctl -t http-dos -Tf 2> /dev/null

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

2. "http-ddos"

Сообщение от Alex (??) on 17-Июл-07, 18:25

>Я у себя вот так сделал.
>
>max-src-conn 50 - максимум 50 одновременных соединений от каждого источника
>max-src-conn-rate 100/2 - максимум 100 соединений в течении 2 сек.
>Если одно из выше перечисленных условий произошло, то ip отправляется в таблицу
>http-dos. Из этой таблицы все ip блокируются.
>Потом по крону можно чистить:
>*/5 * * * * /sbin/pfctl -t http-dos -Tf 2> /dev/null
Попробуем сегодня, имеет ли смысл увеличивать эти параметры?
tcpcb:           444,    65538,  65534,      4,  1012079
socket:          324,    65544,  65544,      0,  1041230
забилось все примерно за час.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Индекс форумов | Темы | Пред. тема | След. тема

Оцените тред (1=ужас, 5=супер)? [ 1 | 2 | 3 | 4 | 5 ] [Рекомендовать для помещения в FAQ]

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. "http-ddos"
Сообщение от domas (??) on 17-Июл-07, 15:30
Я у себя вот так сделал. table <http-dos> persist pass in on fxp0 proto tcp to (fxp0) port http flags S/SA keep state \ (max-src-conn 50, max-src-conn-rate 100/2, overload <http-dos> flush) block in quick proto tcp from <http-dos> to (fxp0) port http max-src-conn 50 - максимум 50 одновременных соединений от каждого источника max-src-conn-rate 100/2 - максимум 100 соединений в течении 2 сек. Если одно из выше перечисленных условий произошло, то ip отправляется в таблицу http-dos. Из этой таблицы все ip блокируются. Потом по крону можно чистить: /5 * * * /sbin/pfctl -t http-dos -Tf 2> /dev/null
Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	2. "http-ddos"
	Сообщение от Alex (??) on 17-Июл-07, 18:25
	>Я у себя вот так сделал. > >max-src-conn 50 - максимум 50 одновременных соединений от каждого источника >max-src-conn-rate 100/2 - максимум 100 соединений в течении 2 сек. >Если одно из выше перечисленных условий произошло, то ip отправляется в таблицу >http-dos. Из этой таблицы все ip блокируются. >Потом по крону можно чистить: >/5 * * * /sbin/pfctl -t http-dos -Tf 2> /dev/null Попробуем сегодня, имеет ли смысл увеличивать эти параметры? tcpcb: 444, 65538, 65534, 4, 1012079 socket: 324, 65544, 65544, 0, 1041230 забилось все примерно за час.
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору

Архив \| Удалить	Индекс форумов \| Темы \| Пред. тема \| След. тема
Оцените тред (1=ужас, 5=супер)? [ 1 \| 2 \| 3 \| 4 \| 5 ] [Рекомендовать для помещения в FAQ]