forum.opennet.ru - "Возможна ли такая DOS атака на apache или sendmail?" (4)

форумы

помощь

поиск

регистрация

майллист

ВХОД

слежка

"Возможна ли такая DOS атака на apache или sendmail?"

Форумы OpenNET: Виртуальная конференция (Public)
Вариант для распечатки		Архивированная нить - только для чтения! Пред. тема \| След. тема
Изначальное сообщение		[Проследить за развитием треда]

"Возможна ли такая DOS атака на apache или sendmail?"
Сообщение от Антон on 20-Окт-00, 19:09 (MSK)
Есть у меня три машины под RH6.2, на всех трех стоит sendmail 8.9.3, на двух рус-апач 1.3.12 PL29.7 у каждой машины есть свой легальный IP, стоит это все за файрволлом (железяка c пакетным фильтром и анализатором траффика, вроде бы не фуфло). На железяке закрыты ВСЕ порты кроме 25, 80, 8100-8104. Те машины снаружи даже не пингаются. Так вот: машины с апачем регулярно ложатся один раз в день-другой. Причем никаких сообщений в логах нет, в тех логах, что есть, никаких подозрительных вещей на первый взгляд не обнаруживается. Причем такое ощущение, что просто проц в них останавливается 8-), те никакой реакции на внешние раздражители нет, только на RESET. Железо проверенное, на него подозрений мало. Файрволл периодически ругается на SYN flood, Ping of death etc, но с временем упадания машин это никак не коррелирует... Может кто нибудь подскажет где грабли искать? А то хоть ребутилку аппаратную делай... Мда?, пач с PHP3.
	Рекомендовать в FAQ \| Cообщить модератору \| Наверх

Оглавление

RE: Возможна ли такая DOS атака на apache или sendmail?, Digger, 13:50 , 21-Окт-00, (1)
- RE: Возможна ли такая DOS атака на apache или sendmail?, Антон, 23:10 , 21-Окт-00, (2)
  - RE: Возможна ли такая DOS атака на apache или sendmail?, Digger, 09:50 , 23-Окт-00, (3)
А что, если, Sciurus, 15:05 , 23-Окт-00, (4)

Индекс форумов | Темы | Пред. тема | След. тема

Сообщения по теме

1. "RE: Возможна ли такая DOS атака на apache или sendmail?"

Сообщение от Digger on 21-Окт-00, 13:50  (MSK)

по твоему рассказу, есть одна очевидная грабля :-)
то что ты переборщил с рулезами файрволла... :-)
и дело не в апаче с сендмылом :-)
кароче, у тебя открыты порты 25, 80, 8100-8104, но ты забыл наверное а мож по незнанию, что на исходящие соеднинения сокеты тоже открываются :-)
и получается так, запрос приехал на 80 порт твоей телеги, а сервер естессно открывает допустим порт 4536, но телега на другом конце не получает ответа, так как файрволл не дает такой возможности... и вот, я думаю так, тебе посылаются запросы на соединение, которые не реализуются, и скапливаются у тебя незавершенные соединения... в итоге все сокеты забиты и сервер ничего не может сделать... а вот насчет полного повисания не знаю, но все-таки думаю, что в этом проблема...
Совет: нужно закрыть ненужные для постороннего порты до порта 1024, которые используются рутом...
а выше все должно быть открыто, хотя сервисы типа сквида или Х-виндов нужно закрывать...
и то что нужно закрыть _только_ до 1024 порта и открыть все порты выше - это очевидно

Рекомендовать в FAQ | Cообщить модератору | Наверх

2. "RE: Возможна ли такая DOS атака на apache или sendmail?"

Сообщение от Антон on 21-Окт-00, 23:10  (MSK)

>по твоему рассказу, есть одна очевидная
>грабля :-)
>то что ты переборщил с рулезами
>файрволла... :-)
Не ну не до такой же степени я дурак! :-) Порты закрыты на соединение только снаружи, а изнутри наружу хоть обсоединяйся. Открыто все. Косвенным подтверждением являются 500 посетителей в сутки. Вот только машины падают как будто кто-то RESET нажал и не отпускает.

Рекомендовать в FAQ | Cообщить модератору | Наверх

3. "RE: Возможна ли такая DOS атака на apache или sendmail?"

Сообщение от Digger on 23-Окт-00, 09:50  (MSK)

ну а все-таки попробуй так сделать: закрыть до 1024 все и открыть все выше... ну естессно мыло, апач должны быть открыты... и посмотри, свалятся ли серваки через два дня...
ну а если свалятся, то надо искать причину... будем дальше разгребать... :-)
какой файрволл у тебя стоит?

Рекомендовать в FAQ | Cообщить модератору | Наверх

4. "А что, если"

Сообщение от Sciurus on 23-Окт-00, 15:05  (MSK)

крон заставить собирать в один файл статистику по netstat. И если с каких-то адресов  идут только SYN_RECV запросы , а логами sendmail и apache не подтверждаются соединения с этими адресами, то закрыть нафик эти адреса файрволом,
это же явный flood
Я так понимаю, источник флуда еще не обнаружен ?

Рекомендовать в FAQ | Cообщить модератору | Наверх

Удалить

Индекс форумов | Темы | Пред. тема | След. тема

Пожалуйста, прежде чем написать сообщение, ознакомьтесь с данными рекомендациями.

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2025 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. "RE: Возможна ли такая DOS атака на apache или sendmail?"
Сообщение от Digger on 21-Окт-00, 13:50 (MSK)
по твоему рассказу, есть одна очевидная грабля :-) то что ты переборщил с рулезами файрволла... :-) и дело не в апаче с сендмылом :-) кароче, у тебя открыты порты 25, 80, 8100-8104, но ты забыл наверное а мож по незнанию, что на исходящие соеднинения сокеты тоже открываются :-) и получается так, запрос приехал на 80 порт твоей телеги, а сервер естессно открывает допустим порт 4536, но телега на другом конце не получает ответа, так как файрволл не дает такой возможности... и вот, я думаю так, тебе посылаются запросы на соединение, которые не реализуются, и скапливаются у тебя незавершенные соединения... в итоге все сокеты забиты и сервер ничего не может сделать... а вот насчет полного повисания не знаю, но все-таки думаю, что в этом проблема... Совет: нужно закрыть ненужные для постороннего порты до порта 1024, которые используются рутом... а выше все должно быть открыто, хотя сервисы типа сквида или Х-виндов нужно закрывать... и то что нужно закрыть _только_ до 1024 порта и открыть все порты выше - это очевидно
	Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	2. "RE: Возможна ли такая DOS атака на apache или sendmail?"
	Сообщение от Антон on 21-Окт-00, 23:10 (MSK)
	>по твоему рассказу, есть одна очевидная >грабля :-) >то что ты переборщил с рулезами >файрволла... :-) Не ну не до такой же степени я дурак! :-) Порты закрыты на соединение только снаружи, а изнутри наружу хоть обсоединяйся. Открыто все. Косвенным подтверждением являются 500 посетителей в сутки. Вот только машины падают как будто кто-то RESET нажал и не отпускает.
		Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	3. "RE: Возможна ли такая DOS атака на apache или sendmail?"
	Сообщение от Digger on 23-Окт-00, 09:50 (MSK)
	ну а все-таки попробуй так сделать: закрыть до 1024 все и открыть все выше... ну естессно мыло, апач должны быть открыты... и посмотри, свалятся ли серваки через два дня... ну а если свалятся, то надо искать причину... будем дальше разгребать... :-) какой файрволл у тебя стоит?
		Рекомендовать в FAQ \| Cообщить модератору \| Наверх

4. "А что, если"
Сообщение от Sciurus on 23-Окт-00, 15:05 (MSK)
крон заставить собирать в один файл статистику по netstat. И если с каких-то адресов идут только SYN_RECV запросы , а логами sendmail и apache не подтверждаются соединения с этими адресами, то закрыть нафик эти адреса файрволом, это же явный flood Я так понимаю, источник флуда еще не обнаружен ?
	Рекомендовать в FAQ \| Cообщить модератору \| Наверх