Итак, система FreeBSD 6.2 + Squid 2.5.14Stable + ipfw
Настроено прозрачное проксирование.
Недавно обнаружил, что прокся пытается съесть чуть ли не всё wcpu time. Стал разбираться в чём дело, и в логах обнаружил вот такое.1196690889.104 59129 172.16.2.64 TCP_MISS/500 1405 GET http://august4u.ru/secretdesires - DIRECT/84.19.185.16 text/html
1196690889.104 59233 172.16.2.64 TCP_MISS/500 1405 GET http://august4u.ru/secretdesires - DIRECT/84.19.185.16 text/html
1196690889.104 59233 172.16.2.64 TCP_MISS/500 1405 GET http://august4u.ru/secretdesires - DIRECT/84.19.185.16 text/html
Сообщения запросов от одного юзера повторяются бесконечное множество раз. Ясно, что у пользователя вирус, делающий dos атаку на сервак, а сквид видать forkает каждую новую сессию. Вопрос, как можно решить эту проблему средствами самого сквида или же файрвола?
Способ отключать пользователей вручную до выяснения обстоятельств не представляется возможным.
Не хватает знаний определить тип этой атаки...является ли она SYN или ещё чем-то. Буду очень признателен, если кто-то хотя б даст направление куда копать.
Можно ли как-то ограничивать колличество сессий на ip?