+ + +
www.sgmanaged.com
С нами с 01.12.07
Сообщения: 691
Рейтинг: 403
|
 Добавлено: 26/12/10 в 18:36 |
##################################################
# Лимит на 20 запросов в секунду для интерфейса eth1
iptables --new-chain lim1
iptables --insert OUTPUT 1 -p tcp --destination-port 80 -o eth1 --jump lim1
iptables --append lim1-m limit --limit 20/sec --jump RETURN
iptables --append lim1--jump DROP
# Максимум 10 одновременных соединений с одного IP
iptables -A INPUT-p tcp --dport 80 -m iplimit --iplimit-above 10 -j REJECT
# Блокировка более 10 SYN
sbin/iptables -I INPUT -p tcp --syn --dport 80 -j DROP -m iplimit --iplimit-above 10
# 20 соединений на сеть класса С
iptables -p tcp --dport 80 -m iplimit --iplimit-above 20 --iplimit-mask 24 -j REJECT
##################################################
Что еще можно сделать?
|
|
|
|
| |
Криптопохуист
С нами с 05.04.03
Сообщения: 17158
Рейтинг: 6019
|
| Добавлено: 26/12/10 в 20:58 |
разрешить только рабочие порты
добавить свои айпи в ACCEPT
соединения established,realted -> ACCEPT
сделать политику iptables -P INPUT DROP
а дальше от конкретного случая зависит.
если http ddos, то создается цепочка BAN, парсится access_log периодически и если там, к примеру, 60 хитов с айпи за 10 секунд -> BAN
|
|
|
|
| |
С нами с 24.10.04
Сообщения: 18881
Рейтинг: 9010
 
|
| Добавлено: 26/12/10 в 22:34 |
| Pentarh писал: |
если http ddos, то создается цепочка BAN, парсится access_log периодически и если там, к примеру, 60 хитов с айпи за 10 секунд -> BAN |
к примеру, если тумбы с сиджа грузанутся разом за 10 сек, то BAN?
|
|
|
|
| |
Криптопохуист
С нами с 05.04.03
Сообщения: 17158
Рейтинг: 6019
|
| Добавлено: 27/12/10 в 01:18 |
Вообще я ставлю access_log на location с пхп скриптами, где нет тумб.
И опять же, все зависит от конкретной ситуации. Логику отсечения ботнета надо разрабатывать, зная характер трафика, я просто привел пример.
Еще надо выключить keep-alive в веб сервере, уменьшить таймаут ответа, затюнить сетевой стек при помощи sysctl. К примеру, ip_conntrack_max точно надо увеличить хотя бы до 300k, иначе файрволу не хватит памяти и он будет дропать пакеты и дико ругаться в dmesg. Ну и сам dmesg часто подсказывает чего надо подтюнить.
|
|
|
|
| |
С нами с 27.09.07
Сообщения: 1002
Рейтинг: 151
|
| Добавлено: 28/12/10 в 10:10 |
Можно ещё защититься от сканирования сети пингом
iptables -A INPUT -p icmp --icmp-type echo-request -m length --length 128 -j ACCEPT
iptables -A INPUT -p icmp -m icmp --icmp-type 8 -j DROP
После этого , ваш сервер перестанет отвечать на пинг любыми пакетами , кроме пакетов длинной 100 байт. Размер пакета можно выбрать произвольно.
Для винды пинг будет иметь такой вид ping domain.tld -l 100
|
|
|
|
| |
+ + +
www.sgmanaged.com
С нами с 01.12.07
Сообщения: 691
Рейтинг: 403
|
| Добавлено: 28/12/10 в 20:59 |
Na serveri u menia blog wordpress (10K daily traffa) and Ejabberd iesli shto.
| Цитата: |
CentOS Linux 5.5 Kernel and CPU Linux 2.6.18-194.8.1.el5.028stab070.4 on i686
AMD Phenom(tm) II X4 945 Processor, 4 cores
CPU load averages 0.10 (1 min) 0.13 (5 mins) 0.09 (15 mins)
CPU usage 0% user, 0% kernel, 0% IO, 100% idle
Real memory 1024 MB total, 282.30 MB used
|
Imeet li smisl pereehat s VDS na dedic? ili odin iuh for antiddos?
|
|
|
|
| |
Криптопохуист
С нами с 05.04.03
Сообщения: 17158
Рейтинг: 6019
|
| Добавлено: 28/12/10 в 21:14 |
для антиддоса нужно много памяти
|
|
|
|
| |
С нами с 11.09.09
Сообщения: 1385
Рейтинг: 409
|
| Добавлено: 29/12/10 в 06:04 |
для антиддоса нужна циска железная и дорогая, всё остальное фуфло
|
|
|
|
| |
Криптопохуист
С нами с 05.04.03
Сообщения: 17158
Рейтинг: 6019
|
| Добавлено: 29/12/10 в 06:30 |
Ага, и много памяти ) А чувак тут на вдске решил ддос отбить 
|
|
|
|
| |
Текстовая реклама в форме ответа
Заголовок и до четырех строчек текста
Длина текста до 350 символов
Купить рекламу в этом месте! |
