Архив форумов ЦИТФорума

[eugesh]

Ситуация тривиальна. Кто-то очень добрый начал атаку на мой сервер. Идут постоянные запросы на /1.jpg одного из виртуальных хостов со всего мира с разными айпишниками. Вроде как надо поставить firewall, но я не знаю какой и как его сконфигурировать.
Помогите, пожалуйста. Сервер уже загибается.

[Arkov]

если не хочешь ставить фаервол - тогда просто вытыкай сетевой шнурок из компа, только так.........

ну ещё есть вариант попробовать обратиться к провайдеру - дать ему айпи с которых к тебе ломяться и если он ООООЧЕНЬ Добрый - может быть тебе поможет....

[eugesh]

у меня виртуальный выделенный сервер, и я сам там админю понемногу. весь вопрос в том, какой firewall поставить для Linux RedHat?

[Arkov]

в Ред хате есть встроенный - ipchains называется,
можешь в инете чтонибудь нарыть,
можешь iptables использовать он кажись тоже с дистрибутивом идёт

[eugesh]

iptables-то у меня есть... только что это мне даст? у меня постоянно висит 90 обращений к серверу (при MaxClients=90), и все с разных ip. мне надо заблокировать обращения не по ip, а по адресу на который обращаются.

[Arkov]

[eugesh]

это не выход. атака итак идет по 80 порту. насколько я понимаю по инету гуляет троян или бэкдор, который и валит мой сервер огромным кол-вом запросов. раньше это выдавало 404 ошибку, а сейчас я создал нулевый 1.jpg. Нагрузка немного снизилась, но не на много. мне просто надо убивать все запросы к /1.jpg. вопрос в том, как это сделать?

[Arkov]

я не силён в линуховых фаерволах, тут есть профи на форуме, обожди маненька - должны ответить...

[and3008]

Постыми средствами здесь не обойдешься.

Я бы глядел в сторону Snort. Он позволяет выявить DOS-атаку и заблокировать хост на время. Например на несколько часов. Таким макаром DOS-атака захлебнется сама. Правда ценой снижения производительности вашего сервера.

А вообще по большому счету о таких инцедентах надо докладать провайдеру. Пусть его служба безопасности репу чешит. Они за это бабки получают.

[eugesh]

провайдер репу чесать не торопится, хотя давно в курсе дела
что касается "заблокировать хост на время" - это я уже делал вручную. в течение 48 часов весь сервер был недоступен (я просто отключил name-серверы). результатов это не принесло ровным счетом никаких. после включения сервера, полная загрузка процессора возобновилась за 2 минуты.
к сожелению, нужно искать другие пути решения проблемы. вот только не знаю какие...

[and3008]

Смени имя сервера, если это возможно.

[eugesh]

к сожалению, абсолютно невозможно.

[eugesh]

провайдер решил немного почесать репу. но лишь немного...
сказал, чтобы я написал скрипт на php или shell, котрый будет убивать запрос типа "GET /1.jpg". вот только не говорит, как это сделать. ведь мне надо сразу отправлять эти запрсы в ноль. а как это сделать, чтобы не задействовать apache я не знаю. ведь сейчас именно обработка апачем этих процесов и сжирает все ресурсы...

[and3008]

Можно сделать squid-ом.

[eugesh]

если не затруднит, нельзя ли чуть-чуть поподробнее. просмотрел файл squid.conf, но не понял, что конкретно подключить в моем случае. програмка действительно полезная. на досуге обязательно разберусь со всеми настройками, но сейчас, к сожалению, не так много времени. сервер практически лежит уже 2-ю неделю, а я все никак не могу это исправить...

[and3008]

1. Найдешь доку в Инете как включить акселерацию в squid.

2. Внимательно поглядишь раздел ACL в squid.conf
Там можно управлять практически всем.

Подробности на squid.opennet.ru

[ботинок]

вот сюда ходи

http://squid.opennet.ru/FAQ/my/FAQrus-10.html

я по этому ману настроил свой

а если в содержание тыкнуть то там много интересного

[and3008]

Ище можно прикрутить анализатор логов squid-а, который будет в iptables заносить "неправильных пчел".

По большому счету у провайдера должеть быть коммутатор 7-го уровня. Им-то такие вещи легко убиваются. Видать не богат провайдер. Не богат...
Приходится вот squid приплетать... Задача явно не для него, но уж лучше так, чем никак.

[eugesh]

error: Failed dependencies:
libc.so.6(GLIBC_2.3.4) is needed by squid-2.5.STABLE5-4.fc2
и где бы его достать? никак не могу найти. может кто знает?

[eugesh]

совсем забыл:
Fedora Core 1 / i386

[and3008]

http://rpmfind.net/linux/rpm2html/search.php?query=squid&submit=Search+...&system=&arch=

[Spencer]

Есть еще вариант.... Насколько я понял, тебя атакует робот...
Он выбирает IP из диапазона. Просмотри наиболее часто встречающиеся и залочь сетки. Отбиться не отобьешься, но нагрузку снизишь. У меня такой фокус прокатывал.

[eugesh]

может робот, а может и нет... смотря кто решил атаковать сервер...

[Spencer]

http://download.fedora.redhat.com/pub/fedora/linux/core/1/i386/[url]os/Fedora/RPMS/

[eugesh]

[eugesh]

[Spencer]

Сорри.....
http://download.fedora.redhat.com/pub/fedora/linux/core/1/i386/os/Fedora/RPMS/

Для скачки RPM.