Предыдущая тема :: Следующая тема |
Автор |
Сообщение |
eugesh
Зарегистрирован: 04.08.2004 Сообщения: 15 Откуда: Moscow
|
Добавлено: Чт Авг 05 2004 03:41 Заголовок сообщения: Помогите plz справиться с ddos-атакой |
|
|
Ситуация тривиальна. Кто-то очень добрый начал атаку на мой сервер. Идут постоянные запросы на /1.jpg одного из виртуальных хостов со всего мира с разными айпишниками. Вроде как надо поставить firewall, но я не знаю какой и как его сконфигурировать.
Помогите, пожалуйста. Сервер уже загибается. |
|
Вернуться к началу |
|
|
Arkov
Зарегистрирован: 01.11.2002 Сообщения: 622
|
Добавлено: Чт Авг 05 2004 03:51 Заголовок сообщения: |
|
|
если не хочешь ставить фаервол - тогда просто вытыкай сетевой шнурок из компа, только так.........
ну ещё есть вариант попробовать обратиться к провайдеру - дать ему айпи с которых к тебе ломяться и если он ООООЧЕНЬ Добрый - может быть тебе поможет.... |
|
Вернуться к началу |
|
|
eugesh
Зарегистрирован: 04.08.2004 Сообщения: 15 Откуда: Moscow
|
Добавлено: Чт Авг 05 2004 03:53 Заголовок сообщения: |
|
|
у меня виртуальный выделенный сервер, и я сам там админю понемногу. весь вопрос в том, какой firewall поставить для Linux RedHat? |
|
Вернуться к началу |
|
|
Arkov
Зарегистрирован: 01.11.2002 Сообщения: 622
|
Добавлено: Чт Авг 05 2004 04:00 Заголовок сообщения: |
|
|
в Ред хате есть встроенный - ipchains называется,
можешь в инете чтонибудь нарыть,
можешь iptables использовать он кажись тоже с дистрибутивом идёт |
|
Вернуться к началу |
|
|
eugesh
Зарегистрирован: 04.08.2004 Сообщения: 15 Откуда: Moscow
|
Добавлено: Чт Авг 05 2004 04:11 Заголовок сообщения: |
|
|
iptables-то у меня есть... только что это мне даст? у меня постоянно висит 90 обращений к серверу (при MaxClients=90), и все с разных ip. мне надо заблокировать обращения не по ip, а по адресу на который обращаются. |
|
Вернуться к началу |
|
|
Arkov
Зарегистрирован: 01.11.2002 Сообщения: 622
|
Добавлено: Чт Авг 05 2004 04:46 Заголовок сообщения: |
|
|
eugesh писал(а): | мне надо заблокировать обращения не по ip, а по адресу на который обращаются. |
в фаере разреши входящие соединения на порты по которым юзеры к тебе коннектяться, всё остальное и так запрещено будет - различные атаки на тебя будут сразу отпинываться фаерволом... |
|
Вернуться к началу |
|
|
eugesh
Зарегистрирован: 04.08.2004 Сообщения: 15 Откуда: Moscow
|
Добавлено: Чт Авг 05 2004 04:51 Заголовок сообщения: |
|
|
это не выход. атака итак идет по 80 порту. насколько я понимаю по инету гуляет троян или бэкдор, который и валит мой сервер огромным кол-вом запросов. раньше это выдавало 404 ошибку, а сейчас я создал нулевый 1.jpg. Нагрузка немного снизилась, но не на много. мне просто надо убивать все запросы к /1.jpg. вопрос в том, как это сделать? |
|
Вернуться к началу |
|
|
Arkov
Зарегистрирован: 01.11.2002 Сообщения: 622
|
Добавлено: Чт Авг 05 2004 05:18 Заголовок сообщения: |
|
|
я не силён в линуховых фаерволах, тут есть профи на форуме, обожди маненька - должны ответить... |
|
Вернуться к началу |
|
|
and3008
Зарегистрирован: 12.10.2001 Сообщения: 14893 Откуда: Н.Новгород
|
Добавлено: Чт Авг 05 2004 11:00 Заголовок сообщения: |
|
|
Постыми средствами здесь не обойдешься.
Я бы глядел в сторону Snort. Он позволяет выявить DOS-атаку и заблокировать хост на время. Например на несколько часов. Таким макаром DOS-атака захлебнется сама. Правда ценой снижения производительности вашего сервера.
А вообще по большому счету о таких инцедентах надо докладать провайдеру. Пусть его служба безопасности репу чешит. Они за это бабки получают. |
|
Вернуться к началу |
|
|
eugesh
Зарегистрирован: 04.08.2004 Сообщения: 15 Откуда: Moscow
|
Добавлено: Чт Авг 05 2004 11:41 Заголовок сообщения: |
|
|
провайдер репу чесать не торопится, хотя давно в курсе дела
что касается "заблокировать хост на время" - это я уже делал вручную. в течение 48 часов весь сервер был недоступен (я просто отключил name-серверы). результатов это не принесло ровным счетом никаких. после включения сервера, полная загрузка процессора возобновилась за 2 минуты.
к сожелению, нужно искать другие пути решения проблемы. вот только не знаю какие... |
|
Вернуться к началу |
|
|
and3008
Зарегистрирован: 12.10.2001 Сообщения: 14893 Откуда: Н.Новгород
|
Добавлено: Чт Авг 05 2004 11:56 Заголовок сообщения: |
|
|
Смени имя сервера, если это возможно. |
|
Вернуться к началу |
|
|
eugesh
Зарегистрирован: 04.08.2004 Сообщения: 15 Откуда: Moscow
|
Добавлено: Чт Авг 05 2004 12:06 Заголовок сообщения: |
|
|
к сожалению, абсолютно невозможно. |
|
Вернуться к началу |
|
|
eugesh
Зарегистрирован: 04.08.2004 Сообщения: 15 Откуда: Moscow
|
Добавлено: Чт Авг 05 2004 13:30 Заголовок сообщения: |
|
|
провайдер решил немного почесать репу. но лишь немного...
сказал, чтобы я написал скрипт на php или shell, котрый будет убивать запрос типа "GET /1.jpg". вот только не говорит, как это сделать. ведь мне надо сразу отправлять эти запрсы в ноль. а как это сделать, чтобы не задействовать apache я не знаю. ведь сейчас именно обработка апачем этих процесов и сжирает все ресурсы... |
|
Вернуться к началу |
|
|
and3008
Зарегистрирован: 12.10.2001 Сообщения: 14893 Откуда: Н.Новгород
|
Добавлено: Чт Авг 05 2004 13:47 Заголовок сообщения: |
|
|
Можно сделать squid-ом. |
|
Вернуться к началу |
|
|
eugesh
Зарегистрирован: 04.08.2004 Сообщения: 15 Откуда: Moscow
|
Добавлено: Чт Авг 05 2004 14:08 Заголовок сообщения: |
|
|
если не затруднит, нельзя ли чуть-чуть поподробнее. просмотрел файл squid.conf, но не понял, что конкретно подключить в моем случае. програмка действительно полезная. на досуге обязательно разберусь со всеми настройками, но сейчас, к сожалению, не так много времени. сервер практически лежит уже 2-ю неделю, а я все никак не могу это исправить... |
|
Вернуться к началу |
|
|
and3008
Зарегистрирован: 12.10.2001 Сообщения: 14893 Откуда: Н.Новгород
|
Добавлено: Чт Авг 05 2004 14:33 Заголовок сообщения: |
|
|
1. Найдешь доку в Инете как включить акселерацию в squid.
2. Внимательно поглядишь раздел ACL в squid.conf
Там можно управлять практически всем.
Подробности на squid.opennet.ru |
|
Вернуться к началу |
|
|
ботинок Гость
|
|
Вернуться к началу |
|
|
and3008
Зарегистрирован: 12.10.2001 Сообщения: 14893 Откуда: Н.Новгород
|
Добавлено: Чт Авг 05 2004 18:37 Заголовок сообщения: |
|
|
Ище можно прикрутить анализатор логов squid-а, который будет в iptables заносить "неправильных пчел".
По большому счету у провайдера должеть быть коммутатор 7-го уровня. Им-то такие вещи легко убиваются. Видать не богат провайдер. Не богат...
Приходится вот squid приплетать... Задача явно не для него, но уж лучше так, чем никак. |
|
Вернуться к началу |
|
|
eugesh
Зарегистрирован: 04.08.2004 Сообщения: 15 Откуда: Moscow
|
Добавлено: Чт Авг 05 2004 18:40 Заголовок сообщения: |
|
|
error: Failed dependencies:
libc.so.6(GLIBC_2.3.4) is needed by squid-2.5.STABLE5-4.fc2
и где бы его достать? никак не могу найти. может кто знает? |
|
Вернуться к началу |
|
|
eugesh
Зарегистрирован: 04.08.2004 Сообщения: 15 Откуда: Moscow
|
Добавлено: Чт Авг 05 2004 18:47 Заголовок сообщения: |
|
|
совсем забыл:
Fedora Core 1 / i386 |
|
Вернуться к началу |
|
|
and3008
Зарегистрирован: 12.10.2001 Сообщения: 14893 Откуда: Н.Новгород
|
|
Вернуться к началу |
|
|
Spencer
Зарегистрирован: 08.08.2004 Сообщения: 54 Откуда: Moscow
|
Добавлено: Вс Авг 08 2004 03:20 Заголовок сообщения: |
|
|
Есть еще вариант.... Насколько я понял, тебя атакует робот...
Он выбирает IP из диапазона. Просмотри наиболее часто встречающиеся и залочь сетки. Отбиться не отобьешься, но нагрузку снизишь. У меня такой фокус прокатывал. |
|
Вернуться к началу |
|
|
eugesh
Зарегистрирован: 04.08.2004 Сообщения: 15 Откуда: Moscow
|
Добавлено: Вс Авг 08 2004 20:23 Заголовок сообщения: |
|
|
может робот, а может и нет... смотря кто решил атаковать сервер... |
|
Вернуться к началу |
|
|
Spencer
Зарегистрирован: 08.08.2004 Сообщения: 54 Откуда: Moscow
|
|
Вернуться к началу |
|
|
eugesh
Зарегистрирован: 04.08.2004 Сообщения: 15 Откуда: Moscow
|
Добавлено: Пн Авг 09 2004 04:24 Заголовок сообщения: |
|
|
404: Page not found |
|
Вернуться к началу |
|
|
eugesh
Зарегистрирован: 04.08.2004 Сообщения: 15 Откуда: Moscow
|
Добавлено: Пн Авг 09 2004 04:26 Заголовок сообщения: |
|
|
Цитата: | Просмотри наиболее часто встречающиеся и залочь сетки. |
Да нельзя блочить. Там много телмосовских и голдентелекомовских. Так я всю аудиторию потеряю... |
|
Вернуться к началу |
|
|
Spencer
Зарегистрирован: 08.08.2004 Сообщения: 54 Откуда: Moscow
|
|
Вернуться к началу |
|
|
|