Отгламурка iptables against kiddies DDOS

Главная » Форум » Хостинги / Домены / Железо »

Тема: Отгламурка iptables against kiddies DDOS

цитата
26/12/10 в 18:36

High_Contrast
##################################################
# Лимит на 20 запросов в секунду для интерфейса eth1
iptables --new-chain lim1
iptables --insert OUTPUT 1 -p tcp --destination-port 80 -o eth1 --jump lim1
iptables --append lim1-m limit --limit 20/sec --jump RETURN
iptables --append lim1--jump DROP
# Максимум 10 одновременных соединений с одного IP
iptables -A INPUT-p tcp --dport 80 -m iplimit --iplimit-above 10 -j REJECT
# Блокировка более 10 SYN
sbin/iptables -I INPUT -p tcp --syn --dport 80 -j DROP -m iplimit --iplimit-above 10
# 20 соединений на сеть класса С
iptables -p tcp --dport 80 -m iplimit --iplimit-above 20 --iplimit-mask 24 -j REJECT
##################################################

Что еще можно сделать?

цитата
26/12/10 в 20:58

Pentarh
разрешить только рабочие порты
добавить свои айпи в ACCEPT
соединения established,realted -> ACCEPT
сделать политику iptables -P INPUT DROP

а дальше от конкретного случая зависит.

если http ddos, то создается цепочка BAN, парсится access_log периодически и если там, к примеру, 60 хитов с айпи за 10 секунд -> BAN

цитата
26/12/10 в 22:34

ibiz
Pentarh писал:

если http ddos, то создается цепочка BAN, парсится access_log периодически и если там, к примеру, 60 хитов с айпи за 10 секунд -> BAN

к примеру, если тумбы с сиджа грузанутся разом за 10 сек, то BAN?

цитата
27/12/10 в 01:18

Pentarh
Вообще я ставлю access_log на location с пхп скриптами, где нет тумб.

И опять же, все зависит от конкретной ситуации. Логику отсечения ботнета надо разрабатывать, зная характер трафика, я просто привел пример.

Еще надо выключить keep-alive в веб сервере, уменьшить таймаут ответа, затюнить сетевой стек при помощи sysctl. К примеру, ip_conntrack_max точно надо увеличить хотя бы до 300k, иначе файрволу не хватит памяти и он будет дропать пакеты и дико ругаться в dmesg. Ну и сам dmesg часто подсказывает чего надо подтюнить.

цитата
28/12/10 в 10:10

vx6
Можно ещё защититься от сканирования сети пингом
iptables -A INPUT -p icmp --icmp-type echo-request -m length --length 128 -j ACCEPT
iptables -A INPUT -p icmp -m icmp --icmp-type 8 -j DROP

После этого , ваш сервер перестанет отвечать на пинг любыми пакетами , кроме пакетов длинной 100 байт. Размер пакета можно выбрать произвольно.
Для винды пинг будет иметь такой вид ping domain.tld -l 100

цитата
28/12/10 в 20:59

High_Contrast
Na serveri u menia blog wordpress (10K daily traffa) and Ejabberd iesli shto.

Цитата:

CentOS Linux 5.5 Kernel and CPU Linux 2.6.18-194.8.1.el5.028stab070.4 on i686
AMD Phenom(tm) II X4 945 Processor, 4 cores
CPU load averages 0.10 (1 min) 0.13 (5 mins) 0.09 (15 mins)
CPU usage 0% user, 0% kernel, 0% IO, 100% idle
Real memory 1024 MB total, 282.30 MB used

Imeet li smisl pereehat s VDS na dedic? ili odin iuh for antiddos?

цитата
28/12/10 в 21:14

Pentarh
для антиддоса нужно много памяти

цитата
29/12/10 в 06:04

PornoMich
для антиддоса нужна циска железная и дорогая, всё остальное фуфло

цитата
29/12/10 в 06:30

Pentarh
Ага, и много памяти ) А чувак тут на вдске решил ддос отбить

Новая тема Ответить

Эта страница в полной версии