DDoS, Apache и Убунта

[ASDev]

DDoS, Apache и Убунта

В общем повадились неготорые нехорошие люди ДДоСить сайтик на ВПС с убунтой. Их айпишники я запилил ИПТаблесом, но подозреваю что это то же самое как бороться с поносом путём ограничивания доступа в сортир. Какие есть ещё более элегантные способы борьбы с заразой? Ломится сука на индекс.пхп и с него делает гет на различные сайты, соотв. апач бедный издыхает

 

[0xygen]

Какие есть ещё более элегантные способы борьбы с заразой?

никаких. стучать в саппорт провайдеру, хай разбирается

ну или ддосить в ответ

 

[ASDev]

Так там ддосящих айпишников уже штук 15 набралось. Приходицца вырубать апач, заносить всё новые в конфиг иптаблеса, потом снова врубать. Ща попробую написать в иптаблесе правило автобана...

 

[0xygen]

Так там ддосящих айпишников уже штук 15 набралось. Приходицца вырубать апач, заносить всё новые в конфиг иптаблеса, потом снова врубать. Ща попробую написать в иптаблесе правило автобана...

так а чем тебе иптаблесы помогут, если пакеты УЖЕ пришли на интерфейс? то шо он их отбрасывает кагбе немного пох

зы. а накой тушить апачь шоп сделать /etc/init.d/iptables restart собсно?

 

[ASDev]

тушить апач - потому что иначе проц загружен на 99% и невозможно ничего сделать, тормозня дикая. Тушу, добавляю правила, стартую, всё ок. А иптаблес таки помогает, делаю к примеру так
iptables -A INPUT -s 78.38.111.4 -j REJECT

и всё, айпишник в бане, ддос отражена пока след. айпишник не начнут юзать. Атаку с 1-2 айпишников апач тормозит, но хавает, а вот 3 и больше - уже загибается

 

[0xygen]

а, я не заметил шо оно именно апач долбит.

может нарисовать правило, типа если один ип долбит сервак больше н-раз\сек - его в бан?

 

[ASDev]

Та вот именно так и хочу. Какая-то нубоатака, всего с ок. 20 айпишников ))

 

[Renegade]

как дети малые ейбогу

Устанавливаем число одновременных запросов на IP с префиксом/32 – максимум 15, остальное в DROP.

iptables -I INPUT 1 -p tcp -m tcp --dport 80 --tcp-flags FIN,SYN,RST,ACK SYN -m connlimit --connlimit-above 15 --connlimit-mask 32 -j DROP

Создаем специальный сет для хранения IP.

ipset -N blacklist iphash
iptables -A INPUT -p tcp -m tcp --dport 80 -m set --set blacklist src -j DROP

При больших потоках запросов, а также over 100 правил вида:

iptables -A INPUT -s x.x.x.x -j DROP

дроп

 

[3d_blast]

отруби серв не на долго от инета, на пол дня, если производство позволяет. Возможно атакующие уйдут других досить )

 

[ASDev]

отруби серв не на долго от инета, на пол дня, если производство позволяет. Возможно атакующие уйдут других досить )

не задрачивай ))) правила уже написал, жду когда ещ атака будет, проверю

 

[Renegade]

де моя репка янепонел?

 

[skyset]

тушить апач - потому что иначе проц загружен на 99% и невозможно ничего сделать, тормозня дикая. Тушу, добавляю правила, стартую, всё ок. А иптаблес таки помогает, делаю к примеру так
iptables -A INPUT -s 78.38.111.4 -j REJECT

и всё, айпишник в бане, ддос отражена пока след. айпишник не начнут юзать. Атаку с 1-2 айпишников апач тормозит, но хавает, а вот 3 и больше - уже загибается

Заебись. Легендарно!!! Бороться с ддосом путем режекта. А дропать пакеты не учили? Лавровый венок тупости имени оксигена оксигеновича оксигенова покоя не дает.

Ренегат, апиридил, мля

 

[0xygen]

Заебись. Легендарно!!! Бороться с ддосом путем режекта. А дропать пакеты не учили? Лавровый венок тупости имени оксигена оксигеновича оксигенова покоя не дает.

Ренегат, апиридил, мля

придурок, покажи мне где я шо про режекты написал? конь сука с яйцами

 

[ASDev]

Та я де-то на просторах инета прочитал что дроп обязывает иптаблес ещё что-то отправлять, а реджект рубит безо всяких отправок. Наебали?

з.ы. насчёт репки - пишет

iptables: no chain target match by that name

 

[Renegade]

sudo -s && aptitude reinstall iptables && aptitude install ipset

 

[ASDev]

та же куйня, вернее та же ошибка

 

[gameover]

та же куйня, вернее та же ошибка

в каком то правиле набочинил.
бывает такое когда неправильно multiport заюзаеim? по крайней мере у меня такое было

но ддос какой то децкий.
я думаю можно перед апачем поставить ngnix и им отрубить таких бойцов.
на хабре можно найти много инфы как это сделать

 

[Fido_user]

Fail2ban scans log files like /var/log/pwdfail or /var/log/apache/error_log and bans IP that makes too many password failures. It updates firewall rules to reject the IP address.

пример использования

Тільки зареєстровані користувачі бачать весь контент у цьому розділі

Fail2Ban scans log files like [file:///var/log/pwdfail pwdfail] and bans IP addresses that make too many password failures.  It updates firewall rules to reject the IP address.  These rules can be defined by the user.  Fail2Ban can read multiple log files such as sshd or Apache Web server ones

 

[0xygen]

имха проще отписаться провайдеру, хай накажет "злодеев"

 

[ASDev]

в каком то правиле набочинил.
бывает такое когда неправильно multiport заюзаеim? по крайней мере у меня такое было

но ддос какой то децкий.
я думаю можно перед апачем поставить ngnix и им отрубить таких бойцов.
на хабре можно найти много инфы как это сделать

Я вбивал то что Ренегат написал. ДДоСят вот по такому типу