Вопрос к опытным линуксоидам

Опубликовано пт, 09/10/2009 - 11:52 пользователем larin

Кто-нибудь может помочь настроить шейпер?
Напишите плиз на

Комментарии

Опубликовано сб, 10/10/2009 - 01:13 пользователем yogik

Помочь могу, email отправил .
Вот еще такая идейка возникла:
iptables -A INPUT -p tcp --dport 80 -m connlimit --connlimit-above 5 -j DROP
На сервере или на балансере сразу паразитный траффик упадет , так как браузер oкрывает ограниченное количество connections к серверу , к примеру IE8 oткывает 8, Firefox конечно не мелочится и может откыть и 15 , но и с 5-ю будет работать нормально. Ты не смотрел, сколько connection открывают ДДОС машины?
Но тут уже можно подобрать опытным путем.
Ещё можно изменить TCP congestion control алгоритм , скажем попробовать TCP-Vegas вместо TCP-Reno который используется по умолчанию.
Антон

Опубликовано вс, 11/10/2009 - 00:23 пользователем larin

yogik написал:
Помочь могу, email отправил .
Вот еще такая идейка возникла:
iptables -A INPUT -p tcp --dport 80 -m connlimit --connlimit-above 5 -j DROP
На сервере или на балансере сразу паразитный траффик упадет , так как браузер oкрывает ограниченное количество connections к серверу , к примеру IE8 oткывает 8, Firefox конечно не мелочится и может откыть и 15 , но и с 5-ю будет работать нормально. Ты не смотрел, сколько connection открывают ДДОС машины?
Но тут уже можно подобрать опытным путем.
Ещё можно изменить TCP congestion control алгоритм , скажем попробовать TCP-Vegas вместо TCP-Reno который используется по умолчанию.
Антон

К основному серверу connectionы открывают не ддос машины, а прокси. И как-то некузяво их в этом ограничивать.

Опубликовано вс, 11/10/2009 - 13:44 пользователем yogik

Я и имел в виду использовать connlimit на прокси. Давай попробуем, мы всегда можем все вернуть в первоночальное состояние. Ну что , пишем скрипт?
Антон

Опубликовано вс, 11/10/2009 - 13:52 пользователем dzver

connlimit не спасет, атака-то распределенная.
Да и на некоторых из proxy (которые vps) модули connlimit и recent не работают (но если и работали, особенно не помогли бы).

Опубликовано вс, 11/10/2009 - 14:34 пользователем yogik

Вот тут очень бы помог tcpdump , чтобы увидеть сколько раз открвают порт DDOS машины. Что-то не верю я что они только окрывают 5-10 коннектов.
И ещё - интересно увидеть
cat /proc/net/ip_conntrack
с прокси.
Антон

Опубликовано вс, 11/10/2009 - 17:54 пользователем dzver

И ещё - интересно увидеть cat /proc/net/ip_conntrack

[root@xxxxx ~]# cat /proc/net/ip_conntrack
cat: /proc/net/ip_conntrack: No such file or directory
[root@xxxxx ~]# iptables -A INPUT -p tcp --dport 80 -m connlimit --connlimit-above 15 -j DROP
iptables: Unknown error 4294967295
[root@xxxxx ~]# uname -a
Linux xxxxx 2.6.18-128.2.1.el5.028stab064.7 #1 SMP Wed Aug 26 15:47:17 MSD 2009 i686 i686 i386 GNU/Linux
[root@xxxxx ~]#

Опубликовано сб, 10/10/2009 - 19:22 пользователем 0per

для использования connlimit ядро надо патчить. лучше hashlimit использовать. типа

iptables -A INPUT -p tcp -m tcp --dport 80 -m state --state new -m hashlimit --hashlimit 10/sec --hashlimit-burst 10 --hashlimit-mode srcip --hashlimit-name HTTP_DOS -j ACCEPT

Опубликовано сб, 10/10/2009 - 21:23 пользователем yogik

Connlimit is in 2.6.25 , no patch needed , and server runs 2.6.25-14 , so we are ok.

Опубликовано вт, 13/10/2009 - 03:20 пользователем 0per

yogik написал:
Connlimit is in 2.6.25 , no patch needed , and server runs 2.6.25-14 , so we are ok.

> Linux xxxxx 2.6.18-128.2.1.el5.028stab064.7 #1 SMP Wed Aug 26 15:47:17 MSD 2009 i686 i686 i386 GNU/Linux

так патчить или нет?

Опубликовано пн, 12/10/2009 - 14:21 пользователем 0per

можно поподробнее как и чем досят... IMHO трудно защитить север с помощью проксей если основной адрес светится в уведомлениях о регистрации... чаще всего помогает это...

#
iptables -A INPUT -p tcp -j bad_tcp_packets
iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -A INPUT -p tcp -m tcp --dport 80 -j allowed
#
iptables -A bad_tcp_packets -p tcp -m tcp --tcp-flags SYN,ACK SYN,ACK -m state --state NEW -j DROP
iptables -A bad_tcp_packets -p tcp -m tcp ! --tcp-flags FIN,SYN,RST,ACK SYN -m state --state NEW -j DROP
#
iptables -A allowed -p tcp -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -A allowed -p tcp -j DROP
#
могу для теста сделать прокси на основной сервер. отдам 10мегабит чисто с академическими целями... и оговоренными параметрами... вам отфильтрованный трафик мне ботсети и их хозяева?

Опубликовано пн, 12/10/2009 - 14:31 пользователем Stiver

0per написал:
мне ботсети и их хозяева?

А как можно вычислить бот-машины? IP spoofing разве не используют?

Опубликовано вт, 13/10/2009 - 03:17 пользователем 0per

ну насчет хозяев я могу и шутить... насчет спуфинга режется он на раз. чтобы какойто вред принести надо чтобы прошло соединение SYN, SYN ACK, ACK. короче неважно вычисляется все... проще показать чем рассказать. обещаю в контент не лезть и пароли не снифирить ;) хозяину ресурса могу представиться в привате.

Опубликовано вт, 13/10/2009 - 03:26 пользователем kemko

У некоторых провайдеров все же есть NAT (в России особенно распространено), в таких спуфинг не возможен (вернее внутри серой сети возможен, но на Либрусек все равно придет правильный src). Ну а в остальном все зависит от тех, кто в каждом конкретном случае занимается сетью... Технически способов препятствовать такому много, да и у провайдера есть своя заинтересованность в этом: ему ж еще и нужно трафик считать
X