Как побороть ddos эелегантно?

0

0

За прошлые сутки на сервера нашей компании был органрзован
ddos. Решение проблемы было самое тупое: блокировали IP адреса.
Таких набролось несколько тысяч! Может кто-нибудь знает системый способ
борьбы с такого вида атаками ? Ядро 2.4.23 без каких-либо патчей.

Ссылка

←	О Shorewall на пальцах

cisco catalist

→

Может уточнишь на какие службы были совершены атаки?

anonymous
(16.12.03 19:41:59 MSK)

Ответ на: комментарий от anonymous 16.12.03 19:41:59 MSK

На http. Кстати tcp_syncookies = 1, даже пробовал

iptables -N syn-flood iptables -A INPUT -i $IFACE -p tcp --dport http --syn -j syn-flood iptables -A syn-flood -p tcp --dport http -m limit --limit 20/second --limit-burst 10 -j RETURN iptables -A syn-flood -j DROP

но после этого apache переставал отвечать, похоже все http пакеты дропались :(

tahion ★
(17.12.03 12:02:25 MSK) автор топика

Ответ на: комментарий от tahion 17.12.03 12:02:25 MSK

имхо нужен модуль который умеет ограничивать TCP-SYN per ip address. теоретически можно сделать с помошью модулей recent + limit :

iptables -A INPUT -i $inetdev -m recent --name syn-flood --rcheck -j DROP
iptables -A INPUT -i $inetdev -p tcp --syn --dport 80 -j syn-flood

iptables -N syn-flood
iptables -A syn-flood -m limit --limit 10/second -j RETURN
iptables -A syn-flood -m recent --name syn-flood --set -j DROP

Rost ★★★★★
(17.12.03 16:49:56 MSK)

Ссылка

iproute2 тебе поможет

anonymous
(20.12.03 17:02:12 MSK)

Ответ на: комментарий от anonymous 20.12.03 17:02:12 MSK

>iproute2 тебе поможет
чем оно поможет? можно ссылку или пример?

anonymous
(20.12.03 18:59:29 MSK)

>блокировали IP адреса.
Таких набролось несколько тысяч!

Эх дети, дети :)

0. httpd должен стоять на хосте в DMZ ОБЯЗАТЕЛЬНО!!!!
1. На входе должен стоять firewall на базе какой нибудь *BSD,
не обязательно, но желательно, который пробрасывает входящие соединения
2. Научится пользоваться поиском ОБЯЗАТЕЛЬНО !!!!

http://www.opennet.ru/base/sec/synflood_stop.txt.html

>> После атаки апач начинает очень долго отвечать на запрос (что
>> есть естественная реакция). По нетстат висит куча SYN_RECV соединений на 80 порт.
>> Есть-ли какие-то способы облегчить последствия? Предотвратить пока не
>> получается :(

Вроде отмахался. Может кому-то будет интересен опыт

Найдено на http://www.softerra.ru/freeos/12192/print.html
(я увеличил только значение net.ipv4.tcp_max_syn_backlog)

Прописывается в /etc/sysctl.conf
net.ipv4.icmp_ignore_bogus_error_responses=1
net.ipv4.conf.all.log_martians=1
net.ipv4.conf.all.accept_source_route=0
net.ipv4.tcp_syncookies=1
net.ipv4.conf.all.send_redirects=0
net.ipv4.conf.all.accept_redirects=0
net.ipv4.tcp_fin_timeout=30
net.ipv4.tcp_keepalive_time=1800
net.ipv4.tcp_window_scaling=0
net.ipv4.tcp_sack=0
net.ipv4.tcp_timestamps=0
net.ipv4.tcp_max_syn_backlog=2048
net.ipv4.conf.all.forwarding=0
net.ipv4.icmp_echo_ignore_broadcasts=1

далее
sysctl -p /etc/sysctl.conf

~~Sun-ch~~ ☆
(22.12.03 14:38:45 MSK)

Ответ на: комментарий от anonymous 20.12.03 18:59:29 MSK

на iproute2 есть пример внутри ftp://ftp.nluug.nl/pub/os/Linux/distr/slackware/slackware-current/extra/iprou...

anonymous
(22.12.03 16:51:50 MSK)

Ответ на: комментарий от Sun-ch 22.12.03 14:38:45 MSK

Это твики tcp стека, они от ddos'a никак не помогают. DMZ спорная вещь так как если завалят фаервол то все сервера ( сайты ) компании перестануть работать в то время как атака идёт на конкретный сервер.

tahion ★
(30.12.03 11:55:29 MSK) автор топика

Ответ на: комментарий от anonymous 22.12.03 16:51:50 MSK

Ну и чем это лучше iptables -m limit ? Итог один, пакеты дропаются без
разбора. В результате, отсекается куча запросов нормальных клиентов. Атакующая сторона может только радоваться!

tahion ★
(30.12.03 12:00:41 MSK) автор топика