Ограничение количества входящих пакетов за промежуток времени

0

1

Здравствуйте. Никак не могу разобраться. Столько всего читал в интернете - ничего нужного не нашел, что сильно меня удивляет.

В чем моя проблема? Есть приложение. Бот к нему устанавливает соединение и по established шлет тучу пакетов. Как их правильно ограничить, без ущерба обычным пользователям?

Пробовал tcpdump+log+iptables+ipset, но «бурст» всё равно убивает. Сервер успевает принимать тычячи пакетов от бота, пока обрабатывается лог tcpdump.

В iptables, hashlimit + limit-burst - работает очень странно. Банит случайных пользователей, когда достигается предел бурста. Мне так и не удалось в нем разобраться.

Использовать tc боюсь. Да и вообще я не уверен, что шейпинг и ограничение количества пакетов одно и то же.

Как же мне защититься от ботов? Я думаю, что единственный способ - это найти способ ограничения количества входящих пакетов за промежуток времени. Именно пакетов. Дело в том, что вес пользовательских пакетов может быть очень большими, а бот посылает всегда маленькие пакеты, но много.

Очень нужна ваша помощь. Читать тонны документаций времени нет. Жена орет сводить ребенка в зоопарк, а мне приходится сидеть целый день дома и руками банить ботов :(

Ссылка

←	OpenVZ. Проблема с сетью в контейнере

Xen сеть и драйвер

→

Своди ребенкав зоопарк, на ботов посмотришь

dvrts ★★★
(31.08.14 17:14:49 MSK)

Ссылка

Входящие пакеты невозможно ограничить, если запросы посылает не само приложение. Вы можете их только «дропать».

kostik87 ★★★★★
(31.08.14 17:34:03 MSK)

fail2ban не подходит потому, что...?

zolden ★★★★★
(31.08.14 17:44:02 MSK)

Ответ на: комментарий от zolden 31.08.14 17:44:02 MSK

http://en.wikipedia.org/wiki/Fail2ban

Fail2ban operates by monitoring log files (e.g. /var/log/pwdfail, /var/log/auth.log, etc.) for selected entries and running scripts based on them.

Наверняка этот скрипт не обрабатывает данные в режиме реального времени, и поэтому он мне не подходит. Как я уже писал, бот может послать 1000 пакетов за секунду и вырубить приложение на несколько минут.

Xenonaut
(31.08.14 18:01:57 MSK) автор топика

Ответ на: комментарий от kostik87 31.08.14 17:34:03 MSK

Мне как раз и нужно дропать все пакеты, которые превышают обозначенный лимит.

То есть, бот посылает 1000 пакетов/сек. Лимит 50 пакетов/сек в одного IP. Каждую секунду 50 пакетов от бота доходят, остальные 950 дропаются.

Xenonaut
(31.08.14 18:11:47 MSK) автор топика

Ответ на: комментарий от Xenonaut 31.08.14 18:11:47 MSK

Это не ограничение трафика, по сути ваш сервер всё равно обрабатывает 1000 пакетов в секунду с одного IP, просто 950 вы будете дропать, а 50 пропускать, загрузка канала как была 1000 пакетов/сек. с одного IP так и осталась.

kostik87 ★★★★★
(31.08.14 19:14:09 MSK)

Ответ на: комментарий от kostik87 31.08.14 19:14:09 MSK

Ясно, спасибо. Сейчас эти 1000 пакетов обрабатываются приложением, из-за чего получается очень большая нагрузка. Как сделать так, чтобы пакеты до приложения не доходили? Посоветуете что-нибудь?

Xenonaut
(31.08.14 19:18:19 MSK) автор топика

Ссылка

Ответ на: комментарий от Xenonaut 31.08.14 18:01:57 MSK

Это DDoS или школьники читерят? Что мешает перманентно банить по IP?

zolden ★★★★★
(31.08.14 22:38:08 MSK)

Ответ на: комментарий от zolden 31.08.14 22:38:08 MSK

Я же вам ответил. Сомневаюсь, что вы вникли в суть моей проблемы.

Xenonaut
(01.09.14 02:33:35 MSK) автор топика

Ответ на: комментарий от Xenonaut 01.09.14 02:33:35 MSK

Ну раз вы сами не знаете что происходит, то тут конечно трудно что-то посоветовать

zolden ★★★★★
(01.09.14 09:50:36 MSK)

Ответ на: комментарий от zolden 01.09.14 09:50:36 MSK

Какая разница? Я объяснил суть проблемы - что именно у меня на сервере происходит.

Ладно, раз не поняли - объясняю. Скрипт, который вы посоветовали, не умеет работать в режиме реального времени, как, например, iptables. Его можно запускать максимум раз в секунду. Меня это не спасет, так как за эту секунду бот может отправить 1000 пакетов и сервер ляжет на пару минут.

Xenonaut
(01.09.14 12:31:55 MSK) автор топика

Ссылка

В iptables, hashlimit + limit-burst - работает очень странно

Покажи как ты это делал

~~sdio~~ ★★★★★
(01.09.14 12:39:54 MSK)

Ответ на: комментарий от sdio 01.09.14 12:39:54 MSK

iptables -A INPUT -p tcp --dport 555 -m conntrack --ctstate RELATED,ESTABLISHED -m hashlimit --hashlimit-above 50/sec --hashlimit-burst 50 --hashlimit-mode srcip --hashlimit-name aadd -j LOG --log-prefix='TESTTEST '

При активности ботов, начинает логировать обычных пользователей, и даже меня.

Xenonaut
(01.09.14 13:09:30 MSK) автор топика

Ответ на: комментарий от Xenonaut 01.09.14 13:09:30 MSK

И это правильно, следующие правило iptables -A INPUT -p tcp --dport 555 -j DROP , profit. А зачем вы логгируете, то что пропускаете?

hizel ★★★★★
(01.09.14 13:22:36 MSK)

Ответ на: комментарий от Xenonaut 01.09.14 13:09:30 MSK

При активности ботов

Вы можете внятно объяснить отличие бота от нормального пользователя?
PPS это слишком эфемерный критерий

zolden ★★★★★
(01.09.14 13:37:28 MSK)

Ответ на: комментарий от hizel 01.09.14 13:22:36 MSK

Разве? --hashlimit-above: если пакеты поступают с большей скоростью, они считаются подпадающими под критерий. (http://ru.wikibooks.org/wiki/Iptables)

Готовое правило для сервера я бы использовал такое:

iptables -A INPUT -p tcp --dport 555 -m conntrack --ctstate RELATED,ESTABLISHED -m hashlimit --hashlimit-upto 50/sec --hashlimit-burst 50 --hashlimit-mode srcip --hashlimit-name aadd -j ACCEPT
iptables -A INPUT -p tcp --dport 555 -j DROP

Где --hashlimit-upto было бы правильным, а не above.

Моё правило для логирования и эти ничем не отличаются, вроде бы.

Xenonaut
(01.09.14 15:27:27 MSK) автор топика