LINUX.ORG.RU
ФорумAdmin

iptables: ограничение трафика бота по соединению

 


0

1

Привет друзья!

Суть темы: имеется бинарное приложение, которое не имеет проверок на кол-во получаемых пакетов, в следствии чего уязвимо к атакам и перегружается.

В текущий момент стоит боле-менее фильтр на основе размеров пакетов/секунду с одного IP адреса

Вопросы: 1) Можно ли, а если да - то как, сделать ограничение не на IP, а на 1 активное соединение? 2) Можно ли фильтровать не по кол-ву пакетов/секунду, а по длине пакетов/секунду? Например, лимит длины 5000/с, все что выше - reject 3) Ваши идеи, как еще можно ограничить вредоносный трафик на пути к приложению?



Последнее исправление: momi (всего исправлений: 1)

длинна пакетов/секунду - это байт/секунду - это скорость.

Возможно тебе подойдет hashlimit

vel ★★★★★
()
Ответ на: комментарий от vel

Поддержу hashlimit как самый простой вариант. Будет что-то вида: -m hashlimit --hashlimit-above 5kb/s -j DROP. Есть ещё tc. Но если реально дудосить начнут всё равно нужно с провайдером вопрос решать, чтобы он на подходе ещё трафик блэкхолил. Иначе никакого сервера не хватит.

Mike_RM
()
Ответ на: комментарий от Mike_RM

Там проблема не с каналом, а с тем, что бинарное приложение перегружается из-за флуда на уровне приложения В идеале бы конечно само приложение дописать/обновить, но такой возможности нет

По этому ищу пути фильтрации на уровне байтов

momi
() автор топика

Что такое «по длине пакетов/секунду»? Это по количеству пакетов, превышающих определенный размер (5000) и идущих в одной сессии? Или ограничение размера переданных данных за секунду в одной сессии? Короче - перефразируй.

funky
()
Ответ на: комментарий от funky

Ограничение размера переданных данных за секунду в одной сессии

momi
() автор топика
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.