Вы здесьВопрос к опытным линуксоидам
Опубликовано пт, 09/10/2009 - 11:52 пользователем larin
Кто-нибудь может помочь настроить шейпер?
|
Вход на сайтПоиск по блогам и форумамUser menuПоследние комментарии
Larisa_F RE:Неудавшийся священник 6 часов
sibkron RE:«Уроки русского» 10 часов DGOBLEK RE:Подайте бедному копеечку на книжку с литреса... 5 дней babajga RE:Повесть о чудесном одуванчике 6 дней Саша из Киева RE:Ночной пассажир 1 неделя larin RE:Оплатила,но абонемент не отображается 1 неделя tvnic RE:Maxima-library - новый адрес 1 неделя Саша из Киева RE:Хождение во власть. После путча 1 неделя weis RE:Прошу переформатировать, распознать, etc... 1 неделя babajga RE:Алиса в стране чудес 2 недели tanyaguscha RE:Грушевое дерево 2 недели babajga RE:Ёжик, который хотел обнять Луну 2 недели babajga RE:Самый храбрый совёнок 2 недели babajga RE:Похититель домофонов 2 недели Саша из Киева RE:Хочу быть лётчиком 2 недели Саша из Киева RE:Бессмертен подвиг ваш 2 недели sem14 RE:Искатель жемчуга 2 недели Larisa_F RE:Жизнь не отменяется 2 недели Впечатления о книгах
udrees про Круз: Холод, пиво, дробовик (Боевая фантастика)
05 05 Отличная книга. Добротное описание обстановки, обстоятельные размышления героев, тщательное вырисовывание арсенала оружия, которым славится Круз. Хорошая обстановка – в меру фэнтези, мир где водятся всякие чудища, недружелюбная ……… Оценка: отлично!
udrees про Золотусский: Гоголь (Историческая проза)
05 05 Типовая биография, приводятся основные моменты жизни писателя. По некоторым произведениям дается довольно большой разбор – описание персонажей, символизм, скрытые намеки, критика. Это касается в основном Мертвых душ, но еще ……… Оценка: плохо
187 про Петров: Тайна Концептуальной Власти (Политика)
04 05 Я таки догадывюсь , что за чегт тянет свою когтистую пятегню на обложке))) Оценка: отлично!
187 про Петров: Тайны управления человечеством, или Тайны глобализации. Книга 1 [Книга в Федеральном списке экстремистских материалов (п. 1463)] (Политика)
04 05 Кто эти феерические чудаки, внёсшие эту замечательную книгу в список экстремистских? Рекомедую автора, респект залившему книги. Оценка: отлично!
Belomor.canal про Яковлева: Случай в Москве [Литрес] (Исторический детектив)
03 05 Самая короткая из 3-х повесть - на один вечер чтения! Это как бы начало расследований нашего гусара, то есть №3 идет перед №1, где ротмистр уже ранен и возвращается подлечится. Опять, надо не заморачиваться историческими не ……… Оценка: хорошо
Isais про Ло Гуаньчжун
01 05 Я скажу: 1) для обсуждения вопросов есть ФОРУМ, а не впечатления около книги; 2) за 17 лет существования Либрусека вопросы "где у авторов имя и куда что писать" были многократно урегулированы; 3) почему вам не ………
alexk про Ло Гуаньчжун
01 05 Не знаю, правильно ли это - записывать и имя и фамилию китайского автора в поле "фамилия" Что скажете, коллеги? 2 Isais. О, Ваш ответ, безусловно помог.
Isais про Эпосы, мифы, легенды и сказания: Серебряная дудочка Маккримонса [шотландские легенды] (Детские стихи, Мифы. Легенды. Эпос, Народные сказки)
01 05 Как человек, который вычитывал одни и те же шотландские легенды в двух разных переводах, имею право утверждать: перевод Мелитины Клягиной-Кондратьевой лучше -- атмосфернее, поэтичнее.
Isais про Горький: Дед Архип и Лёнька (Русская классическая проза, Детская проза)
01 05 Прочитав в соответствующем -- т.е. в младшем школьном возрасте -- этот рассказ, я искренне, от души, навсегда возненавидел Максима Горького.
tvnic про Селезнёв: Беспокоящий огонь (Публицистика, Спецслужбы)
01 05 Очередная пропагандистская хрень. Оценка: нечитаемо
gruin про Беличенко: Помещик. Книга 1 [СИ] (Альтернативная история, Самиздат, сетевая литература)
30 04 Дикая белиберда про стекло и чугун. Ни сюжета ни персонажей. Вонь Оценка: нечитаемо |
Комментарии
Отв: Вопрос к опытным линуксоидам
Помочь могу, email отправил .
Вот еще такая идейка возникла:
iptables -A INPUT -p tcp --dport 80 -m connlimit --connlimit-above 5 -j DROP
На сервере или на балансере сразу паразитный траффик упадет , так как браузер oкрывает ограниченное количество connections к серверу , к примеру IE8 oткывает 8, Firefox конечно не мелочится и может откыть и 15 , но и с 5-ю будет работать нормально. Ты не смотрел, сколько connection открывают ДДОС машины?
Но тут уже можно подобрать опытным путем.
Ещё можно изменить TCP congestion control алгоритм , скажем попробовать TCP-Vegas вместо TCP-Reno который используется по умолчанию.
Антон
Отв: Вопрос к опытным линуксоидам
К основному серверу connectionы открывают не ддос машины, а прокси. И как-то некузяво их в этом ограничивать.
Отв: Вопрос к опытным линуксоидам
Я и имел в виду использовать connlimit на прокси. Давай попробуем, мы всегда можем все вернуть в первоночальное состояние. Ну что , пишем скрипт?
Антон
Отв: Вопрос к опытным линуксоидам
connlimit не спасет, атака-то распределенная.
Да и на некоторых из proxy (которые vps) модули connlimit и recent не работают (но если и работали, особенно не помогли бы).
Отв: Вопрос к опытным линуксоидам
Вот тут очень бы помог tcpdump , чтобы увидеть сколько раз открвают порт DDOS машины. Что-то не верю я что они только окрывают 5-10 коннектов.
И ещё - интересно увидеть
cat /proc/net/ip_conntrack
с прокси.
Антон
Отв: Вопрос к опытным линуксоидам
И ещё - интересно увидеть cat /proc/net/ip_conntrack
[root@xxxxx ~]# cat /proc/net/ip_conntrack
cat: /proc/net/ip_conntrack: No such file or directory
[root@xxxxx ~]# iptables -A INPUT -p tcp --dport 80 -m connlimit --connlimit-above 15 -j DROP
iptables: Unknown error 4294967295
[root@xxxxx ~]# uname -a
Linux xxxxx 2.6.18-128.2.1.el5.028stab064.7 #1 SMP Wed Aug 26 15:47:17 MSD 2009 i686 i686 i386 GNU/Linux
[root@xxxxx ~]#
Отв: Вопрос к опытным линуксоидам
для использования connlimit ядро надо патчить. лучше hashlimit использовать. типа
iptables -A INPUT -p tcp -m tcp --dport 80 -m state --state new -m hashlimit --hashlimit 10/sec --hashlimit-burst 10 --hashlimit-mode srcip --hashlimit-name HTTP_DOS -j ACCEPT
Отв: Вопрос к опытным линуксоидам
Connlimit is in 2.6.25 , no patch needed , and server runs 2.6.25-14 , so we are ok.
Отв: Вопрос к опытным линуксоидам
> Linux xxxxx 2.6.18-128.2.1.el5.028stab064.7 #1 SMP Wed Aug 26 15:47:17 MSD 2009 i686 i686 i386 GNU/Linux
так патчить или нет?
Отв: Вопрос к опытным линуксоидам
можно поподробнее как и чем досят... IMHO трудно защитить север с помощью проксей если основной адрес светится в уведомлениях о регистрации... чаще всего помогает это...
#
iptables -A INPUT -p tcp -j bad_tcp_packets
iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -A INPUT -p tcp -m tcp --dport 80 -j allowed
#
iptables -A bad_tcp_packets -p tcp -m tcp --tcp-flags SYN,ACK SYN,ACK -m state --state NEW -j DROP
iptables -A bad_tcp_packets -p tcp -m tcp ! --tcp-flags FIN,SYN,RST,ACK SYN -m state --state NEW -j DROP
#
iptables -A allowed -p tcp -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -A allowed -p tcp -j DROP
#
могу для теста сделать прокси на основной сервер. отдам 10мегабит чисто с академическими целями... и оговоренными параметрами... вам отфильтрованный трафик мне ботсети и их хозяева?
Отв: Вопрос к опытным линуксоидам
А как можно вычислить бот-машины? IP spoofing разве не используют?
Отв: Вопрос к опытным линуксоидам
ну насчет хозяев я могу и шутить... насчет спуфинга режется он на раз. чтобы какойто вред принести надо чтобы прошло соединение SYN, SYN ACK, ACK. короче неважно вычисляется все... проще показать чем рассказать. обещаю в контент не лезть и пароли не снифирить ;) хозяину ресурса могу представиться в привате.
Отв: Вопрос к опытным линуксоидам
У некоторых провайдеров все же есть NAT (в России особенно распространено), в таких спуфинг не возможен (вернее внутри серой сети возможен, но на Либрусек все равно придет правильный src). Ну а в остальном все зависит от тех, кто в каждом конкретном случае занимается сетью... Технически способов препятствовать такому много, да и у провайдера есть своя заинтересованность в этом: ему ж еще и нужно трафик считать