Вы здесьВопрос к опытным линуксоидам
Опубликовано пт, 09/10/2009 - 11:52 пользователем larin
Кто-нибудь может помочь настроить шейпер?
|
Вход на сайтПоиск по блогам и форумамUser menuПоследние комментарии
Океана RE:Подайте бедному копеечку на книжку с литреса... 15 часов
Саша из Киева RE:Детям о Ленине (Издание 1965 года) 2 дня Саша из Киева RE:Приключения Мишки-Ушастика (Перевод Марата Брухнова) 6 дней Саша из Киева RE:Кто сможет раздобыть и оцифровать нужные мне книги? 6 дней babajga RE:Белая княжна 1 неделя Nicout RE:Таинственная личность админа Флибусты 1 неделя Isais RE:Файл достаточно хорош. Нет смысла в его улучшении. Ага,... 1 неделя mazay RE:Sleepy Xoma - Bagⲣѱnoⲣojdennaѱ 2 недели zlyaka RE:С Новым годом! 2 недели Isais RE:Детство, опаленное войной (Вторая мировая 1939-1945 и ВОВ) 2 недели SparkySpirit RE:Прошу переформатировать, распознать, etc... 3 недели SparkySpirit RE:Жорж Санд - переводы 19 века 3 недели Саша из Киева RE:Наш дом - СССР 3 недели babajga RE:Чернушка. Повести 3 недели Саша из Киева RE:Сказки далёких островов 3 недели babajga RE:Лопоухий бес 3 недели babajga RE:Ежик покидает дом 4 недели babajga RE:Сказки бабушки Черепахи 1 месяц Впечатления о книгах
9333694 про Дроздов: Горящее небо Аорна [СИ] (Боевая фантастика, Социальная фантастика, Приключения в современном мире, Самиздат, сетевая литература)
18 01 Напоминает классику: Эдмон Мур Гамильтон "Звездные короли". Но совершенно самсостоятельное произведение. Прочитал с удовольствием. Немаловажно, что ГГ не злоупотреблял перепевом отечественной классики, чем автор иногда грешит Оценка: хорошо
Stager про Демина: Громов: Хозяин теней (СИ) (Боевая фантастика, Фэнтези, Самиздат, сетевая литература)
17 01 Написано с большой любовью к бандиту и демократии. Но бандит всё равно образцовое дерьмо. Зато не так занудно, как обычно. Оценка: плохо
Никос Костакис про Ланцов: Десантник на престоле [Шесть книг в одном томе] (Альтернативная история)
16 01 ...познаниями в области радиоэлектронике..." Так выпьем за кибернетике! (с)
marin029 про Поселягин: Тактик [СИ] (Боевая фантастика, Попаданцы, Самиздат, сетевая литература)
16 01 Где-то в середине книги есть такое: ..."полярная ночь, или северная. Говорят, тут постоянно так светло." Автор уточни получше. Ночью светло это летом, во время полярного, короткого лета. А зимой в заполярье почти постоянно темно.
mysevra про Глуховский: Сумерки (Ужасы, Триллер)
16 01 Я была в восхищении до середины книги, потом всё-таки начали закрадываться сомнения. Потрясающий язык, но, да простит меня автор, так по-ленивому все обосновать – это сплошное разочарование. Оценка: хорошо
DGOBLEK про Кивиряхк: Последний, кто знал змеиную молвь [Mees, kes teadis ussisõnu ru] (Фэнтези, Современная проза)
14 01 Огромнейшее спасибо! Цитаты с книги - Они, видишь ли, ноги мне отрубили да в море сбросили! Пусть катятся в задницу, такими детскими приёмчиками от меня не избавишься! Юной девушке трудно устоять перед косолапым — ……… Оценка: отлично!
Barbud про Фонд: Агитбригада 1 [СИ] (Городское фэнтези, Попаданцы, Самиздат, сетевая литература)
14 01 Написано вроде и неплохо, но анахронизмы глаз режут - тут тебе в 1927 году и дуст, и "Либертанго", и "учебник по истории КПСС". И это я только половину книги одолел. Похоже, автор (или коллектив авторов) в реалиях тех лет ……… Оценка: неплохо
Саша из Киева про Даррелл: Говорящий сверток [The Talking Parcel ru] (Природа и животные, Детская проза)
14 01 artak60, У меня эта книга тоже была именно с такими иллюстрациями. Правда, эта книга была не моя собственная - я брал её в нашей местной детской библиотеке. А сейчас у нас в Киеве со старыми книгами катастрофическая ситуация.
dolle про Пелевин: Круть [litres] (Современная проза)
14 01 Наверное не нужно рассматривать " Трансгуманизм " как цикл.Все книги концептуально разные , вызывающие разные вопросы и эмоции у читателя.После первой книги планка была поднята слишком высоко и у многих появились завышенные ……… Оценка: отлично!
Belomor.canal про Свечин: Месть – блюдо горячее (Исторический детектив, Исторические приключения)
13 01 Похоже автору Лыков надоел по полной! если выкинуть 100 тонн воды - многостраничные цитаты из газет того времени, описание международной обстановки и ещё куча всего, то останется мало интересная история поимки, похожая на ……… Оценка: неплохо
alexk про Древневосточная литература: Книга тысячи и одной ночи. Арабские сказки [litres] (Древневосточная литература, Мифы. Легенды. Эпос)
13 01 Неловкая попытка переиздания /b/436061 из БВЛ
mysevra про Чайлд: Из глубины [Deep Storm ru] (Научная фантастика, Триллер)
13 01 Мне понравилось. Увлекательный сюжет, быстрое развитие действий. Наверное, фильм по этой книге вышел бы зрелищным. Оценка: хорошо |
Комментарии
Отв: Вопрос к опытным линуксоидам
Помочь могу, email отправил .
Вот еще такая идейка возникла:
iptables -A INPUT -p tcp --dport 80 -m connlimit --connlimit-above 5 -j DROP
На сервере или на балансере сразу паразитный траффик упадет , так как браузер oкрывает ограниченное количество connections к серверу , к примеру IE8 oткывает 8, Firefox конечно не мелочится и может откыть и 15 , но и с 5-ю будет работать нормально. Ты не смотрел, сколько connection открывают ДДОС машины?
Но тут уже можно подобрать опытным путем.
Ещё можно изменить TCP congestion control алгоритм , скажем попробовать TCP-Vegas вместо TCP-Reno который используется по умолчанию.
Антон
Отв: Вопрос к опытным линуксоидам
К основному серверу connectionы открывают не ддос машины, а прокси. И как-то некузяво их в этом ограничивать.
Отв: Вопрос к опытным линуксоидам
Я и имел в виду использовать connlimit на прокси. Давай попробуем, мы всегда можем все вернуть в первоночальное состояние. Ну что , пишем скрипт?
Антон
Отв: Вопрос к опытным линуксоидам
connlimit не спасет, атака-то распределенная.
Да и на некоторых из proxy (которые vps) модули connlimit и recent не работают (но если и работали, особенно не помогли бы).
Отв: Вопрос к опытным линуксоидам
Вот тут очень бы помог tcpdump , чтобы увидеть сколько раз открвают порт DDOS машины. Что-то не верю я что они только окрывают 5-10 коннектов.
И ещё - интересно увидеть
cat /proc/net/ip_conntrack
с прокси.
Антон
Отв: Вопрос к опытным линуксоидам
И ещё - интересно увидеть cat /proc/net/ip_conntrack
[root@xxxxx ~]# cat /proc/net/ip_conntrack
cat: /proc/net/ip_conntrack: No such file or directory
[root@xxxxx ~]# iptables -A INPUT -p tcp --dport 80 -m connlimit --connlimit-above 15 -j DROP
iptables: Unknown error 4294967295
[root@xxxxx ~]# uname -a
Linux xxxxx 2.6.18-128.2.1.el5.028stab064.7 #1 SMP Wed Aug 26 15:47:17 MSD 2009 i686 i686 i386 GNU/Linux
[root@xxxxx ~]#
Отв: Вопрос к опытным линуксоидам
для использования connlimit ядро надо патчить. лучше hashlimit использовать. типа
iptables -A INPUT -p tcp -m tcp --dport 80 -m state --state new -m hashlimit --hashlimit 10/sec --hashlimit-burst 10 --hashlimit-mode srcip --hashlimit-name HTTP_DOS -j ACCEPT
Отв: Вопрос к опытным линуксоидам
Connlimit is in 2.6.25 , no patch needed , and server runs 2.6.25-14 , so we are ok.
Отв: Вопрос к опытным линуксоидам
> Linux xxxxx 2.6.18-128.2.1.el5.028stab064.7 #1 SMP Wed Aug 26 15:47:17 MSD 2009 i686 i686 i386 GNU/Linux
так патчить или нет?
Отв: Вопрос к опытным линуксоидам
можно поподробнее как и чем досят... IMHO трудно защитить север с помощью проксей если основной адрес светится в уведомлениях о регистрации... чаще всего помогает это...
#
iptables -A INPUT -p tcp -j bad_tcp_packets
iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -A INPUT -p tcp -m tcp --dport 80 -j allowed
#
iptables -A bad_tcp_packets -p tcp -m tcp --tcp-flags SYN,ACK SYN,ACK -m state --state NEW -j DROP
iptables -A bad_tcp_packets -p tcp -m tcp ! --tcp-flags FIN,SYN,RST,ACK SYN -m state --state NEW -j DROP
#
iptables -A allowed -p tcp -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -A allowed -p tcp -j DROP
#
могу для теста сделать прокси на основной сервер. отдам 10мегабит чисто с академическими целями... и оговоренными параметрами... вам отфильтрованный трафик мне ботсети и их хозяева?
Отв: Вопрос к опытным линуксоидам
А как можно вычислить бот-машины? IP spoofing разве не используют?
Отв: Вопрос к опытным линуксоидам
ну насчет хозяев я могу и шутить... насчет спуфинга режется он на раз. чтобы какойто вред принести надо чтобы прошло соединение SYN, SYN ACK, ACK. короче неважно вычисляется все... проще показать чем рассказать. обещаю в контент не лезть и пароли не снифирить ;) хозяину ресурса могу представиться в привате.
Отв: Вопрос к опытным линуксоидам
У некоторых провайдеров все же есть NAT (в России особенно распространено), в таких спуфинг не возможен (вернее внутри серой сети возможен, но на Либрусек все равно придет правильный src). Ну а в остальном все зависит от тех, кто в каждом конкретном случае занимается сетью... Технически способов препятствовать такому много, да и у провайдера есть своя заинтересованность в этом: ему ж еще и нужно трафик считать