Вы здесьВопрос к опытным линуксоидам
Опубликовано пт, 09/10/2009 - 11:52 пользователем larin
Кто-нибудь может помочь настроить шейпер?
|
Вход на сайтПоиск по блогам и форумамUser menuПоследние комментарии
weis RE:Подайте бедному копеечку на книжку с литреса... 4 дня
Саша из Киева RE:СССР - великое содружество народов-братьев 1 неделя weis RE:Прошу переформатировать, распознать, etc... 1 неделя Саша из Киева RE:Латинская Америка 1 неделя Саша из Киева RE:Сказки старого филина 1 неделя Саша из Киева RE:Микроюморески со всего света 2 недели Саша из Киева RE:Звёзды на рейде 2 недели Trinki RE:Цензура в книжном магазине 2 недели Саша из Киева RE:Улицы моего города 2 недели Isais RE:Древний Рим. Подборка книг 2 недели Саша из Киева RE:Обновление FictionBook Editor 3 недели Саша из Киева RE:Лучезарный феникс 1 месяц PrePress RE:Что случилось с FTP? 1 месяц Саша из Киева RE:Нефритовый чайник эпохи Мин 1 месяц Саша из Киева RE:Ва-банк 1 месяц Саша из Киева RE:Ведомственный притон 1 месяц konst1 RE:Fb27 1 месяц nehug@cheaphub.net RE:Что случилось с либрусеком? 1 месяц Впечатления о книгах
Chita-Drita про Пирс: Yours Cheerfully [en] (Старинная литература: прочее)
19 03 Продолжение истории про Эмили Лейк. Война, Англия. Она вся такая помощница. Можно почитать, хотя не шедевр. Оценка: хорошо
Chita-Drita про Грубер: Смертный приговор [Todesurteil ru] (Триллер, Детективы: прочее)
19 03 Триллер на твердую четверку. Не шедевр, но прочитать можно. Оценка: хорошо
Chita-Drita про Старобинец: Лисьи броды [litres] (Ужасы)
19 03 Мне очень понравилось. Старобинец умеет писать, конечно. Весь этот мир, куча кусочков-паззлов, которые потом собираются в одну картинку. Было интересно. Оценка: отлично!
Chita-Drita про Диккер: Дело Аляски Сандерс [litres] (Триллер, Детективы: прочее)
19 03 Хуже, чем "Правда о деле Гарри Квеберта" и тем более "Книги Балтиморов". Но в целом прочесть можно. Загадка интересная. Герои уже полюбились. Для продолжения серии хорошо. Оценка: хорошо
Chita-Drita про Барри: Скрижали судьбы [The Secret Scripture ru] (Историческая проза, Современная проза)
19 03 Очень нудная книга. Много ненужных подробностей. Неправдоподобные события, финал тяп-ляп. Не понравилась. Оценка: плохо
Chita-Drita про Роуч: Секс для науки. Наука для секса [Bonk: The Curious Coupling of Science and Sex ru] (Психология, Научная литература: прочее, Секс и семейная психология)
19 03 Читать было интересно. У автора хорошее чувство юмора. И проделала она огромную работу для написания этой книги. Не могу сказать, что открыла для себя много нового. Но в целом потраченного времени не жалею. Оценка: хорошо
decim про Уоттс: Эхопраксия [Echopraxia ru] (Научная фантастика)
17 03 В подлиннике - отлично. Увы, не могу продраться через перевод. Без оценки.
udrees про Михайлов: Низший 7 [СИ litres] (Боевая фантастика, Героическая фантастика, Киберпанк, Самиздат, сетевая литература)
17 03 Раздражает иногда поведение главного героя, который шлет всех на три буквы, заслуженно или нет. Уважение какое-то испытывает только перед детьми, стариками и некоторыми женщинами. Герой просто безбашенный, сумасшедший ……… Оценка: отлично!
udrees про Михайлов: Низший 6 [СИ litres] (Боевая фантастика, Героическая фантастика, Киберпанк, Самиздат, сетевая литература)
17 03 На мой взгляд, книга слабее предыдущих двух. Все действие происходит в Зомбилэнде, герой все так же действует напролом, прямолинейно и жестоко. Описания довольно кровавые, часто отдают пошлостью, через слово в диалоге звучит ……… Оценка: отлично!
udrees про Михайлов: Низший 5 [СИ litres] (Боевая фантастика, Героическая фантастика, Киберпанк, Самиздат, сетевая литература)
17 03 1 и 2 книги были конечно шикарны, но герою тоже нужно расти, поэтому 3 и 4-я книги тоже по своему интересны, по мере продвижения героя вверх по миру. В этом плане 5-я книга выделяется своим сюжетом и описанием, которое отличается ……… Оценка: отлично!
Олег Макаров. про Павел Воронин
15 03 Lee321 «В феврале 2020 года была выпущена новеллизация первого сезона под названием «Триггер. Как далеко ты можешь зайти»[13], состоящая из 30 глав. Автором новеллизации выступил Павел Воронин, а предисловие написал Сергей Насибян» Wikipedia
decim про Стивенсон: Синдром отката [litres] (Социальная фантастика, Научная фантастика)
14 03 Неплохо. Не отлично и не хорошо, т.к. затянуто, многословно и к тому же автор натащил в креатив всё, что нынче носят, часто лишнее. Глобальное потепление, по автору, можно затормозить человеческой техникой - смело! Для ……… Оценка: неплохо |
Комментарии
Отв: Вопрос к опытным линуксоидам
Помочь могу, email отправил .
Вот еще такая идейка возникла:
iptables -A INPUT -p tcp --dport 80 -m connlimit --connlimit-above 5 -j DROP
На сервере или на балансере сразу паразитный траффик упадет , так как браузер oкрывает ограниченное количество connections к серверу , к примеру IE8 oткывает 8, Firefox конечно не мелочится и может откыть и 15 , но и с 5-ю будет работать нормально. Ты не смотрел, сколько connection открывают ДДОС машины?
Но тут уже можно подобрать опытным путем.
Ещё можно изменить TCP congestion control алгоритм , скажем попробовать TCP-Vegas вместо TCP-Reno который используется по умолчанию.
Антон
Отв: Вопрос к опытным линуксоидам
К основному серверу connectionы открывают не ддос машины, а прокси. И как-то некузяво их в этом ограничивать.
Отв: Вопрос к опытным линуксоидам
Я и имел в виду использовать connlimit на прокси. Давай попробуем, мы всегда можем все вернуть в первоночальное состояние. Ну что , пишем скрипт?
Антон
Отв: Вопрос к опытным линуксоидам
connlimit не спасет, атака-то распределенная.
Да и на некоторых из proxy (которые vps) модули connlimit и recent не работают (но если и работали, особенно не помогли бы).
Отв: Вопрос к опытным линуксоидам
Вот тут очень бы помог tcpdump , чтобы увидеть сколько раз открвают порт DDOS машины. Что-то не верю я что они только окрывают 5-10 коннектов.
И ещё - интересно увидеть
cat /proc/net/ip_conntrack
с прокси.
Антон
Отв: Вопрос к опытным линуксоидам
И ещё - интересно увидеть cat /proc/net/ip_conntrack
[root@xxxxx ~]# cat /proc/net/ip_conntrack
cat: /proc/net/ip_conntrack: No such file or directory
[root@xxxxx ~]# iptables -A INPUT -p tcp --dport 80 -m connlimit --connlimit-above 15 -j DROP
iptables: Unknown error 4294967295
[root@xxxxx ~]# uname -a
Linux xxxxx 2.6.18-128.2.1.el5.028stab064.7 #1 SMP Wed Aug 26 15:47:17 MSD 2009 i686 i686 i386 GNU/Linux
[root@xxxxx ~]#
Отв: Вопрос к опытным линуксоидам
для использования connlimit ядро надо патчить. лучше hashlimit использовать. типа
iptables -A INPUT -p tcp -m tcp --dport 80 -m state --state new -m hashlimit --hashlimit 10/sec --hashlimit-burst 10 --hashlimit-mode srcip --hashlimit-name HTTP_DOS -j ACCEPT
Отв: Вопрос к опытным линуксоидам
Connlimit is in 2.6.25 , no patch needed , and server runs 2.6.25-14 , so we are ok.
Отв: Вопрос к опытным линуксоидам
> Linux xxxxx 2.6.18-128.2.1.el5.028stab064.7 #1 SMP Wed Aug 26 15:47:17 MSD 2009 i686 i686 i386 GNU/Linux
так патчить или нет?
Отв: Вопрос к опытным линуксоидам
можно поподробнее как и чем досят... IMHO трудно защитить север с помощью проксей если основной адрес светится в уведомлениях о регистрации... чаще всего помогает это...
#
iptables -A INPUT -p tcp -j bad_tcp_packets
iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -A INPUT -p tcp -m tcp --dport 80 -j allowed
#
iptables -A bad_tcp_packets -p tcp -m tcp --tcp-flags SYN,ACK SYN,ACK -m state --state NEW -j DROP
iptables -A bad_tcp_packets -p tcp -m tcp ! --tcp-flags FIN,SYN,RST,ACK SYN -m state --state NEW -j DROP
#
iptables -A allowed -p tcp -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -A allowed -p tcp -j DROP
#
могу для теста сделать прокси на основной сервер. отдам 10мегабит чисто с академическими целями... и оговоренными параметрами... вам отфильтрованный трафик мне ботсети и их хозяева?
Отв: Вопрос к опытным линуксоидам
А как можно вычислить бот-машины? IP spoofing разве не используют?
Отв: Вопрос к опытным линуксоидам
ну насчет хозяев я могу и шутить... насчет спуфинга режется он на раз. чтобы какойто вред принести надо чтобы прошло соединение SYN, SYN ACK, ACK. короче неважно вычисляется все... проще показать чем рассказать. обещаю в контент не лезть и пароли не снифирить ;) хозяину ресурса могу представиться в привате.
Отв: Вопрос к опытным линуксоидам
У некоторых провайдеров все же есть NAT (в России особенно распространено), в таких спуфинг не возможен (вернее внутри серой сети возможен, но на Либрусек все равно придет правильный src). Ну а в остальном все зависит от тех, кто в каждом конкретном случае занимается сетью... Технически способов препятствовать такому много, да и у провайдера есть своя заинтересованность в этом: ему ж еще и нужно трафик считать