Вы здесьВопрос к опытным линуксоидам
Опубликовано пт, 09/10/2009 - 11:52 пользователем larin
Кто-нибудь может помочь настроить шейпер?
|
Вход на сайтПоиск по блогам и форумамUser menuПоследние комментарии
Aliki RE:Подайте бедному копеечку на книжку с литреса... 21 час
medved RE:Предупреждение: "зеркала" флибусты 1 день Isais RE:Соседи 3 дня babajga RE:Как сова отправилась в отпуск 1 неделя Саша из Киева RE:Горящие паруса 2 недели Саша из Киева RE:Подвиг героев - судьба страны. МНР: люди и годы 3 недели commodore RE:Письма 1 месяц Саша из Киева RE:Три минуты истории 1 месяц nehug@cheaphub.net RE:Как бы с этим побороться и побороть? 1 месяц Саша из Киева RE:Книги на латышском языке 1 месяц stevecepera RE:Список современных французских писателей? 1 месяц etorus2008 RE:Отв: Помогите найти книгу по описанию 2 месяца lemma7 RE:Чёрный нимб и другие истории, исполненные неизъяснимого ужаса 2 месяца Wedmak RE:Помогите найти!.. #2 2 месяца sem14 RE:Координация сканирования и вычитки 2 месяца babajga RE:Кто сможет раздобыть и оцифровать нужные мне книги? 2 месяца Isais RE:Мои открытия 2 месяца kopak RE:О группе Дятлова. О той самой, того самого... 2 месяца Впечатления о книгах
скунс про Карелин: Лекарь Империи (Городское фэнтези, Попаданцы, Самиздат, сетевая литература)
01 07 Читать интересно,понравилось Оценка: хорошо
Isais про Журнал «Мир Фантастики»: Мир фантастики, 2023 № 07 (Публицистика, Газеты и журналы, Фантастика: прочее)
30 06 Неожиданные две странички комикса в конце номера... очень повеселили!
дядя_Андрей про Хоттабыч
29 06 Прочитал всю, пока имеющуюся, серию. Впечатление двоякое. Примерно до "Аватара" всё шло более-менее. Да и "Аватар" вначале заинтересовал. А вот, когда началось голимое фэнтези, я уже заскучал. Да и ГГ какой-то странный. С ………
marin029 про Шаман: Эвакуатор 3 и 4 [СИ] (Фэнтези, Постапокалипсис, Попаданцы, Самиздат, сетевая литература)
29 06 Похоже напутано с номерами томов 2, 3 и 4
voronin345 про Ежов: Перелетная птица (Социальная фантастика, Попаданцы, Самиздат, сетевая литература)
28 06 сочинение школьника пятого класса....как я нагну всех и мня не поставят в угол. Оценка: нечитаемо
mysevra про Бардуго: Правление волков [litres] [Rule of Wolves ru] (Героическая фантастика, Фэнтези, Городское фэнтези)
27 06 Хорошая работа переводчика, а сама история получилась тусклой. Зачем реанимировать то, что так хорошо упокоено? Найди себе нового идола. Оценка: неплохо
mysevra про Ищенко: Потусторонний криминал (Документальная литература, Научпоп)
27 06 В 90-е такая книга была бы откровением, в 2018 – слабенько, всё уже где-то читано. Оценка: неплохо
mysevra про Уланов: Плюс на минус (Детективная фантастика, Городское фэнтези)
27 06 Мне понравилось. Многие ругают авторов за незнание предмета. Какого, к чёрту, предмета? Справочника по содержанию русалок? Эта история не есть мануал рейнджера, это фольк-детектив, фэнтези и немножко мелодрама, призванная ……… Оценка: отлично!
Wik@Tor про Антиблицкриг
27 06 Встать я смог через три дня и, хоть и с трудом, доковылял до туалета. Счастья было полные штаны. Это как раз был Новый год. Силы понемногу прибывали. За прилавком молодая продавщица, как говорят, кровь с молоком, да с ………
dolle про Мусаниф: Травник (Боевая фантастика, Фэнтези, ЛитРПГ, Самиздат, сетевая литература)
26 06 Новые приключения в "мире физрука". Отлично. Оценка: отлично!
Drangool про Мах: Игра в умолчания (Боевая фантастика, Эпическая фантастика, Героическая фантастика, Фэнтези)
26 06 На мой взгляд - отлично! Понравилось и рекомендую! Оценка: отлично!
dolle про Лукьяненко: Седьмой (Киберпанк, Космическая фантастика, Попаданцы, Самиздат, сетевая литература)
26 06 Отлично. Первые тома серий у автора всегда хороши. Оценка: отлично! |
Комментарии
Отв: Вопрос к опытным линуксоидам
Помочь могу, email отправил .
Вот еще такая идейка возникла:
iptables -A INPUT -p tcp --dport 80 -m connlimit --connlimit-above 5 -j DROP
На сервере или на балансере сразу паразитный траффик упадет , так как браузер oкрывает ограниченное количество connections к серверу , к примеру IE8 oткывает 8, Firefox конечно не мелочится и может откыть и 15 , но и с 5-ю будет работать нормально. Ты не смотрел, сколько connection открывают ДДОС машины?
Но тут уже можно подобрать опытным путем.
Ещё можно изменить TCP congestion control алгоритм , скажем попробовать TCP-Vegas вместо TCP-Reno который используется по умолчанию.
Антон
Отв: Вопрос к опытным линуксоидам
К основному серверу connectionы открывают не ддос машины, а прокси. И как-то некузяво их в этом ограничивать.
Отв: Вопрос к опытным линуксоидам
Я и имел в виду использовать connlimit на прокси. Давай попробуем, мы всегда можем все вернуть в первоночальное состояние. Ну что , пишем скрипт?
Антон
Отв: Вопрос к опытным линуксоидам
connlimit не спасет, атака-то распределенная.
Да и на некоторых из proxy (которые vps) модули connlimit и recent не работают (но если и работали, особенно не помогли бы).
Отв: Вопрос к опытным линуксоидам
Вот тут очень бы помог tcpdump , чтобы увидеть сколько раз открвают порт DDOS машины. Что-то не верю я что они только окрывают 5-10 коннектов.
И ещё - интересно увидеть
cat /proc/net/ip_conntrack
с прокси.
Антон
Отв: Вопрос к опытным линуксоидам
И ещё - интересно увидеть cat /proc/net/ip_conntrack
[root@xxxxx ~]# cat /proc/net/ip_conntrack
cat: /proc/net/ip_conntrack: No such file or directory
[root@xxxxx ~]# iptables -A INPUT -p tcp --dport 80 -m connlimit --connlimit-above 15 -j DROP
iptables: Unknown error 4294967295
[root@xxxxx ~]# uname -a
Linux xxxxx 2.6.18-128.2.1.el5.028stab064.7 #1 SMP Wed Aug 26 15:47:17 MSD 2009 i686 i686 i386 GNU/Linux
[root@xxxxx ~]#
Отв: Вопрос к опытным линуксоидам
для использования connlimit ядро надо патчить. лучше hashlimit использовать. типа
iptables -A INPUT -p tcp -m tcp --dport 80 -m state --state new -m hashlimit --hashlimit 10/sec --hashlimit-burst 10 --hashlimit-mode srcip --hashlimit-name HTTP_DOS -j ACCEPT
Отв: Вопрос к опытным линуксоидам
Connlimit is in 2.6.25 , no patch needed , and server runs 2.6.25-14 , so we are ok.
Отв: Вопрос к опытным линуксоидам
> Linux xxxxx 2.6.18-128.2.1.el5.028stab064.7 #1 SMP Wed Aug 26 15:47:17 MSD 2009 i686 i686 i386 GNU/Linux
так патчить или нет?
Отв: Вопрос к опытным линуксоидам
можно поподробнее как и чем досят... IMHO трудно защитить север с помощью проксей если основной адрес светится в уведомлениях о регистрации... чаще всего помогает это...
#
iptables -A INPUT -p tcp -j bad_tcp_packets
iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -A INPUT -p tcp -m tcp --dport 80 -j allowed
#
iptables -A bad_tcp_packets -p tcp -m tcp --tcp-flags SYN,ACK SYN,ACK -m state --state NEW -j DROP
iptables -A bad_tcp_packets -p tcp -m tcp ! --tcp-flags FIN,SYN,RST,ACK SYN -m state --state NEW -j DROP
#
iptables -A allowed -p tcp -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -A allowed -p tcp -j DROP
#
могу для теста сделать прокси на основной сервер. отдам 10мегабит чисто с академическими целями... и оговоренными параметрами... вам отфильтрованный трафик мне ботсети и их хозяева?
Отв: Вопрос к опытным линуксоидам
А как можно вычислить бот-машины? IP spoofing разве не используют?
Отв: Вопрос к опытным линуксоидам
ну насчет хозяев я могу и шутить... насчет спуфинга режется он на раз. чтобы какойто вред принести надо чтобы прошло соединение SYN, SYN ACK, ACK. короче неважно вычисляется все... проще показать чем рассказать. обещаю в контент не лезть и пароли не снифирить ;) хозяину ресурса могу представиться в привате.
Отв: Вопрос к опытным линуксоидам
У некоторых провайдеров все же есть NAT (в России особенно распространено), в таких спуфинг не возможен (вернее внутри серой сети возможен, но на Либрусек все равно придет правильный src). Ну а в остальном все зависит от тех, кто в каждом конкретном случае занимается сетью... Технически способов препятствовать такому много, да и у провайдера есть своя заинтересованность в этом: ему ж еще и нужно трафик считать