matt 0 Zgłoś post Napisano Grudzień 10, 2009 Witam, Od pewnego czasu mam bardzo duży problem, otóż ktoś utrudnia mi życie używając programu rDOS (klik). Z informacji jakie udało mi się zgromadzić, wywnioskowałem, że program otwiera połączenia, nie zamykając ich, znalazłem również takie zdanie: "pakiety o randomowym rozmiarze i null byte". Aktualnie ten ktoś atakuje tylko port 80, i jeden niestandardowy (serwer gry), w efekcie próba wyświetlenia strony lub zalogowani się na serwer kończy się niepowodzeniem. Moje pytanie brzmi, jak temu zaradzić? O/S to Debian z DirectAdmin, nie znalazłem w logach nic co mogło by mi pomóc zażegnać ten problem. ps. Jeśli nie podałem jakiś informacji, to ze zmęczenia. Udostępnij ten post Link to postu Udostępnij na innych stronach
beliq 442 Zgłoś post Napisano Grudzień 10, 2009 to są pakiety z flagą SYN? Udostępnij ten post Link to postu Udostępnij na innych stronach
matt 0 Zgłoś post Napisano Grudzień 10, 2009 Wydaje mi się, że tak. Udostępnij ten post Link to postu Udostępnij na innych stronach
p 3 Zgłoś post Napisano Grudzień 10, 2009 to są pakiety z flagą SYN? Przecież bez SYN nie nawiąże połączenia Spróbuj: # echo 1 > /proc/sys/net/ipv4/tcp_syncookies Poza tym jak to tylko DOS, to wystarczy wyciąć IP na ogniościance. Udostępnij ten post Link to postu Udostępnij na innych stronach
beliq 442 Zgłoś post Napisano Grudzień 10, 2009 Przecież bez SYN nie nawiąże połączenia Kto każe nawiązywać połączenie? równie dobrze można "zalać" serwer dużą ilością bezsensownych pakietów, a efekt będzie dokładnie taki sam... 1) filtruj połączenia przychodzące po fladze SYN od X do Y bajtów 2) zmniejsz ilość odpowiedzi na pakiety z flagą SYN 3) zmniejsz timeout dla pakietów z flagą SYN 4) tak jak radził jednoliterowiec - włącz ciasteczka 5) zwiększ ( na wszelki wypadek ) limit conntrack'a 6) zrób crona, możesz przerobić templatkę fail2ban, który pobiera dane z nestata i hosty o najwyższej ilości wpisów banuje 7) ktoś światły jeszcze na bank coś dodatkowo doradzi... Udostępnij ten post Link to postu Udostępnij na innych stronach
p 3 Zgłoś post Napisano Grudzień 10, 2009 Kto każe nawiązywać połączenie? równie dobrze można "zalać" serwer dużą ilością bezsensownych pakietów, a efekt będzie dokładnie taki sam... Z informacji jakie udało mi się zgromadzić, wywnioskowałem, że program otwiera połączenia, nie zamykając ich A efekt bynajmniej nie będzie taki sam - otwarte połączenie alokuje o wiele więcej zasobów sytemowych, niż odbity pakiet. Udostępnij ten post Link to postu Udostępnij na innych stronach
matt 0 Zgłoś post Napisano Grudzień 11, 2009 Zrobiłem tak jak polecił p, zmieniłem również wartość ip_conntrack_max (powiększyłem o 30% czyli na 85196). Co do 1, 2, 3 może jakaś podpowiedzieć "co i jak"? nad punktem 6 popracuje wieczorem Udostępnij ten post Link to postu Udostępnij na innych stronach
