8-классов церковно приходской школы..и кстати, какое отношение школа имеет к Администрированию серверов,или к теме "Столько памяти это нормально?".:)
-------
Я вроде пишу нормально, не ругаюсь по делу..
---------
Ничего действительного действенного в интернете не нашёл. Меня не интересует блокировка из-за количества подключений и прочая ерунда
:)
Интересуют качественные методы определения "паразитного" трафика.
tcpdump
trafshow
&
lsof
netstat
Вы видимо это howto не читали и не пробовали реализовывать.
приведу рабочие примеры на в скидку,я правда отсюда подчеркнул пару токо вариантов прикручивал к csf и всё...
### chains to DROP too many http-s #######/sbin/iptables -D INPUT 38#/sbin/iptables -D LOGDROPIN 17#/sbin/iptables -I INPUT 38 -i eth0 -p tcp -m limit --limit 25/second --limit-burst 20 -j ACCEPT#/sbin/iptables -I LOGDROPIN 17 -p tcp --dport 80 -m limit --limit 30/min -j LOG --log-prefix "http flood:"#####/sbin/iptables -I INPUT -p tcp --dport 80 -i eth0 -m state --state NEW -m recent --set#/sbin/iptables -I INPUT -p tcp --dport 80 -i eth0 -m state --state NEW -m recent --update --seconds 30 --hitcount 10 -j DROP###############/sbin/iptables --new-chain http#/sbin/iptables -I INPUT -p tcp --syn --dport 80 -i eth0 -m state --state NEW -m recent --set --jump http#/sbin/iptables --append http -p tcp --syn --dport 80 -i eth0 -m state --state NEW -m recent --update --seconds 60 --hitcount 20 --jump RETURN#/sbin/iptables --append http -m limit --limit 30/min -j LOG --log-prefix "http flood:"#/sbin/iptables --append http --jump DROP#echo "### chains to DROP too many ping-s ######"#/sbin/iptables -N ping-flood#/sbin/iptables -A INPUT -i eth0 -p icmp --icmp-type ping -m limit --limit 1/second --limit-burst 5 -j ping-flood#/sbin/iptables -A ping-flood -m limit --limit 1/sec --limit-burst 5 -j RETURN#/sbin/iptables -A ping-flood -m limit --limit 30/min -j LOG --log-prefix "ping flood:"#/sbin/iptables -A ping-flood -j DROP
Если я буду держать уговор о времени, я обязательно его выставлю в предложение когда мы будем устно, заключать что либо между заказчиком и исполнителем...а если заказчик имеет наполовину рабочий сервер и в срочности отпадает и он может быть захочет подешевле делать,в любом случии он написал не туда где надо что то срочно делать, или исполнять..есть же раздел выше где есть определенные люди которые готовы делать за деньги и в кротчайшие сроки ..вот где то так.🍻
И что "за нас" придумали?
Давно придумали программную реализацию, по защите от разных рода аттак:
В программный метод защиты относить,всё то что мoжет управляться, на канальном уровне
то-есть к канальному уровню относим ARP драйвера устрйоства,канальный уровень контролирует сетевой уровень,транспортный уровень,и прикладной уровень,есть момент физического уровня но тут уже к сожалению аплинкер может выступать в качестве контроля, у вас доступа к проводам нету :)
Так вот Iptables ipfw nginx и т п всё это программный метод защиты,и в интернете много HOW TO как делать защиту от разных видов аттак.
----------
DDos отражает устройство.
Да кошки рулят но пойдите купите ради 50 мегабитного доса кошку :) или какой нить T3 роутер чтоли :)
1)Речь тут не о каналах и т.д.,
2)а о самой реализации.
1)Вы просто глубоко заблуждаетесь всё имеет значение когда обсуждаем дос атаки.
если дос будет на 70% больше канала...то не железка не програмный метод не что вас не спасёт,будете лежать и не куда не денитесь.....к сожелению,это я писал выше! к таму что зачем строить сложности когда от серьёзного доса врядле что спасёт :)
2) я написал выше что реализация Iptables и прочие фишки которые доступны в инете...уже готовы и голову ломать не надо.
И не обязательно для этого использовать тот же сервер, что и для web.
Я отношу сваю писанину, к серверам начальным.(интернет дц и т п)так или иначе тема затронула скрипт каторый надо обсудить,я углубился и хотел сказать что всё уже придумали не надо строить не чего,это маё мнение..зачем было его обсуждать вам,критикуйте вон скрипт я раз высказался да и хватит..вы же продолжаете развевать маю и сваю мысль :)
серьёзный ddos мало какой скрипт отразит,и фаервол,не надо ломать голову над скриптами, все за вас придумали..iptables работает в принце-пе прекрасно,со всеми видами атак...ну хотя атак не так много, смысла один нагрузить канал, либо если нету ограничение нагрузить веб сервер...но скажу вам одну вещь если у вас сервант в дц обычный 10 мегабайт....то при 3 мегабайтном досе, даже если вы залочите 80 порт, вы не сможете работать нормально...слишком много будет паразитного трафика и будут существенные потери,вопще по всей идеи отражать вредный трафик должен аплинкер,так или иначе у него намного больше возможности отсеивать его, чем вам справляться стем что на вас на валилось (обленились они) :)...так-шо крупный дос не отразим...а мелкий решаемый уже готовыми методами...поэтому не ломайте голову а просто используйте то что уже зделали за всех нас...l🍻
Здравствуйте вы можете написать мне в лс и мы посмотреть ваш впс.за мониторинг и рассмотрение проблемы ( не решение ) я денег не беру,мало ли может я не смогу решить :)
Вы заходите не по сессиям, а по логину и паролю,не путайте,вы попадаете в терминал по авторизации..а сессия это живёт в терминале...поэтому поставе 0 в политеке безопасности..и попробуйте авторизоваться на терминал, тогда вы попадёте в сесию в ту где уже авторизовались ранее ..
А что-бы создать новую сессию, Создайте новый аккаунт, и зайдите под ним на терминал.
Да есть что добавить ушли от темы.
Ув. zexis! предоставите пожалуйста вывод:
В ssh под root в ведите
iptables -L -nv
И дайте вывод нам в форум что-бы мы не гадали что у вас за порядок правил-цепочек, и откомпилирован Iptables у вас с модулем hashlimit ? какая версия Iptables какое ядро, какая система,вы дали сводную информацию и нельзя составить цепочку логики работы iptables
В политеке безопасности смотрите, параметр время жизни сессии я точно уже не помню давно не работал но он точно там есть! ставте 0 и всё должно работать а сессия та что у вас не запустилась я думаю она просто не активная и ждёт свае-го часа когда система её прибьёт..если не разберётесь я на vm запщю 2003, и скину скин но глупо было бы не разобрать :)
Борис я лично вас понимаю,для меня всё просто keepalive даёт возможность работать в потоке ,и то что он дёргает будет лиш всего одним tcp соединением,я это понял давно,но я пишу за Iptables конкретно за провела его...мы же не можем думать что и как он дёрграл )))да и не важно надо просто подойти к вопросу его и рассмотреть сначала iptables потомушто он пишит за правела
И сразу я скажу..не важно кейпаливе, или нет,он в любом случии дёргал не раз в 2 минуты ....если у него настроен апачи по дефолту то породить новый процесс апачи почти сразу там чилдрены установлены минимальны..всё ранво бы его замочило*)))...но мы ушли так далеко от всего ,а у него всё просто должно было быть 🍻
