Для поддержки connlimit нужно использовать patch-o-matic - Администрирование серверов

Реализована программная защита от DDOS атак.

alex_nsk · 2008-01-09T15:56:31.0000000Z

Итак, представляем Вам программный пакет для защиты от малых и средних DDOS атак . Что это собой представляет: Это динамический фильтр TCP-пакетов, с возможностью управления через веб-интерфейс, способный блокировать в реальном времени доступ к вебсерверу с IP-адресов, генерирующих интенсивный поток HTTP-запросов. Основные свойства Работа в реальном времени. При обнаружении атаки атакующий хост автоматически блокируется, после ее прекращения так же автоматически разблокируется Возможность одновременной блокировки большого количества хостов (сотни тысяч) без потери производительности Система может быть установлена как на машину с вебсервером, так и на промежуточный хост (маршрутизатор или firewall), через который проходят предназанченные вебсерверу пакеты. Возможность управления через веб-интерфейс Классификация HTTP-запросов, задание порога срабатывания в зависимости от их типа Выравнивание траффика: отсылка обратных пакетов атакующим хостам для соблюдения требуемого отношения входящий/исходящий траффик Обратный DNS-резолвинг заблокированных IP, исключение из блокировки хостов из определенных доменов (например, поисковых роботов) Работает на FreeBSD и Linux. Для эффективной работы необходим firewall & ngnix. Помимо защиты от атак, Ados позволяет блокировать спамботов, червей и т.п., снижая паразитную нагрузку на сервер. Что он может: Фильтр может отражать десятки тысяч пакетов в секунду с сотен тысяч IP адресов без существенной нагрузки на сервер. Блокировка идет в реальном времени, адреса разблокируются после прекращения атаки. Как показывает практика абсолютное большинство атак на порталы не являющиеся лидерами рынка не превышают десяти тысяч пакетов в секунду . Таким образом, фильтр реальное бюджетное решение проблем для защиты от атак. В лабораторных условиях фильтр был испытан на потоке в 30тыс запросов в секунду с балластом в 200тыс адресов. Загрузка процессора составляла не более 16%! Была отражена реальная атака с 450 хостов с интенсивностью 6тыс запросов в секунду. Атака продолжалась несколько дней, сервер работал без перебоев и загрузка одного из процессоров составляла не более 16%. При этом сотни сайтов на данном сервере работали без перебоев. Далее атакующий «сдулся» :smoke: Что он не может: Фильтр не будет панацеей от всех атак и не сможет выдержать сотни тысяч пакетов в секунду. Не стоит ожидать от фильтра возможности избавиться от необходимости аппаратной защиты если на ваш проект нападут действительно серьезные конкуренты или недоброжелатели с серьезными бюджетами. Но от атак, стоимость которых исчисляется единицами тысяч у.е. он вполне способен Вас защитить. Стоимость фильтра: Стоимость комплекта защиты для одного сервера составляет 9000 руб в год ; Стоимость комплекта защиты без ограничений по сроку составляет 15000 руб. ; Скидка на повторное приобретение пакетов: 2-5 пакетов 20% 5-10 пакетов 30% 10 и более пакетов 40% Первым двум форумчанинам с репутацией >10k годовой фильтр на один сервер будет предоставлен за отзыв. Обратите внимание: Данный фильтр был разработан для собственных нужд по отражению атак и пока не планируется к широкому распространению. В связи с этим мы не гарантируем широкое развитие и обновления данного фильтра. Поддержку и исправление возможных ошибок да. После изучения спроса на данный фильтр и большего количества «боевых» испытаний, возможно, данный вопрос будет пересмотрен. Подробная информация, технические требования, документация и прочее доступно на сайте . Просьба на оформление и содержание сайта сильно не пинать он «быстренько» создан лишь для возможности документировать фильтр и изложить его описание более подробно. Готов ответить на вопросы. Спасибо за внимание.

40

Roxis

12 января 2008, 07:09

#41

для поддержки connlimit и TARPIT нужен patch-o-matic

822

Andreyka

12 января 2008, 10:05

#42

Dimanych:
1. Чем можно объяснить то что connlimit в iptables неработает?
2. Как защищаться от элементарного SYN флуда? (ведь там ип вообще нереальные )
3. Если ботнет из 500-1000 компов досит пхп скрипты до 10 запросов в сек каждый бот, причём разные GET запросы, как быть? ) (nginx+phpfastcgi - возращает 502 или 503)
Сорри за оффтоп)

1. Не собрано должным образом

2. Например так:

sysctl -w net.ipv4.tcp_syncookies=1 (в конфиге ядра включал syncookies)

iptables -A FORWARD -m state --state INVALID -j DROP

iptables -A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT

iptables -A FORWARD -p tcp --syn -m limit --limit 1/s -j ACCEPT

iptables -A FORWARD -p tcp --tcp-flags SYN,ACK,FIN,RST RST -m limit --limit 1/s -j ACCEPT

iptables -A FORWARD -p icmp --icmp-type echo-request -m limit --limit 1/s -j ACCEPT

3. Отловить по логу ip, которые получают 50x и зобанить

Не стоит плодить сущности без необходимости

B

24

blaize

12 января 2008, 19:07

#43

connlimit можно компенсировать recent - ом.

Причём более гибко. Как правило, применяется для отбрасывания брутфорсеров на SSH.

Andreyka:
3. Отловить по логу ip, которые получают 50x и зобанить

Можно гибче :) К Вашим правилам добавить:

iptables -A FORWARD -p tcp --syn -m limit --limit 5/s -j LOG " - flooder!"

в настройках syslog-ng сделать отправку в пайп и банить сразу.

Хотя можно использовать тот же recent для этого.

Мониторинг сайтов (http://hostpulse.ru/), серверов, проверка содержимого страниц.

D

155

Dimanych

12 января 2008, 23:12

#44

Всем спасибо!

blaize, а если кто то страничку с картинками откроет, будет сразу флудер? )

Я так понимаю эта строка отправляет запись в лог, если с одного ип более 5 запросов в сек?

Написал не мало шедевров ;)

K

223

kostich

12 января 2008, 23:13

#45

Dimanych:
Всем спасибо!

blaize, а если кто то страничку с картинками откроет, будет сразу флудер? )
Я так понимаю эта строка отправляет запись в лог, если с одного ип более 5 запросов в сек?

кипалив решает...

проверенная ддос защита (http://ddos-protection.ru) -> http://ddos-protection.ru (http://ddos-protection.ru), бесплатный тест, цена от размера атаки не зависит.

822

Andreyka

13 января 2008, 09:15

#46

А если браузер кипалив неумеет? :)

K

223

kostich

13 января 2008, 11:00

#47

Andreyka:
А если браузер кипалив неумеет? :)

афтар примера их не любит

241

Lupus

13 января 2008, 11:26

#48

Andreyka:
А если браузер кипалив неумеет?

А нафик такие клиенты сайту? :D

There are two types of people in this world: 1. Those who can extrapolate from incomplete data.

A4

55

Alexei42

13 января 2008, 12:26

#49

blaize:
iptables -A FORWARD -p tcp --syn -m limit --limit 5/s -j LOG " - flooder!"

А во фре чем-нибудь так же можно сделать?

Настройка nginx и сопутствующего софта на freebsd/debian. Контакт через PM.

69

Lexasoft

13 января 2008, 12:51

#50

man pf.conf

IPTABLES при большом PPS идет лесом =)

Open AI тестирует память для ChatGPT

Переиграть и победить: как анализировать конкурентов для продвижения сайта

Реализована программная защита от DDOS атак.