Форум Сайтостроение Администрирование серверов

Windows 2003 DoD flood

VT
На сайте с 14.04.2008
Offline
0
Vin-tik
1001

DOD = DDoS сорри не так написал )

Драсти.

Стоит Windows 2003 + Apacha

На компе крутится сайт.

Проблема начилась пару дней назад, флууд атаки, шлют пакеты около 500 в секунду на 80 порт, от чего Апача перестает нормально работать.

Посоветуйте фаервол для ограничения одновременных запросов с одного IP и автоматом банил редисок, или может кто еще что предложит.

В ручную в установленный фаер тяжко вносить все IP.

Переходить на unix нет возможности, так как на сервере некоторые приложения только под Винду.

Спасибо.

HP
На сайте с 30.05.2006
Offline
175
HruPifPaf
#1

Mod_limitconn (mod_DoSevasive еще лучше) для ограничения одновременных подключений с одного IP.

Поставить по минимому keepalivetimeout до 1-2 секунд.

Из firewall - ISS Proventia (blackice) - ограничение по коннектам к серверу и разные сигнатуры ДДоС на автоматическую блокировку.

Пару советов - IP блокируйте через IpSec - быстрее всего, особенно при большом списке (можно через netsh).

Найдите уникальную сигнатуру ботов (user_agent, запрашиваемая страница и т.п.) - блокировка по сигнатуре в mod_security (очень эффективно)

HruPifPaf добавил 14.04.2008 в 13:58

Vin-tik:

В ручную в установленный фаер тяжко вносить все IP.
Спасибо.

через Netsh по списку IP в IPSec вносится очень быстро список любой длины. Главное правило создать и все.

VT
На сайте с 14.04.2008
Offline
0
Vin-tik
#2

mod_DoSevasive поставил вчера, но от него толку немного, так как всеравно это решение посредстам апача, что очень сильно замедляет работу его...

щя ищу фаер который посоветовали, буду пытаться...

Andreyka
На сайте с 19.02.2005
Offline
822
Andreyka
#3

Поставить перед сайтом серверс *nix а на нем фильтровать

Не стоит плодить сущности без необходимости
HP
На сайте с 30.05.2006
Offline
175
HruPifPaf
#4
Vin-tik:
mod_DoSevasive поставил вчера, но от него толку немного, так как всеравно это решение посредстам апача, что очень сильно замедляет работу его...
щя ищу фаер который посоветовали, буду пытаться...

Согласен, но лишняя линия обороны не помешает. Очень эффективен ISS Blackice в связки с IpSec.

Также крайне советую найти специфическую сигнатуру ботов, обычно это не сложно сделать.

VT
На сайте с 14.04.2008
Offline
0
Vin-tik
#5

Так как перед мои компом стоит провайдерский гейт, сделали такую штуку.

на моей стороне в апаче стандартный модуль

mod_status.so

# ExtendedStatus: controls whether Apache will generate "full" status

# information (ExtendedStatus On) or just basic information (ExtendedStatus

# Off) when the "server-status" handler is called. The default is Off.

#

<IfModule mod_status.c>

ExtendedStatus On

</IfModule>

# Allow server status reports, with the URL of

# http://servername/server-status

# Change the ".your_domain.com" to match your domain to enable.

#

<Location /server-status>

SetHandler server-status

Order deny,allow

Deny from all

Allow from your_domain.com

</Location>

а на стороне провайдра поставили 2 моделя, status и blacklist

На моем сайте модуль статус делает статистику подключения к 80-му порту, в которую с определенной переодичности заглядывает модуль провайдера, и если есть атака или флуд, то на стороне провайдера, IP редиски автоматом банится на 80-й порт и на определенный срок, который выставили в модуле провайдера...

Думаю от не глобальных атак спасет...

Проверить пока не могу как все работает, так как атаки прекратились... на выходных кто то побаловался, с понедельника по новому жить начали)))

Фаер тот что посоветовали, на 2003 винде отказывается работать, оставил свой.

Такой вопрос Windows-кий сервис ndisuio.sys я его блокирую фаером, он постоянно что то делает и отсылает... что это за вещь?

Авторизуйтесь или зарегистрируйтесь, чтобы оставить комментарий