Здравствуйте!Очень надеюсь на вашу помощь, потому что нет больше сил бороться с этими негодяями.
Ситуация: Какой то неизвесный прикопался к моему серверу, небыло не угроз не каких либо разговоров, подозрение на заказ конкурентов.
Вообщем атакуют все мои программы установленные на сервере, к примеру апаче(2.0.49) или другие скрипты работающие на других портах для веб.
Атака: Производится с ип адреса принадлежащего провайдеру который продаёт инет карточки, я писал провайдеру их блокировали но потом появлялись новые ип уже других провайдеров.
Принцип атаки: Посылаются запросы, более 100 в секунду, причём читать с клиента через recv нечего, функция просто ждёт ответа до бесконечности. Апаче при такой атаке просто заполняется всеми процесами которые ничего не потребляют.. при этом конечно новые клиенты не обрабатываются так как достигается максимальное число. К подобному выводы из строя попадают и другие скрипты написанные мной.
Если ли какие то методы решения таких проблем, думаю решение на уровне сетевой карты, но пока нужного софта ненашёл :/
Может много лишнего написал, извеняюсь хотел поподробнее.
Буду очень благодарен за все мысли, советы, соображения специалистов по этому поводу.
>Принцип атаки: Посылаются запросы, более 100 в секунду, причём читать с
>клиента через recv нечего, функция просто ждёт ответа до бесконечности.
кусок лога приведи
>>Принцип атаки: Посылаются запросы, более 100 в секунду, причём читать с
>>клиента через recv нечего, функция просто ждёт ответа до бесконечности.
>кусок лога приведи
2005-12-06 20:32:36 got a connection from: manson.if.net.ua [195.68.196.50]
2005-12-06 20:32:36 got a connection from: manson.if.net.ua [195.68.196.50]
2005-12-06 20:32:36 got a connection from: manson.if.net.ua [195.68.196.50]
2005-12-06 20:32:36 got a connection from: manson.if.net.ua [195.68.196.50]
2005-12-06 20:32:36 got a connection from: manson.if.net.ua [195.68.196.50]
2005-12-06 20:32:36 got a connection from: manson.if.net.ua [195.68.196.50]
2005-12-06 20:32:36 got a connection from: manson.if.net.ua [195.68.196.50]
2005-12-06 20:32:36 got a connection from: manson.if.net.ua [195.68.196.50]
2005-12-06 20:32:36 got a connection from: manson.if.net.ua [195.68.196.50]
2005-12-06 20:32:36 got a connection from: manson.if.net.ua [195.68.196.50]
2005-12-06 20:32:36 got a connection from: manson.if.net.ua [195.68.196.50]
2005-12-06 20:32:36 got a connection from: manson.if.net.ua [195.68.196.50]
2005-12-06 20:32:36 got a connection from: manson.if.net.ua [195.68.196.50]
2005-12-06 20:32:36 got a connection from: manson.if.net.ua [195.68.196.50]
2005-12-06 20:32:36 got a connection from: manson.if.net.ua [195.68.196.50]
2005-12-06 20:32:36 got a connection from: manson.if.net.ua [195.68.196.50]
2005-12-06 20:32:36 got a connection from: manson.if.net.ua [195.68.196.50]
2005-12-06 20:32:36 got a connection from: manson.if.net.ua [195.68.196.50]
2005-12-06 20:32:36 got a connection from: manson.if.net.ua [195.68.196.50]
2005-12-06 20:32:36 got a connection from: manson.if.net.ua [195.68.196.50]
2005-12-06 20:32:36 got a connection from: manson.if.net.ua [195.68.196.50]
2005-12-06 20:32:36 got a connection from: manson.if.net.ua [195.68.196.50]
2005-12-06 20:32:36 got a connection from: manson.if.net.ua [195.68.196.50]
2005-12-06 20:32:36 got a connection from: manson.if.net.ua [195.68.196.50]
Судя по всему - это DoS/DDoS атака.Рекомендаци по защите:
1. Автоматическая блокировака ip, c которых колличество запросов превышает норму. (Например - http://www.opennet.ru/opennews/art.shtml?num=2767 )
2. использование accept-фильтров (http://sysoev.ru/freebsd/accept-filters.html)
3. Ограничение колличества входящих соединений с одного ip с помощью фаервола
>Судя по всему - это DoS/DDoS атака.
>
>Рекомендаци по защите:
>1. Автоматическая блокировака ip, c которых колличество запросов превышает норму. (Например -
>http://www.opennet.ru/opennews/art.shtml?num=2767 )
>2. использование accept-фильтров (http://sysoev.ru/freebsd/accept-filters.html)
>3. Ограничение колличества входящих соединений с одного ip с помощью фаервола
1. Блокировка IP
Order Deny,Allow
Deny from all
Allow from 176.16.0.0/16Если это то оно не помогает, другово не нашёл..
2. Фильтры чтото неразобрался с ними, это токо для фреебсп?? у меня линюкс сюзя..
3. SuseFirewall2 поставил сегодня особых настроек там нет, незнаю поможет ли, знаю токо что бинд стал плохо работать ://
>1. Блокировка IP
> Order Deny,Allow
> Deny from all
> Allow from 176.16.0.0/16
>
>Если это то оно не помогает, другово не нашёл..
Не оно.
Прочитайте ещё раз - "Автоматическая блокировака ip, _c которых колличество запросов_ превышает норму. "сходите по ссылкам -
http://www.opennet.ru/opennews/art.shtml?num=2767
http://www.opennet.ru/prog/info/2619.shtml
используйте поиск.>2. Фильтры чтото неразобрался с ними, это токо для фреебсп?? у меня
>линюкс сюзя..
Если не ошибаюсь, в linux существут accept-фильтры.>3. SuseFirewall2 поставил сегодня особых настроек там нет, незнаю поможет ли, знаю
>токо что бинд стал плохо работать ://
КАК Ограничить колличество входящих соединений с одного ip - читатайте в документации к вашему фаерволу.
еще обратите внимание на: http://www.opennet.ru/opennews/art.shtml?num=6399
у меня стоит модуль апаческий который блокирует когда идет много обращений на апачу
если нужна инфа пиши 205 015 502
Проблема решается элементарно - ставится лимит на разрешенное число отдновременных коннектов с одного IP в настройке фаервола и уменьшается величина таймаута в apache.Примеры для Linux здесь http://www.opennet.ru/tips/sml/41.shtml
Всем спасибо за ответы!Вообщем пробовал много чего искал, устанавливал и пока только mod_evasive выдаёт небольшой еффект.
По его стандартным настройкам сайт с фреймовпй системой незагружается и половина картинок не догружаются.. т.е. за секунду типо более 2х кликов и уже дос атака(так же вызванных картинок и других src=file) поставил 10, вроде всё грузится но в логе всёже некоторых юзеров блокирует.. во время атаки пока неиспытанно. Ктонибуть знает как его лучсех настроить и поможет ли он вообще в данном случае..
Другие моды для апача не подходят, mod_limitipconn например расчитан токо на отдельные директории дя ограничения адновременных закачек, я прав?По фаерволу SuseFireWall2, ставил его.. особых настроек не нашёл.. против атаки не помогает. Возможно нужно работать на прямую с iptables??, но я точно незнаю как и что.. боюсь всё заблокировать :)
=======================================
Разрешаем производить только 4 коннекта к 22 порту в течении 60 секунд:iptables -I INPUT -p tcp --dport 22 -i eth0 -m state --state NEW -m recent --set
iptables -I INPUT -p tcp --dport 22 -i eth0 -m state --state NEW -m recent \
--update --seconds 60 --hitcount 4 -j DROP=================================================
Например тут не сказанно для одного ли это ип.
==================================================
iplimit - ограничение соединений для одного IP.
Ограничение коннектов к 80 порту от одного IP:
iptables -A INPUT -p tcp --syn --dport http -m iplimit --iplimit-above 4 -j REJECT==================================================
Или может это?? Для 4х разрешённых подключений??
Ведь если процесс апача не потух это не значит что связь с клиентом/сервером поддерживается.. хотя если сервер ждёт recv то связь как бы не прервалась..
(От этого фаервола у меня токо бинд отрубило, даже с разрешённым портом.)Буду рад выслушать ваше мнение :)
Вот ещё забыл .. в syslogе похожая инфа на взлом РУТА, что самое интересное ИП разный в двух типах атак, но сами атаки не пересекаются.. так и чередуются уже чёрт знает скоко времени..
Dec 13 18:19:16 h5986 kernel: TCP: Treason uncloaked! Peer 80.92.206.246:35619/80 shrinks window 26944980:26944981. Repaired.
Dec 13 18:25:39 h5986 kernel: TCP: Treason uncloaked! Peer 80.92.206.246:35690/80 shrinks window 433507970:433507971. Repaired.
Dec 13 18:25:39 h5986 kernel: TCP: Treason uncloaked! Peer 80.92.206.246:35693/80 shrinks window 433018729:433018730. Repaired.
Dec 13 18:27:50 h5986 kernel: TCP: Treason uncloaked! Peer 80.92.206.246:35736/80 shrinks window 563993253:563993254. Repaired.
Dec 13 18:28:37 h5986 kernel: TCP: Treason uncloaked! Peer 80.92.206.246:35748/80 shrinks window 604219726:604219727. Repaired.
Dec 13 18:28:55 h5986 sshd[22160]: Failed password for root from ::ffff:84.244.1.105 port 34185 ssh2
Dec 13 18:28:55 h5986 sshd[22160]: Received disconnect from ::ffff:84.244.1.105: 11: Bye Bye
Dec 13 18:28:56 h5986 sshd[22185]: Failed password for root from ::ffff:84.244.1.105 port 34259 ssh2
Dec 13 18:28:56 h5986 sshd[22185]: Received disconnect from ::ffff:84.244.1.105: 11: Bye Bye
Dec 13 18:28:57 h5986 sshd[22196]: Failed password for root from ::ffff:84.244.1.105 port 34338 ssh2
Dec 13 18:28:58 h5986 sshd[22196]: Received disconnect from ::ffff:84.244.1.105: 11: Bye Bye
Dec 13 18:28:59 h5986 sshd[22216]: Failed password for root from ::ffff:84.244.1.105 port 34376 ssh2
Dec 13 18:28:59 h5986 sshd[22216]: Received disconnect from ::ffff:84.244.1.105: 11: Bye Bye
Dec 13 18:29:05 h5986 sshd[22265]: Failed password for root from ::ffff:84.244.1.105 port 34459 ssh2
Dec 13 18:29:05 h5986 sshd[22265]: Received disconnect from ::ffff:84.244.1.105: 11: Bye Bye
Dec 13 18:29:11 h5986 sshd[22341]: Failed password for root from ::ffff:84.244.1.105 port 34550 ssh2
Dec 13 18:29:11 h5986 sshd[22341]: Received disconnect from ::ffff:84.244.1.105: 11: Bye Bye
Dec 13 18:29:17 h5986 sshd[22457]: Failed password for root from ::ffff:84.244.1.105 port 35019 ssh2
Dec 13 18:29:18 h5986 sshd[22457]: Received disconnect from ::ffff:84.244.1.105: 11: Bye Bye
Dec 13 18:29:19 h5986 sshd[22482]: Failed password for root from ::ffff:84.244.1.105 port 35073 ssh2
Dec 13 18:29:19 h5986 sshd[22482]: Received disconnect from ::ffff:84.244.1.105: 11: Bye Bye
зачем открыт доступ руту по ссх? Запретить!
>зачем открыт доступ руту по ссх? Запретить!
вот
AddModule mod_dosevasive.c
Блокируй IP и выставь лимиты, как написали. Если не получается, то от ддос аттак защищают здесь - http://www.ras.su/ru/