https://www.opennet.ru/openforum/vsluhforumID12/5263.html Итак, система FreeBSD 6.2 + Squid 2.5.14Stable + ipfw<br>Настроено прозрачное проксирование. <br>Недавно обнаружил, что прокся пытается съесть чуть ли не всё wcpu time. Стал разбираться в чём дело, и в логах обнаружил вот такое.<br><br>1196690889.104 59129 172.16.2.64 TCP_MISS/500 1405 GET http://august4u.ru/secretdesires - DIRECT/84.19.185.16 text/html<br>1196690889.104 59233 172.16.2.64 TCP_MISS/500 1405 GET http://august4u.ru/secretdesires - DIRECT/84.19.185.16 text/html<br>1196690889.104 59233 172.16.2.64 TCP_MISS/500 1405 GET http://august4u.ru/secretdesires - DIRECT/84.19.185.16 text/html<br><br>Сообщения запросов от одного юзера повторяются бесконечное множество раз. Ясно, что у пользователя вирус, делающий dos атаку на сервак, а сквид видать forkает каждую новую сессию. Вопрос, как можно решить эту проблему средствами самого сквида или же файрвола?<br>Способ отключать пользователей вручную до выяснения обстоятельств не представляется возможным.<br><br>Не хватает знаний определить тип этой атаки...является ли она SYN или https://www.opennet.ru/openforum/vsluhforumID12/5263.html#3 Tue, 04 Dec 2007 07:34:42 GMT &gt;В сквиде да можно, читай тэг maxconn <br><br>Сделал вот такое<br><br>acl students src 172.16.0.0/255.255.0.0 <br>acl limit maxconn 20<br>http_reply_access deny students limit<br>http_reply_access allow students <br><br><br>Запросы флудера теперь выглядят вот так<br><br>4 172.16.2.4 TCP_NEGATIVE_HIT/404 353 GET http://august4u.ru/secretdesires -NONE/ -text/html<br><br>Но что странно, во фремя флуда процессорное время всё также жрётся сквидом чрезмерно. К тому же подозрительно упала загрузка канала в то время, когда обычно она близка к 100%(конфигурацию пулов не менял).<br> https://www.opennet.ru/openforum/vsluhforumID12/5263.html#2 Mon, 03 Dec 2007 20:06:19 GMT &gt;Можно ли как-то ограничивать колличество сессий на ip? <br><br>В сквиде да можно, читай тэг maxconn http://www.visolve.com/squid/squid24s1/access_controls.php<br><br><br> https://www.opennet.ru/openforum/vsluhforumID12/5263.html#1 Mon, 03 Dec 2007 17:18:57 GMT hashlimit ищи аналог в фряхе... <br>