https://www.opennet.ru/openforum/vsluhforumID8/3759.html Здравствуйте!<br><br>Очень надеюсь на вашу помощь, потому что нет больше сил бороться с этими негодяями.<br><br>Ситуация: Какой то неизвесный прикопался к моему серверу, небыло не угроз не каких либо разговоров, подозрение на заказ конкурентов.<br><br>Вообщем атакуют все мои программы установленные на сервере, к примеру апаче(2.0.49) или другие скрипты работающие на других портах для веб.<br><br>Атака: Производится с ип адреса принадлежащего провайдеру который продаёт инет карточки, я писал провайдеру их блокировали но потом появлялись новые ип уже других провайдеров.<br><br>Принцип атаки: Посылаются запросы, более 100 в секунду, причём читать с клиента через recv нечего, функция просто ждёт ответа до бесконечности. Апаче при такой атаке просто заполняется всеми процесами которые ничего не потребляют.. при этом конечно новые клиенты не обрабатываются так как достигается максимальное число. К подобному выводы из строя попадают и другие скрипты написанные мной.<br><br>Если ли какие то методы решения таких проблем, думаю решение на ур https://www.opennet.ru/openforum/vsluhforumID8/3759.html#13 Wed, 06 Feb 2008 20:44:17 GMT Блокируй IP и выставь лимиты, как написали. Если не получается, то от ддос аттак защищают здесь - http://www.ras.su/ru/<br> https://www.opennet.ru/openforum/vsluhforumID8/3759.html#12 Wed, 14 Dec 2005 11:19:41 GMT &gt;зачем открыт доступ руту по ссх? Запретить! <br><br><br>вот <br>AddModule mod_dosevasive.c https://www.opennet.ru/openforum/vsluhforumID8/3759.html#11 Wed, 14 Dec 2005 09:10:15 GMT зачем открыт доступ руту по ссх? Запретить! https://www.opennet.ru/openforum/vsluhforumID8/3759.html#10 Tue, 13 Dec 2005 18:35:11 GMT <br>Вот ещё забыл .. в syslogе похожая инфа на взлом РУТА, что самое интересное ИП разный в двух типах атак, но сами атаки не пересекаются.. так и чередуются уже чёрт знает скоко времени..<br><br><br>Dec 13 18:19:16 h5986 kernel: TCP: Treason uncloaked! Peer 80.92.206.246:35619/80 shrinks window 26944980:26944981. Repaired.<br>Dec 13 18:25:39 h5986 kernel: TCP: Treason uncloaked! Peer 80.92.206.246:35690/80 shrinks window 433507970:433507971. Repaired.<br>Dec 13 18:25:39 h5986 kernel: TCP: Treason uncloaked! Peer 80.92.206.246:35693/80 shrinks window 433018729:433018730. Repaired.<br>Dec 13 18:27:50 h5986 kernel: TCP: Treason uncloaked! Peer 80.92.206.246:35736/80 shrinks window 563993253:563993254. Repaired.<br>Dec 13 18:28:37 h5986 kernel: TCP: Treason uncloaked! Peer 80.92.206.246:35748/80 shrinks window 604219726:604219727. Repaired.<br>Dec 13 18:28:55 h5986 sshd[22160]: Failed password for root from ::ffff:84.244.1.105 port 34185 ssh2<br>Dec 13 18:28:55 h5986 sshd[22160]: Received disconnect from ::ffff:84.244.1.105: 11: By https://www.opennet.ru/openforum/vsluhforumID8/3759.html#9 Tue, 13 Dec 2005 18:25:56 GMT Всем спасибо за ответы!<br><br>Вообщем пробовал много чего искал, устанавливал и пока только mod_evasive выдаёт небольшой еффект.<br>По его стандартным настройкам сайт с фреймовпй системой незагружается и половина картинок не догружаются.. т.е. за секунду типо более 2х кликов и уже дос атака(так же вызванных картинок и других src=file) поставил 10, вроде всё грузится но в логе всёже некоторых юзеров блокирует.. во время атаки пока неиспытанно. Ктонибуть знает как его лучсех настроить и поможет ли он вообще в данном случае..<br>Другие моды для апача не подходят, mod_limitipconn например расчитан токо на отдельные директории дя ограничения адновременных закачек, я прав?<br><br>По фаерволу SuseFireWall2, ставил его.. особых настроек не нашёл.. против атаки не помогает. Возможно нужно работать на прямую с iptables??, но я точно незнаю как и что.. боюсь всё заблокировать :)<br>=======================================<br>Разрешаем производить только 4 коннекта к 22 порту в течении 60 секунд:<br><br> iptables -I INPUT -p tcp --dport 2 https://www.opennet.ru/openforum/vsluhforumID8/3759.html#8 Sat, 10 Dec 2005 20:19:55 GMT Проблема решается элементарно - ставится лимит на разрешенное число отдновременных коннектов с одного IP в настройке фаервола и уменьшается величина таймаута в apache.<br><br>Примеры для Linux здесь http://www.opennet.ru/tips/sml/41.shtml https://www.opennet.ru/openforum/vsluhforumID8/3759.html#7 Sat, 10 Dec 2005 07:48:55 GMT у меня стоит модуль апаческий который блокирует когда идет много обращений на апачу<br>если нужна инфа пиши 205 015 502 https://www.opennet.ru/openforum/vsluhforumID8/3759.html#6 Fri, 09 Dec 2005 23:18:37 GMT еще обратите внимание на: http://www.opennet.ru/opennews/art.shtml?num=6399 https://www.opennet.ru/openforum/vsluhforumID8/3759.html#5 Fri, 09 Dec 2005 23:16:54 GMT &gt;1. Блокировка IP <br>&gt; Order Deny,Allow <br>&gt; Deny from all <br>&gt; Allow from 176.16.0.0/16 <br>&gt;<br>&gt;Если это то оно не помогает, другово не нашёл.. <br>Не оно. <br>Прочитайте ещё раз - "Автоматическая блокировака ip, _c которых колличество запросов_ превышает норму. "<br><br>сходите по ссылкам - <br>http://www.opennet.ru/opennews/art.shtml?num=2767<br>http://www.opennet.ru/prog/info/2619.shtml<br>используйте поиск. <br><br>&gt;2. Фильтры чтото неразобрался с ними, это токо для фреебсп?? у меня <br>&gt;линюкс сюзя.. <br>Если не ошибаюсь, в linux существут accept-фильтры.<br><br>&gt;3. SuseFirewall2 поставил сегодня особых настроек там нет, незнаю поможет ли, знаю <br>&gt;токо что бинд стал плохо работать :// <br>КАК Ограничить колличество входящих соединений с одного ip - читатайте в документации к вашему фаерволу.