On Mon, Dec 12, 2005 at 04:15:59PM +0200, Alexander Burnos wrote: AB> Здравствуйте! AB> On Mon, Dec 12, 2005 at 04:08:33PM +0200, Alexander Trotsai wrote: AB> > patch-o-matic AB> > connlimit AB> Вроде бы connlimit использует conntrack. Т.е. если с какого-то адреса использует AB> было сделано 100 коннектов, но они по каким-то причинам оборвались, то оборвались - очень разные бывают бываюn _c_ RST или FIN, а бывают и без последние считаются открытыми AB> conntrack их все равно будет считать как ESTABLISHED и будет дальше AB> отбивать коннекты с этого адреса (при условном лимите в 100), не смотря AB> на то, что реальных 100 tcp-коннектов уже не будет. что считать реальным коннектом? после прохождения syn / ack - это реальный коннект? а если потом ничего нет? в целом target на Дозе достаточно успешно отбивается от настойчивых посетителей AB> Или нет? AB> > On Mon, Dec 12, 2005 at 03:58:42PM +0200, Alexander Burnos wrote: AB> > AB> Здравствуйте! AB> > AB> > AB> Есть задача отслеживать количество коннектов к серверу с каждого адреса. AB> > AB> Этим хочу предотвратить нездоровую активность. Т.е. например, я знаю что AB> > AB> нормальное количество одновременных tcp коннектов к моему серверу с одного AB> > AB> адреса не должно превышать 100. Если я вижу что откуда-то одновременно AB> > AB> 200 сессий, то значит что-то не так. AB> > AB> > AB> Все это хочу реализовать на linux'e. AB> > AB> netstat не подходит, т.к. он медленно работает, а я хочу дергать эту AB> > AB> тулзу довольно часто, как плагин nagios'a. AB> > AB> > AB> Пробовал парсить /proc/net/ip_conntrack, но какая-то там недостоверная AB> > AB> информация. Я так понимаю, если коннекшн ESTABLISHED, то он все равно AB> > AB> далеко не сразу переходит в состояние ASSURED. Но в тоже время, если AB> > AB> tcp-коннекшн был оборван (если я правильно механизм понимаю), то AB> > AB> коннекшн тоже далеко не сразу переходит в состояние UNREPLIED. AB> > AB> Т.е. по каким критериям парсить - пока не совсем понятно. AB> > AB> Сильно снижать timeout для ESTABLISHED коннектов тоже не хочется, т.к. AB> > AB> тогда можно получить не совсем корректно работающий iptables с AB> > AB> conntrack. AB> > AB> > AB> Как лучше всего реализовать такую задачу? AB> > AB> > AB> И вообще, кто какие методы применяет для борьбы/предотвращения (Д)ДоС на AB> > AB> сервер? Я понимаю что по-хорошему нужно бороться с ними _до_ сервера, но AB> > AB> все же, если всего одна машина, то что даст относительно неплохой AB> > AB> результат и при этом не будет отжирать львиную долю ресурсов, и есть ли AB> > AB> вообще такое? :) AB> > AB> -- AB> Alexander Burnos AB> =================================================================== AB> uanog mailing list. AB> To Unsubscribe: send mail to majordomo@uanog.kiev.ua AB> with "unsubscribe uanog" in the body of the message -- Best regard, Aleksander Trotsai aka MAGE-RIPE aka MAGE-UANIC My PGP key at ftp://blackhole.adamant.ua/pgp/trotsai.key[.asc] Стипендия необходима, но недостаточна =================================================================== uanog mailing list. To Unsubscribe: send mail to majordomo@uanog.kiev.ua with "unsubscribe uanog" in the body of the message