On Mon, 12 Dec 2005, Alexander Burnos wrote:
Здравствуйте!
On Mon, Dec 12, 2005 at 04:08:33PM +0200, Alexander Trotsai wrote:
patch-o-matic connlimit
Вроде бы connlimit использует conntrack. Т.е. если с какого-то адреса было сделано 100 коннектов, но они по каким-то причинам оборвались, то conntrack их все равно будет считать как ESTABLISHED и будет дальше отбивать коннекты с этого адреса (при условном лимите в 100), не смотря на то, что реальных 100 tcp-коннектов уже не будет.
Или нет? после некоего таймаута порядка минуты(точно не помню) - все придет в норму
On Mon, Dec 12, 2005 at 03:58:42PM +0200, Alexander Burnos wrote: AB> Здравствуйте!
AB> Есть задача отслеживать количество коннектов к серверу с каждого адреса. AB> Этим хочу предотвратить нездоровую активность. Т.е. например, я знаю что AB> нормальное количество одновременных tcp коннектов к моему серверу с одного AB> адреса не должно превышать 100. Если я вижу что откуда-то одновременно AB> 200 сессий, то значит что-то не так.
AB> Все это хочу реализовать на linux'e. AB> netstat не подходит, т.к. он медленно работает, а я хочу дергать эту AB> тулзу довольно часто, как плагин nagios'a.
AB> Пробовал парсить /proc/net/ip_conntrack, но какая-то там недостоверная AB> информация. Я так понимаю, если коннекшн ESTABLISHED, то он все равно AB> далеко не сразу переходит в состояние ASSURED. Но в тоже время, если AB> tcp-коннекшн был оборван (если я правильно механизм понимаю), то AB> коннекшн тоже далеко не сразу переходит в состояние UNREPLIED. AB> Т.е. по каким критериям парсить - пока не совсем понятно. AB> Сильно снижать timeout для ESTABLISHED коннектов тоже не хочется, т.к. AB> тогда можно получить не совсем корректно работающий iptables с AB> conntrack.
AB> Как лучше всего реализовать такую задачу?
AB> И вообще, кто какие методы применяет для борьбы/предотвращения (Д)ДоС на AB> сервер? Я понимаю что по-хорошему нужно бороться с ними _до_ сервера, но AB> все же, если всего одна машина, то что даст относительно неплохой AB> результат и при этом не будет отжирать львиную долю ресурсов, и есть ли AB> вообще такое? :)
=================================================================== uanog mailing list. To Unsubscribe: send mail to majordomo@uanog.kiev.ua with "unsubscribe uanog" in the body of the message