Всем привет! Подскажите, пожалуйста, как бороться. :( Идет офигеннейший ДоС на один из веб-серверов. Со всего мира. Клиент просит по HTTP/1.1 index.php и отваливается. "И так раз дэсят раз" (С) анекдот. Только в секунду. Если не больше. Отлавливать по одному не предлагать, из мягко говоря, дофига. -- Alex Radetsky AR2657-RIPE RAD-UANIC =================================================================== uanog mailing list. To Unsubscribe: send mail to majordomo@uanog.kiev.ua with "unsubscribe uanog" in the body of the message
Берёшь в руки access.log, собираешься статистику вот этих запросов. Потом в pf подсовываешь таблицу блокируемых. Вариант два: тоже через pf. Делается сбор статистики connection rate например за 300 секунд с хоста, если превышает икс, то тоже в файрвол. Руками завайтлистить крупные прокси. Alexey Radetsky wrote: AR> Подскажите, пожалуйста, как бороться. :( AR> Идет офигеннейший ДоС на один из веб-серверов. Со всего мира. AR> Клиент просит по HTTP/1.1 index.php и отваливается. AR> "И так раз дэсят раз" (С) анекдот. Только в секунду. AR> Если не больше. AR> Отлавливать по одному не предлагать, из мягко говоря, дофига. -- UKR.NET Postmaster =================================================================== uanog mailing list. To Unsubscribe: send mail to majordomo@uanog.kiev.ua with "unsubscribe uanog" in the body of the message
On Fri, Mar 10, 2006 at 04:33:54PM +0200, Alexey Radetsky wrote:
Всем привет!
Подскажите, пожалуйста, как бороться. :(
Идет офигеннейший ДоС на один из веб-серверов. Со всего мира. Клиент просит по HTTP/1.1 index.php и отваливается. "И так раз дэсят раз" (С) анекдот. Только в секунду. Если не больше.
$IPTABLES -A INPUT -p tcp -i $INET_IFACE -d $INET_IP -m limit --limit 3/minute --limit-burst 5 -j DROP or ipfw add allow tcp from any to my limit src-addr 5 Кажись примерно так
Отлавливать по одному не предлагать, из мягко говоря, дофига.
-- Alex Radetsky AR2657-RIPE RAD-UANIC =================================================================== uanog mailing list. To Unsubscribe: send mail to majordomo@uanog.kiev.ua with "unsubscribe uanog" in the body of the message
-- ------------------------------------------------------------------------------- Vasiliy P. Melnik VPM-RIPE, VPM-UANIC Global Ukraine ISP =================================================================== uanog mailing list. To Unsubscribe: send mail to majordomo@uanog.kiev.ua with "unsubscribe uanog" in the body of the message
Временно закрыть доступ из мира (сделать сайлентдроп на входе с внешнего канала)? Пусть на соурсах сокеты исчерпаюццо. -- Andrij Olijnyk
-----Original Message----- From: owner-uanog-outgoing@uanog.kiev.ua [mailto:owner-uanog- outgoing@uanog.kiev.ua] On Behalf Of Alexey Radetsky Sent: Friday, March 10, 2006 4:34 PM To: uanog@uanog.kiev.ua Subject: [uanog] DDoS and apache
Всем привет!
Подскажите, пожалуйста, как бороться. :(
Идет офигеннейший ДоС на один из веб-серверов. Со всего мира. Клиент просит по HTTP/1.1 index.php и отваливается. "И так раз дэсят раз" (С) анекдот. Только в секунду. Если не больше.
Отлавливать по одному не предлагать, из мягко говоря, дофига.
-- Alex Radetsky AR2657-RIPE RAD-UANIC =================================================================== uanog mailing list. To Unsubscribe: send mail to majordomo@uanog.kiev.ua with "unsubscribe uanog" in the body of the message
=================================================================== uanog mailing list. To Unsubscribe: send mail to majordomo@uanog.kiev.ua with "unsubscribe uanog" in the body of the message
On Friday 10 March 2006 16:33, Alexey Radetsky wrote:
Подскажите, пожалуйста, как бороться. :(
Идет офигеннейший ДоС на один из веб-серверов. Со всего мира. Клиент просит по HTTP/1.1 index.php и отваливается. "И так раз дэсят раз" (С) анекдот. Только в секунду. Если не больше.
Отлавливать по одному не предлагать, из мягко говоря, дофига.
Не знаю, что можно предложить кроме как отлавливать. Только ловить не всех скопом а выявить, скажем, "top 10". Бывает, что адресов, задействованых в DDoS-е много, но большая часть паразитного трафика идет с нескольких IP-шников. -- Best wishes, Sergey Kovalenko GTU network engineer =================================================================== uanog mailing list. To Unsubscribe: send mail to majordomo@uanog.kiev.ua with "unsubscribe uanog" in the body of the message
Привет! On Fri, 10 Mar 2006, Alexey Radetsky wrote:
Подскажите, пожалуйста, как бороться. :(
Идет офигеннейший ДоС на один из веб-серверов. Со всего мира. Клиент просит по HTTP/1.1 index.php и отваливается. "И так раз дэсят раз" (С) анекдот. Только в секунду. Если не больше.
Отлавливать по одному не предлагать, из мягко говоря, дофига.
То-то я смотрю: www.stc.gov.ua и docs.freebsd.org/mail промерно с одинаковой диагностикой валяются (reverse proxy кажет "Host is down"). Не иначе, какой-то новый вирус в действии ;( Sincerely, Dmitry -- Atlantis ISP, System Administrator e-mail: dmitry@atlantis.dp.ua nic-hdl: LYNX-RIPE =================================================================== uanog mailing list. To Unsubscribe: send mail to majordomo@uanog.kiev.ua with "unsubscribe uanog" in the body of the message
On Fri, Mar 10, 2006 at 05:02:08PM +0200, Dmitry Pryanishnikov wrote: DP> >Идет офигеннейший ДоС на один из веб-серверов. Со всего мира. DP> >Клиент просит по HTTP/1.1 index.php и отваливается. DP> >"И так раз дэсят раз" (С) анекдот. Только в секунду. DP> >Если не больше. DP> > DP> >Отлавливать по одному не предлагать, из мягко говоря, дофига. DP> DP> То-то я смотрю: www.stc.gov.ua и docs.freebsd.org/mail промерно с DP> одинаковой DP> диагностикой валяются (reverse proxy кажет "Host is down"). Не иначе, DP> какой-то DP> новый вирус в действии ;( Очень похоже. Хотя к вышеупомянутым организациям я отношения не имею, но один из моих заказчиков страдает от такого уже второй час. Отлавливаю по топ20 каждые пол-часа и засовываю "об стенку". Плюс лимиты выставил, но не очень-то и спасает. :( -- Alex Radetsky AR2657-RIPE RAD-UANIC =================================================================== uanog mailing list. To Unsubscribe: send mail to majordomo@uanog.kiev.ua with "unsubscribe uanog" in the body of the message
Привет, Alexey Radetsky wrote:
Подскажите, пожалуйста, как бороться. :(
Идет офигеннейший ДоС на один из веб-серверов. Со всего мира. Клиент просит по HTTP/1.1 index.php и отваливается. "И так раз дэсят раз" (С) анекдот. Только в секунду. Если не больше.
Отлавливать по одному не предлагать, из мягко говоря, дофига.
Попробуйте это: http://www.nuclearelephant.com/projects/mod_evasive/ Насколько я помню, он умеет добавлять правила в фаервол сам. Иногда помогало. -- Konstantin N. Bezruchenko | BK5536-RIPE =================================================================== uanog mailing list. To Unsubscribe: send mail to majordomo@uanog.kiev.ua with "unsubscribe uanog" in the body of the message
Добрый день! On Fri, Mar 10, 2006 at 05:19:03PM +0200, Alexey Radetsky wrote:
DP> >Идет офигеннейший ДоС на один из веб-серверов. Со всего мира. DP> >Клиент просит по HTTP/1.1 index.php и отваливается. DP> >"И так раз дэсят раз" (С) анекдот. Только в секунду. DP> >Если не больше. DP> > DP> >Отлавливать по одному не предлагать, из мягко говоря, дофига. DP> DP> То-то я смотрю: www.stc.gov.ua и docs.freebsd.org/mail промерно с DP> одинаковой DP> диагностикой валяются (reverse proxy кажет "Host is down"). Не иначе, DP> какой-то DP> новый вирус в действии ;(
Очень похоже. Хотя к вышеупомянутым организациям я отношения не имею, но один из моих заказчиков страдает от такого уже второй час. Отлавливаю по топ20 каждые пол-часа и засовываю "об стенку". Плюс лимиты выставил, но не очень-то и спасает. :(
Вот для таких целей всякие Guard и предназначены... Если бы не цена... Даже inline IPS плюс прямые руки помог бы. -- Dmitry Kiselev =================================================================== uanog mailing list. To Unsubscribe: send mail to majordomo@uanog.kiev.ua with "unsubscribe uanog" in the body of the message
Вот для таких целей всякие Guard и предназначены... Если бы не цена... Даже inline IPS плюс прямые руки помог бы.
По-моему у Guard'а лимит имеется на отмывание траффика. А у upstream provider'а нельзя за-blackhole-ить? --
Dmitry Kiselev =================================================================== uanog mailing list. To Unsubscribe: send mail to majordomo@uanog.kiev.ua with "unsubscribe uanog" in the body of the message
On Fri, Mar 10, 2006 at 10:30:34AM -0500, Igor Chunikhin wrote: IC> > IC> > Вот для таких целей всякие Guard и предназначены... Если бы не цена... IC> > Даже inline IPS плюс прямые руки помог бы. IC> По-моему у Guard'а лимит имеется на отмывание траффика. IC> А у upstream provider'а нельзя за-blackhole-ить? Если upstream provider на это письмо не отреагирует :))), то напишу через часик письмецо с просьбой. -- Alex Radetsky AR2657-RIPE RAD-UANIC =================================================================== uanog mailing list. To Unsubscribe: send mail to majordomo@uanog.kiev.ua with "unsubscribe uanog" in the body of the message
Я ж показал как мы разруливали, т.е. по реальному опыту. Таким образом получилось даже ботнет положить. Alexey Radetsky wrote: IC> >> Вот для таких целей всякие Guard и предназначены... Если бы не цена... IC> >> Даже inline IPS плюс прямые руки помог бы. IC>> По-моему у Guard'а лимит имеется на отмывание траффика. IC>> А у upstream provider'а нельзя за-blackhole-ить? AR> Если upstream provider на это письмо не отреагирует :))), AR> то напишу через часик письмецо с просьбой. -- UKR.NET Postmaster =================================================================== uanog mailing list. To Unsubscribe: send mail to majordomo@uanog.kiev.ua with "unsubscribe uanog" in the body of the message
On Fri, Mar 10, 2006 at 05:45:08PM +0200, vladimir.sharun@ukr.net wrote:
Я ж показал как мы разруливали, т.е. по реальному опыту. Таким образом получилось даже ботнет положить. AR> Если upstream provider на это письмо не отреагирует :))), AR> то напишу через часик письмецо с просьбой.
А я чем занимаюсь? :) Сейчас скрипт скину на сервер и буду наблюдать :) -- Alex Radetsky AR2657-RIPE RAD-UANIC =================================================================== uanog mailing list. To Unsubscribe: send mail to majordomo@uanog.kiev.ua with "unsubscribe uanog" in the body of the message
participants (9)
-
&y0 -
Alexey Radetsky -
Dmitry Kiselev -
Dmitry Pryanishnikov -
Igor Chunikhin -
Konstantin N. Bezruchenko -
Sergey Kovalenko -
Vasiliy P. Melnik -
vladimir.sharun@ukr.net