Флуд Дос атаки многое такое примеры

[warzoni]

Ребята я не буду скрывтаь ушол я с бзд хостенга, прешол на linux скажу чесно бзд туго справляетца с флуд атаками типа отказ обслуживанеи...масоввый син флуд или массовый пинг или массовый http flood когда запросами валит..кто напишит, мод евасиве рулит засунте его в дубу, не чего он не рулит против мегабитного доса нечгео не спасает кроме Ipfw...НО и ifpw тежол на подьём за всё маё время кроме как ограничивать с одного айпи количество запросов и перл скрептов лапащие логи (трудойомкие)методов борьбы больше не нашол с флудом на апачи...хочу спрасить покажите примеры гуру..как кто защищаетца если просто пару десятков тыщь запросов типа GET валит..или кто то балуетца sprut вопщем видов куча.. как и кто уберагет сваи сервера от подобных атак хостенг сервера именно БЗД на linux я решил всё за один день сел и свеел правила всё гуд там гибко всё всё закрыл всё, есть CSF вопще многое решает..хочу как знающий увидить люедй каторые реально свееели програмную защиту на ipfw.pf не важно,главное чтобы была связка с apache защищать надо его родимого отм асовых флуд атак...я вот ради интереса хочу увидить )) что как решал подобные проблеммы..

[Хостинг HostFood.ru]

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

[princeps]

блин, ребята, ну хоть на подобии русского языка можно писать? Невозможно же читать.
В последнем хакере была как раз небольшая заметка о тюнинге фри для защиты от DoS-атак. Могу отсканить, если очень надо. А вообще это, я полагаю, необъятная тема.

[warzoni]

блин, ребята, ну хоть на подобии русского языка можно писать? Невозможно же читать.
В последнем хакере была как раз небольшая заметка о тюнинге фри для защиты от DoS-атак. Могу отсканить, если очень надо. А вообще это, я полагаю, необъятная тема.

Да блин хз оно атк получаетца. и пишитца.ото как с головы лезит )))

[abanamat]

ipfw dummynet шейпер рисуешь и все. и хватает.

[warzoni]

ipfw dummynet шейпер рисуешь и все. и хватает.

покажи мне рисунок какой ты хочеш шейпер впарить на хостинг машину где валит мелких пакетов меллионы...я же гвоарю о прадуктивности чтобы оно работало а не тормазило ужасно.

пожалуйста вы ресуйте ..что гвоарите примеры это важно..ато расказатья тоже могу..паставить pf разукрасть на CBQ приорететы поставить систему высокий апачи низкий хорошего мало но система останитца живая ))хотя это токо разговоры я так не делал ))

[abanamat]

Че-нить такое. Можно и без gred.

/sbin/ipfw -q pipe 1 config bw 2Mbit/s queue 10KBytes
/sbin/ipfw -q queue 1 config pipe 1 weight 50 queue 80KBytes gred 0.002/20/30/0.1 mask src-ip 0xffffffff

И афигенно на время ддоса.

Но это фигня а не ддос. Вот када датацентер ддосят - это красота!!

[warzoni]

Че-нить такое. Можно и без gred.

/sbin/ipfw -q pipe 1 config bw 2Mbit/s queue 10KBytes
/sbin/ipfw -q queue 1 config pipe 1 weight 50 queue 80KBytes gred 0.002/20/30/0.1 mask src-ip 0xffffffff

И афигенно на время ддоса.

Но это фигня а не ддос. Вот када датацентер ддосят - это красота!!

Красивое правело самое главное всё не обходимое..мне понравилось применение града кстати толковое на 80 порт самое оно...но что ты будеш делать при UDP- SYN Flood...,а если можно вылажуй полностью реализацию что ты в пайпы загоняеш и т п,,я кстати туплю сам строю правела на пайпах кверти и чёт не додумался ))хе-х бывает ...кстати 2 мегабита ты граничиш 80 порт ? выложи весь Ipfw посматреть что оно из себя всё представляет....если не тежело рассуди всё..так как я знаю многих лопатят килатонны ненужной инфы ради защиты ..

[princeps]

при syn-флуде можно уменьшить время ожидания ответного пакета на запрос syn-ack в net.inet.tcp.msl
можно увеличить очередь

[abanamat]

Че-нить такое. Можно и без gred.

/sbin/ipfw -q pipe 1 config bw 2Mbit/s queue 10KBytes
/sbin/ipfw -q queue 1 config pipe 1 weight 50 queue 80KBytes gred 0.002/20/30/0.1 mask src-ip 0xffffffff

И афигенно на время ддоса.

Но это фигня а не ддос. Вот када датацентер ддосят - это красота!!

Красивое правело самое главное всё не обходимое..мне понравилось применение града кстати толковое на 80 порт самое оно...но что ты будеш делать при UDP- SYN Flood...,а если можно вылажуй полностью реализацию что ты в пайпы загоняеш и т п,,я кстати туплю сам строю правела на пайпах кверти и чёт не додумался ))хе-х бывает ...кстати 2 мегабита ты граничиш 80 порт ? выложи весь Ipfw посматреть что оно из себя всё представляет....если не тежело рассуди всё..так как я знаю многих лопатят килатонны ненужной инфы ради защиты ..

Да нету у меня постоянного правила. Если сервер мочат - тогда рисую. Вот в эту очередь загоняется тыцыпы на 80 входящий. И в более скоростную - исходящий с 80-го. А в процессе атаки характеристики очереди подстраиваются просто.

/sbin/ipfw -q pipe 1 config bw 1Mbit/s queue 10KBytes
/sbin/ipfw -q queue 1 config pipe 1 weight 50 queue 90KBytes gred 0.002/20/45/0.1 mask src-ip 0xffffffff
/sbin/ipfw -q pipe 2 config bw 4Mbit/s queue 10KBytes
/sbin/ipfw -q queue 2 config pipe 2 weight 50 queue 60KBytes gred 0.002/20/30/0.1 mask dst-ip 0xffffffff

/sbin/ipfw -q add 301 queue 1 tcp from any to me 80 in
/sbin/ipfw -q add 302 queue 2 tcp from me 80 to any

И да, sysctl в помощь.

[warzoni]

Че-нить такое. Можно и без gred.

/sbin/ipfw -q pipe 1 config bw 2Mbit/s queue 10KBytes
/sbin/ipfw -q queue 1 config pipe 1 weight 50 queue 80KBytes gred 0.002/20/30/0.1 mask src-ip 0xffffffff

И афигенно на время ддоса.

Но это фигня а не ддос. Вот када датацентер ддосят - это красота!!

Красивое правело самое главное всё не обходимое..мне понравилось применение града кстати толковое на 80 порт самое оно...но что ты будеш делать при UDP- SYN Flood...,а если можно вылажуй полностью реализацию что ты в пайпы загоняеш и т п,,я кстати туплю сам строю правела на пайпах кверти и чёт не додумался ))хе-х бывает ...кстати 2 мегабита ты граничиш 80 порт ? выложи весь Ipfw посматреть что оно из себя всё представляет....если не тежело рассуди всё..так как я знаю многих лопатят килатонны ненужной инфы ради защиты ..

Да нету у меня постоянного правила. Если сервер мочат - тогда рисую. Вот в эту очередь загоняется тыцыпы на 80 входящий. И в более скоростную - исходящий с 80-го. А в процессе атаки характеристики очереди подстраиваются просто.

/sbin/ipfw -q pipe 1 config bw 1Mbit/s queue 10KBytes
/sbin/ipfw -q queue 1 config pipe 1 weight 50 queue 90KBytes gred 0.002/20/45/0.1 mask src-ip 0xffffffff
/sbin/ipfw -q pipe 2 config bw 4Mbit/s queue 10KBytes
/sbin/ipfw -q queue 2 config pipe 2 weight 50 queue 60KBytes gred 0.002/20/30/0.1 mask dst-ip 0xffffffff

/sbin/ipfw -q add 301 queue 1 tcp from any to me 80 in
/sbin/ipfw -q add 302 queue 2 tcp from me 80 to any

И да, sysctl в помощь.

да эти правело реально будут работать токо посление out ты не допесал или это так есть ? )ну не важно гуд правело

[Anton.M]

да эти правело реально будут работать токо посление out ты не допесал или это так есть ? )ну не важно гуд правело

warzoni настоящий админ, пишет на русском с отчётливым привкусом машинного кода , сорри за офтоп но ваш русский ужасен.

[warzoni]

да эти правело реально будут работать токо посление out ты не допесал или это так есть ? )ну не важно гуд правело

warzoni настоящий админ, пишет на русском с отчётливым привкусом машинного кода , сорри за офтоп но ваш русский ужасен.

да машинный код
010101 ))

на линуксе я реализацию взял на Iptables применил limit получаетца типа такова

Код: Выделить всё

iptables -L -nv

Chain INPUT (policy DROP 0 packets, 0 bytes)

    4   192 ACCEPT     tcp  --  eth0   *       0.0.0.0/0            0.0.0.0/0           tcp dpt:80 limit: avg 20/sec burst 15
Chain LOGDROPIN (1 references)

    0     0 LOG        tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           tcp dpt:80 limit: avg 30/min burst 5 LOG flags 0 level 4 prefix `http flood:'

правела выглядят так
добовляетца в цепочку INPUT ограничиваетм не больше 20 соеденений с одного айпи в секунду (внмиание айпи не блокируетца пакеты лишние кидаютца в цепочку дроп) на 80 порт, правела на данный мамент разграничины штобы не жаловались ))

Код: Выделить всё

-A INPUT -i eth0 -p tcp --dport 80 -m limit --limit 20/second --limit-burst 15 -j ACCEPT

и дроп с логом

в цепочке LOGDROPIN

Код: Выделить всё

-I LOGDROPIN -p tcp --dport 80 -m limit --limit 30/min -j LOG --log-prefix 'http flood:'

получаетца логика проста,режим до того состояние пока флуд будет не заметен типа как Ipfw ..также пинг режитца Limit с syn покетами тежелее но можно зарезать...лучьше канешно отрегулирвоать sysctl..

если надо ограничит типа буртафос какото используем recent ну это уже не дос он мало используетца

[Евгений Григоренко]

Сервер является небольшим вирт.хостином, соответсвенно свзяка nginx+apache.
pf.conf

Код: Выделить всё

set timeout { frag 20, tcp.established 3600, tcp.finwait 20, tcp.closed 60 }
set timeout { udp.first 60, udp.single 30, udp.multiple 60 }
set timeout { icmp.first 20, icmp.error 10 }
pass in on $ext_if proto tcp to $first_ip port 80 flags S/SA keep state ( max-src-conn *значение по вкусу*,max-src-conn-rate *значение по вкусу*  , overload <ddos> flush)

nginx.conf

Код: Выделить всё

reset_timedout_connection on;          
worker_processes  16;                                                                                             
worker_priority -5;                                                                                               
events { worker_connections  1024;}    
sendfile        on;                    
    keepalive_timeout  20;                 
    limit_req_zone  $binary_remote_addr  zone=apache:10m   rate=3r/s;
location / {                     
                        limit_req   zone=apache  burst=5; 

можно еще глянуть в сторону limit_zone

sysctl.conf

Код: Выделить всё

kern.maxvnodes=100000
kern.ipc.maxsockets=204800
kern.ipc.somaxconn=4096
kern.maxfiles=204800
kern.ipc.nmbclusters=204800
net.inet.tcp.recvspace=8192
net.inet.tcp.recvbuf_auto=0
kern.ipc.nmbjumbop=192000
net.inet.tcp.sendspace=16384
net.inet.tcp.sendbuf_auto=1
net.inet.tcp.sendbuf_inc=8192
net.inet.tcp.sendbuf_max=131072
net.inet.tcp.maxtcptw=102400
net.inet.ip.portrange.first=1024
net.inet.ip.portrange.last=65535
net.inet.ip.portrange.randomized=0
net.inet.tcp.msl=10000
net.inet.tcp.nolocaltimewait=1
net.local.stream.recvspace=65535
net.local.stream.sendspace=65535
net.inet.tcp.delayed_ack=0
net.inet.tcp.blackhole=2
net.inet.udp.blackhole=1
net.inet.ip.random_id=1
net.inet.ip.redirect=0
net.link.ether.inet.max_age=1200
net.inet.ip.sourceroute=0
net.inet.ip.accept_sourceroute=0
net.inet.ip.intr_queue_maxlen=2048
net.isr.direct=0

Крутиться сие чудо еще относительно недавно, так что об особых результатах говорить пока рано, но пока эта схема держится на 5ку!
Поживем- увидим...

[helloworld]

Евгений, а у вас какие значения "по вкусу" ?

Код: Выделить всё

pass in on $ext_if proto tcp to $first_ip port 80 flags S/SA keep state ( max-src-conn *значение по вкусу*,max-src-conn-rate *значение по вкусу*  , overload <ddos> flush)

[warzoni]

Код: Выделить всё

pass in on $ext_if proto tcp to $first_ip port 80 flags S/SA keep state ( max-src-conn *значение по вкусу*,max-src-conn-rate *значение по вкусу*  , overload <ddos> flush)

[/code]

помню такое делал както я,правела не хватает евгений..блокировки таблицы ддос...что самое плохое это то чо оно банит айпи адреса, и через чур узкое значение приведёт к бану всех юзеров..естественно евгений не показал чистку правил по крону..я эту статью у лесяры читал помойму..,был у меня дос ..на этом правеле..держалось но что то не помню результатов хорошийх..хочетца что бы вы отпесались поже как и что прошло...в плане жалоб и т п..как гвоаритца как работаетца..))и есле можно коментируйте правела..ещё интеерсно на живой машине их видить ))


p/s ну вот ненмого пополняетца запас интересной темы...я кстати не скрою многое вспомнил..просто когда валит дос ищиш все методы отсеивание...программно...

мне больше всего хочетца увидитьч то то новое и вкусное....

Код: Выделить всё

kern.maxvnodes=100000
kern.ipc.maxsockets=204800
kern.ipc.somaxconn=4096
kern.maxfiles=204800
kern.ipc.nmbclusters=204800
net.inet.tcp.recvspace=8192
net.inet.tcp.recvbuf_auto=0
kern.ipc.nmbjumbop=192000
net.inet.tcp.sendspace=16384
net.inet.tcp.sendbuf_auto=1
net.inet.tcp.sendbuf_inc=8192
net.inet.tcp.sendbuf_max=131072
net.inet.tcp.maxtcptw=102400
net.inet.ip.portrange.first=1024
net.inet.ip.portrange.last=65535
net.inet.ip.portrange.randomized=0
net.inet.tcp.msl=10000
net.inet.tcp.nolocaltimewait=1
net.local.stream.recvspace=65535
net.local.stream.sendspace=65535
net.inet.tcp.delayed_ack=0
net.inet.tcp.blackhole=2
net.inet.udp.blackhole=1
net.inet.ip.random_id=1
net.inet.ip.redirect=0
net.link.ether.inet.max_age=1200
net.inet.ip.sourceroute=0
net.inet.ip.accept_sourceroute=0
net.inet.ip.intr_queue_maxlen=2048
net.isr.direct=0

по сисцтлу видно, что машина раскачанна вовсех её рамках, работы...разширили всё что в ней есть ,прикольно

[warzoni]

Евгений, а у вас какие значения "по вкусу" ?

Код: Выделить всё

pass in on $ext_if proto tcp to $first_ip port 80 flags S/SA keep state ( max-src-conn *значение по вкусу*,max-src-conn-rate *значение по вкусу*  , overload <ddos> flush)

Код: Выделить всё

ext_if="youur interface"

table <ddos> persist
block in log quick from <ddos>

pass in on $ext_if proto tcp to $ext_if port www flags S/SA keep state ( max-src-conn-rate 100/5, overload <ddos> flush)

максимум 100 соеденений в течение 5 сикунд с одного айпи ,поидеи так...и если такое есть ip попадает в бан чистка бана в низу..

Код: Выделить всё

А всех кто попал к нам в блек лист можем посмотреть вот так:
pfctl -t ddos -T show

Код: Выделить всё

А удалить вот так
pfctl -t ddos -T flush