Страница 1 из 1
Флуд Дос атаки многое такое примеры
Добавлено: 2009-09-22 11:53:52
warzoni
Ребята я не буду скрывтаь ушол я с бзд хостенга, прешол на linux скажу чесно бзд туго справляетца с флуд атаками типа отказ обслуживанеи...масоввый син флуд или массовый пинг или массовый http flood когда запросами валит..кто напишит, мод евасиве рулит засунте его в дубу, не чего он не рулит против мегабитного доса нечгео не спасает кроме Ipfw...НО и ifpw тежол на подьём за всё маё время кроме как ограничивать с одного айпи количество запросов и перл скрептов лапащие логи (трудойомкие)методов борьбы больше не нашол с флудом на апачи...хочу спрасить покажите примеры гуру..как кто защищаетца если просто пару десятков тыщь запросов типа GET валит..или кто то балуетца sprut вопщем видов куча.. как и кто уберагет сваи сервера от подобных атак хостенг сервера именно БЗД на linux я решил всё за один день сел и свеел правила всё гуд там гибко всё всё закрыл всё, есть CSF вопще многое решает..хочу как знающий увидить люедй каторые реально свееели програмную защиту на ipfw.pf не важно,главное чтобы была связка с apache защищать надо его родимого отм асовых флуд атак...я вот ради интереса хочу увидить )) что как решал подобные проблеммы..
Re: Флуд Дос атаки многое такое примеры
Добавлено: 2009-09-22 12:16:28
princeps
блин, ребята, ну хоть на подобии русского языка можно писать? Невозможно же читать.
В последнем хакере была как раз небольшая заметка о тюнинге фри для защиты от DoS-атак. Могу отсканить, если очень надо. А вообще это, я полагаю, необъятная тема.
Re: Флуд Дос атаки многое такое примеры
Добавлено: 2009-09-22 12:19:20
warzoni
princeps писал(а):блин, ребята, ну хоть на подобии русского языка можно писать? Невозможно же читать.
В последнем хакере была как раз небольшая заметка о тюнинге фри для защиты от DoS-атак. Могу отсканить, если очень надо. А вообще это, я полагаю, необъятная тема.
Да блин хз оно атк получаетца.
и пишитца.ото как с головы лезит )))
Re: Флуд Дос атаки многое такое примеры
Добавлено: 2009-09-22 12:38:21
abanamat
ipfw dummynet шейпер рисуешь и все. и хватает.
Re: Флуд Дос атаки многое такое примеры
Добавлено: 2009-09-22 13:01:11
warzoni
abanamat писал(а):ipfw dummynet шейпер рисуешь и все. и хватает.
покажи мне рисунок какой ты хочеш шейпер впарить на хостинг машину где валит мелких пакетов меллионы...я же гвоарю о прадуктивности чтобы оно работало а не тормазило ужасно.
пожалуйста вы ресуйте ..что гвоарите примеры это важно..ато расказатья тоже могу..паставить pf разукрасть на CBQ приорететы поставить систему высокий апачи низкий хорошего мало но система останитца живая ))хотя это токо разговоры я так не делал ))
Re: Флуд Дос атаки многое такое примеры
Добавлено: 2009-09-22 13:54:24
abanamat
Че-нить такое. Можно и без gred.
/sbin/ipfw -q pipe 1 config bw 2Mbit/s queue 10KBytes
/sbin/ipfw -q queue 1 config pipe 1 weight 50 queue 80KBytes gred 0.002/20/30/0.1 mask src-ip 0xffffffff
И афигенно на время ддоса.
Но это фигня а не ддос. Вот када датацентер ддосят - это красота!!
Re: Флуд Дос атаки многое такое примеры
Добавлено: 2009-09-22 15:39:16
warzoni
abanamat писал(а):Че-нить такое. Можно и без gred.
/sbin/ipfw -q pipe 1 config bw 2Mbit/s queue 10KBytes
/sbin/ipfw -q queue 1 config pipe 1 weight 50 queue 80KBytes gred 0.002/20/30/0.1 mask src-ip 0xffffffff
И афигенно на время ддоса.
Но это фигня а не ддос. Вот када датацентер ддосят - это красота!!
Красивое правело самое главное всё не обходимое..мне понравилось применение града кстати толковое на 80 порт самое оно...но что ты будеш делать при UDP- SYN Flood...,а если можно вылажуй полностью реализацию что ты в пайпы загоняеш и т п,,я кстати туплю сам строю правела на пайпах кверти и чёт не додумался ))хе-х бывает ...кстати 2 мегабита ты граничиш 80 порт ? выложи весь Ipfw посматреть что оно из себя всё представляет....если не тежело рассуди всё..так как я знаю многих лопатят килатонны ненужной инфы ради защиты ..
Re: Флуд Дос атаки многое такое примеры
Добавлено: 2009-09-22 15:43:23
princeps
при syn-флуде можно уменьшить время ожидания ответного пакета на запрос syn-ack в net.inet.tcp.msl
можно увеличить очередь
Re: Флуд Дос атаки многое такое примеры
Добавлено: 2009-09-22 16:35:30
abanamat
warzoni писал(а):abanamat писал(а):Че-нить такое. Можно и без gred.
/sbin/ipfw -q pipe 1 config bw 2Mbit/s queue 10KBytes
/sbin/ipfw -q queue 1 config pipe 1 weight 50 queue 80KBytes gred 0.002/20/30/0.1 mask src-ip 0xffffffff
И афигенно на время ддоса.
Но это фигня а не ддос. Вот када датацентер ддосят - это красота!!
Красивое правело самое главное всё не обходимое..мне понравилось применение града кстати толковое на 80 порт самое оно...но что ты будеш делать при UDP- SYN Flood...,а если можно вылажуй полностью реализацию что ты в пайпы загоняеш и т п,,я кстати туплю сам строю правела на пайпах кверти и чёт не додумался ))хе-х бывает ...кстати 2 мегабита ты граничиш 80 порт ? выложи весь Ipfw посматреть что оно из себя всё представляет....если не тежело рассуди всё..так как я знаю многих лопатят килатонны ненужной инфы ради защиты ..
Да нету у меня постоянного правила. Если сервер мочат - тогда рисую. Вот в эту очередь загоняется тыцыпы на 80 входящий. И в более скоростную - исходящий с 80-го. А в процессе атаки характеристики очереди подстраиваются просто.
/sbin/ipfw -q pipe 1 config bw 1Mbit/s queue 10KBytes
/sbin/ipfw -q queue 1 config pipe 1 weight 50 queue 90KBytes gred 0.002/20/45/0.1 mask src-ip 0xffffffff
/sbin/ipfw -q pipe 2 config bw 4Mbit/s queue 10KBytes
/sbin/ipfw -q queue 2 config pipe 2 weight 50 queue 60KBytes gred 0.002/20/30/0.1 mask dst-ip 0xffffffff
/sbin/ipfw -q add 301 queue 1 tcp from any to me 80 in
/sbin/ipfw -q add 302 queue 2 tcp from me 80 to any
И да, sysctl в помощь.
Re: Флуд Дос атаки многое такое примеры
Добавлено: 2009-09-22 16:42:49
warzoni
abanamat писал(а):warzoni писал(а):abanamat писал(а):Че-нить такое. Можно и без gred.
/sbin/ipfw -q pipe 1 config bw 2Mbit/s queue 10KBytes
/sbin/ipfw -q queue 1 config pipe 1 weight 50 queue 80KBytes gred 0.002/20/30/0.1 mask src-ip 0xffffffff
И афигенно на время ддоса.
Но это фигня а не ддос. Вот када датацентер ддосят - это красота!!
Красивое правело самое главное всё не обходимое..мне понравилось применение града кстати толковое на 80 порт самое оно...но что ты будеш делать при UDP- SYN Flood...,а если можно вылажуй полностью реализацию что ты в пайпы загоняеш и т п,,я кстати туплю сам строю правела на пайпах кверти и чёт не додумался ))хе-х бывает ...кстати 2 мегабита ты граничиш 80 порт ? выложи весь Ipfw посматреть что оно из себя всё представляет....если не тежело рассуди всё..так как я знаю многих лопатят килатонны ненужной инфы ради защиты ..
Да нету у меня постоянного правила. Если сервер мочат - тогда рисую. Вот в эту очередь загоняется тыцыпы на 80 входящий. И в более скоростную - исходящий с 80-го. А в процессе атаки характеристики очереди подстраиваются просто.
/sbin/ipfw -q pipe 1 config bw 1Mbit/s queue 10KBytes
/sbin/ipfw -q queue 1 config pipe 1 weight 50 queue 90KBytes gred 0.002/20/45/0.1 mask src-ip 0xffffffff
/sbin/ipfw -q pipe 2 config bw 4Mbit/s queue 10KBytes
/sbin/ipfw -q queue 2 config pipe 2 weight 50 queue 60KBytes gred 0.002/20/30/0.1 mask dst-ip 0xffffffff
/sbin/ipfw -q add 301 queue 1 tcp from any to me 80 in
/sbin/ipfw -q add 302 queue 2 tcp from me 80 to any
И да, sysctl в помощь.
да эти правело реально будут работать токо посление out ты не допесал или это так есть ? )ну не важно гуд правело
Re: Флуд Дос атаки многое такое примеры
Добавлено: 2009-09-22 22:53:52
Anton.M
warzoni писал(а):да эти правело реально будут работать токо посление out ты не допесал или это так есть ? )ну не важно гуд правело
warzoni настоящий админ, пишет на русском с отчётливым привкусом машинного кода
, сорри за офтоп но ваш русский ужасен.
Re: Флуд Дос атаки многое такое примеры
Добавлено: 2009-09-23 0:44:34
warzoni
Anton.M писал(а):warzoni писал(а):да эти правело реально будут работать токо посление out ты не допесал или это так есть ? )ну не важно гуд правело
warzoni настоящий админ, пишет на русском с отчётливым привкусом машинного кода
, сорри за офтоп но ваш русский ужасен.
да машинный код
010101 ))
на линуксе я реализацию взял на Iptables применил limit получаетца типа такова
Код: Выделить всё
iptables -L -nv
Chain INPUT (policy DROP 0 packets, 0 bytes)
4 192 ACCEPT tcp -- eth0 * 0.0.0.0/0 0.0.0.0/0 tcp dpt:80 limit: avg 20/sec burst 15
Chain LOGDROPIN (1 references)
0 0 LOG tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:80 limit: avg 30/min burst 5 LOG flags 0 level 4 prefix `http flood:'
правела выглядят так
добовляетца в цепочку INPUT ограничиваетм не больше 20 соеденений с одного айпи в секунду (внмиание айпи не блокируетца пакеты лишние кидаютца в цепочку дроп) на 80 порт, правела на данный мамент разграничины штобы не жаловались ))
Код: Выделить всё
-A INPUT -i eth0 -p tcp --dport 80 -m limit --limit 20/second --limit-burst 15 -j ACCEPT
и дроп с логом
в цепочке LOGDROPIN
Код: Выделить всё
-I LOGDROPIN -p tcp --dport 80 -m limit --limit 30/min -j LOG --log-prefix 'http flood:'
получаетца логика проста,режим до того состояние пока флуд будет не заметен типа как Ipfw ..также пинг режитца Limit с syn покетами тежелее но можно зарезать...лучьше канешно отрегулирвоать sysctl..
если надо ограничит типа буртафос какото используем recent ну это уже не дос он мало используетца
Re: Флуд Дос атаки многое такое примеры
Добавлено: 2009-09-23 13:57:38
Евгений Григоренко
Сервер является небольшим вирт.хостином, соответсвенно свзяка nginx+apache.
pf.conf
Код: Выделить всё
set timeout { frag 20, tcp.established 3600, tcp.finwait 20, tcp.closed 60 }
set timeout { udp.first 60, udp.single 30, udp.multiple 60 }
set timeout { icmp.first 20, icmp.error 10 }
pass in on $ext_if proto tcp to $first_ip port 80 flags S/SA keep state ( max-src-conn *значение по вкусу*,max-src-conn-rate *значение по вкусу* , overload <ddos> flush)
nginx.conf
Код: Выделить всё
reset_timedout_connection on;
worker_processes 16;
worker_priority -5;
events { worker_connections 1024;}
sendfile on;
keepalive_timeout 20;
limit_req_zone $binary_remote_addr zone=apache:10m rate=3r/s;
location / {
limit_req zone=apache burst=5;
можно еще глянуть в сторону limit_zone
sysctl.conf
Код: Выделить всё
kern.maxvnodes=100000
kern.ipc.maxsockets=204800
kern.ipc.somaxconn=4096
kern.maxfiles=204800
kern.ipc.nmbclusters=204800
net.inet.tcp.recvspace=8192
net.inet.tcp.recvbuf_auto=0
kern.ipc.nmbjumbop=192000
net.inet.tcp.sendspace=16384
net.inet.tcp.sendbuf_auto=1
net.inet.tcp.sendbuf_inc=8192
net.inet.tcp.sendbuf_max=131072
net.inet.tcp.maxtcptw=102400
net.inet.ip.portrange.first=1024
net.inet.ip.portrange.last=65535
net.inet.ip.portrange.randomized=0
net.inet.tcp.msl=10000
net.inet.tcp.nolocaltimewait=1
net.local.stream.recvspace=65535
net.local.stream.sendspace=65535
net.inet.tcp.delayed_ack=0
net.inet.tcp.blackhole=2
net.inet.udp.blackhole=1
net.inet.ip.random_id=1
net.inet.ip.redirect=0
net.link.ether.inet.max_age=1200
net.inet.ip.sourceroute=0
net.inet.ip.accept_sourceroute=0
net.inet.ip.intr_queue_maxlen=2048
net.isr.direct=0
Крутиться сие чудо еще относительно недавно, так что об особых результатах говорить пока рано, но пока эта схема держится на 5ку!
Поживем- увидим...
Re: Флуд Дос атаки многое такое примеры
Добавлено: 2009-09-23 18:53:58
helloworld
Евгений, а у вас какие значения "по вкусу" ?
Код: Выделить всё
pass in on $ext_if proto tcp to $first_ip port 80 flags S/SA keep state ( max-src-conn *значение по вкусу*,max-src-conn-rate *значение по вкусу* , overload <ddos> flush)
Re: Флуд Дос атаки многое такое примеры
Добавлено: 2009-09-23 19:59:34
warzoni
Код: Выделить всё
pass in on $ext_if proto tcp to $first_ip port 80 flags S/SA keep state ( max-src-conn *значение по вкусу*,max-src-conn-rate *значение по вкусу* , overload <ddos> flush)
[/code]
помню такое делал както я,правела не хватает евгений..блокировки таблицы ддос...что самое плохое это то чо оно банит айпи адреса, и через чур узкое значение приведёт к бану всех юзеров..естественно евгений не показал чистку правил по крону..я эту статью у лесяры читал помойму..,был у меня дос ..на этом правеле..держалось но что то не помню результатов хорошийх..хочетца что бы вы отпесались поже как и что прошло...в плане жалоб и т п..как гвоаритца как работаетца..))и есле можно коментируйте правела..ещё интеерсно на живой машине их видить ))
p/s ну вот ненмого пополняетца запас интересной темы...я кстати не скрою многое вспомнил..просто когда валит дос ищиш все методы отсеивание...программно...
мне больше всего хочетца увидитьч то то новое и вкусное....
Код: Выделить всё
kern.maxvnodes=100000
kern.ipc.maxsockets=204800
kern.ipc.somaxconn=4096
kern.maxfiles=204800
kern.ipc.nmbclusters=204800
net.inet.tcp.recvspace=8192
net.inet.tcp.recvbuf_auto=0
kern.ipc.nmbjumbop=192000
net.inet.tcp.sendspace=16384
net.inet.tcp.sendbuf_auto=1
net.inet.tcp.sendbuf_inc=8192
net.inet.tcp.sendbuf_max=131072
net.inet.tcp.maxtcptw=102400
net.inet.ip.portrange.first=1024
net.inet.ip.portrange.last=65535
net.inet.ip.portrange.randomized=0
net.inet.tcp.msl=10000
net.inet.tcp.nolocaltimewait=1
net.local.stream.recvspace=65535
net.local.stream.sendspace=65535
net.inet.tcp.delayed_ack=0
net.inet.tcp.blackhole=2
net.inet.udp.blackhole=1
net.inet.ip.random_id=1
net.inet.ip.redirect=0
net.link.ether.inet.max_age=1200
net.inet.ip.sourceroute=0
net.inet.ip.accept_sourceroute=0
net.inet.ip.intr_queue_maxlen=2048
net.isr.direct=0
по сисцтлу видно, что машина раскачанна вовсех её рамках, работы...разширили всё что в ней есть
,прикольно
Re: Флуд Дос атаки многое такое примеры
Добавлено: 2009-09-24 12:58:15
warzoni
helloworld писал(а):Евгений, а у вас какие значения "по вкусу" ?
Код: Выделить всё
pass in on $ext_if proto tcp to $first_ip port 80 flags S/SA keep state ( max-src-conn *значение по вкусу*,max-src-conn-rate *значение по вкусу* , overload <ddos> flush)
Код: Выделить всё
ext_if="youur interface"
table <ddos> persist
block in log quick from <ddos>
pass in on $ext_if proto tcp to $ext_if port www flags S/SA keep state ( max-src-conn-rate 100/5, overload <ddos> flush)
максимум 100 соеденений в течение 5 сикунд с одного айпи ,поидеи так...и если такое есть ip попадает в бан чистка бана в низу..
Код: Выделить всё
А всех кто попал к нам в блек лист можем посмотреть вот так:
pfctl -t ddos -T show