BSDPORTAL.RU

На этом сайте обсуждаются вопросы использования ОС FreeBSD
 Портал  •  Статьи  •  Форум  •  Wiki  •  Поиск  •  FAQ  •  Обои  •   Официальная документация  •  Новые темы 

Часовой пояс: UTC + 4 часа




Начать новую тему Ответить на тему  [ Сообщений: 5 ] 
Автор Сообщение
 Заголовок сообщения: DDoS
СообщениеДобавлено: Вт 18 авг, 2015 3:31 am 
Не в сети

Зарегистрирован: Чт 07 окт, 2004 6:12 pm
Сообщения: 191
Приветсвую всех,

Озаботился я тут защитой от DDoS.
Понимаю конечно что от хорошего флуда средствами фряхи не спастись, но все же защита от простейших ддос атак интересует.

FreeBSD 10, nginx

Что посоветуете?


Вернуться к началу
 Профиль  
 
 Заголовок сообщения: Re: DDoS
СообщениеДобавлено: Вт 18 авг, 2015 12:28 pm 
Не в сети

Зарегистрирован: Вс 08 мар, 2015 11:31 am
Сообщения: 159
Парсим лог, не в меру самых активных отрубаем.
Парсим лог, часто долбящих контрольные точки (корень, например) отрубаем.
Парсим вывод netstat, многочисленных отрубаем.
Парсим вывод netstat, c SYN_RCVD более нормы отрубаем.
Парсим tcpdump
Заводим файлик, в нём ведём список забаненных, грузим в таблицу IPFW.
Можно сделать периодическое автовыкидывание самых старых запусков.
Всё по крону.
Ну и самим nginx, заводим зоны, количество запроосов, количество всплесков, туды-сюды, затачиваем. Смотрим, чтобы без глюков открывались странички где много мелких рисунков — смайликов всяких и т.п.
Всякие сапы в исключение.


Вернуться к началу
 Профиль  
 
 Заголовок сообщения: Re: DDoS
СообщениеДобавлено: Вт 18 авг, 2015 2:33 pm 
Не в сети

Зарегистрирован: Чт 07 окт, 2004 6:12 pm
Сообщения: 191
Это все понятно. Все эти меры при предотвращении уже существующей атаки.
А превентивные меры?
Например столкнулся с http флудом, nginx'ом прикрыл.
А вот как на будущее максимально предотвратить возможность http флуда?
А так же SYN, может есть какие-то параметры для sysctl?

И попутный вопрос. Есть ли механизм позволяющий узнать как пользователь подключен к серверу - через прокси или нет?


Вернуться к началу
 Профиль  
 
 Заголовок сообщения: Re: DDoS
СообщениеДобавлено: Чт 03 сен, 2015 11:13 pm 
Не в сети
Аватара пользователя

Зарегистрирован: Пт 12 сен, 2003 4:34 pm
Сообщения: 376
Откуда: Минск
arriah писал(а):
Озаботился я тут защитой от DDoS.

Пришел сюда так же с подобным вопросом, уже был готов топик открыть). В плане поставить сервак на колокейшен, в прогнозе адъ и израиль ... лучче и не прогнозировать))) Предлагаю по мере возможности всем заинтересованным собрать воедино ведомые вам методы противодействия сабжу. Лично меня пока интересует SYN Flood и MAC Spoof, ибо давно на слуху.

Если выйти на наиболее высший уровень абстракции, лично мне сейчас нужно следующее:

1) Для адресатов, которые пакостят на канальном и сетевом уровне - банить надолго (день-два-неделя-лучче формула)
2) Для адресатов, которые пакостят на прикладном уровне - банить ненадолго (час-два-день)
3) Для адресатов, которые флудят на прикладном уровне - банить совсем мало (5-10 мин)

П.2 отличается от п.3 тем, что в п.2 делаются запросы формально правильные, но логически нет. Иными словами, п.2 - ошибки протоколов и команд общения прикладного уровня. П.3 формально правильные, но "назойливые" запросы, сверх предусмотренного лимита в единицу времени.

В качестве протокола прикладного уровня скорее всего будет HTTP/HTTPS, но не факт. Возможно придется что-то свое мутить. Хотя это все не принципиально.

Любые линки по теме приветствуются :)

И небольшой оффтопик отставшему от тренда: почему IPFW а не PF, в чем профит? Когда-то PF был больше понравился, но много воды утекло с тех времен.

_________________
Обращаюсь на "ты". Если не устраивает - пишите в ПМ, я применю патч :)


Вернуться к началу
 Профиль  
 
 Заголовок сообщения: Re: DDoS
СообщениеДобавлено: Пт 04 мар, 2016 11:48 am 
Не в сети
Аватара пользователя

Зарегистрирован: Вт 03 янв, 2006 12:49 pm
Сообщения: 1038
Откуда: Киев
А какой PF \ IPFW лучше для многоядерных многопроцессорных систем? Когда-то был слух, что что-то лучше ... Долго пользуюсь пограничными железками. Что лучше не помню, потому и возник вопрос.


Вернуться к началу
 Профиль  
 
Показать сообщения за:  Поле сортировки  
Начать новую тему Ответить на тему  [ Сообщений: 5 ] 

Часовой пояс: UTC + 4 часа


Кто сейчас на конференции

Зарегистрированные пользователи: Majestic-12 [Bot]


Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете добавлять вложения

Найти:
Создано на основе phpBB® Forum Software © phpBB Group
Русская поддержка phpBB
Яндекс.Метрика