BSDPORTAL.RU

На этом сайте обсуждаются вопросы использования ОС FreeBSD
 Портал  •  Статьи  •  Форум  •  Wiki  •  Поиск  •  FAQ  •  Обои  •   Официальная документация  •  Новые темы 

Часовой пояс: UTC + 4 часа




Начать новую тему Ответить на тему  [ Сообщений: 5 ] 
Автор Сообщение
 Заголовок сообщения: DDoS
СообщениеДобавлено: Вт 18 авг, 2015 3:31 am 
Не в сети

Зарегистрирован: Чт 07 окт, 2004 6:12 pm
Сообщения: 191
Приветсвую всех,

Озаботился я тут защитой от DDoS.
Понимаю конечно что от хорошего флуда средствами фряхи не спастись, но все же защита от простейших ддос атак интересует.

FreeBSD 10, nginx

Что посоветуете?


Вернуться к началу
 Профиль  
 
 Заголовок сообщения: Re: DDoS
СообщениеДобавлено: Вт 18 авг, 2015 12:28 pm 
Не в сети

Зарегистрирован: Вс 08 мар, 2015 11:31 am
Сообщения: 159
Парсим лог, не в меру самых активных отрубаем.
Парсим лог, часто долбящих контрольные точки (корень, например) отрубаем.
Парсим вывод netstat, многочисленных отрубаем.
Парсим вывод netstat, c SYN_RCVD более нормы отрубаем.
Парсим tcpdump
Заводим файлик, в нём ведём список забаненных, грузим в таблицу IPFW.
Можно сделать периодическое автовыкидывание самых старых запусков.
Всё по крону.
Ну и самим nginx, заводим зоны, количество запроосов, количество всплесков, туды-сюды, затачиваем. Смотрим, чтобы без глюков открывались странички где много мелких рисунков — смайликов всяких и т.п.
Всякие сапы в исключение.


Вернуться к началу
 Профиль  
 
 Заголовок сообщения: Re: DDoS
СообщениеДобавлено: Вт 18 авг, 2015 2:33 pm 
Не в сети

Зарегистрирован: Чт 07 окт, 2004 6:12 pm
Сообщения: 191
Это все понятно. Все эти меры при предотвращении уже существующей атаки.
А превентивные меры?
Например столкнулся с http флудом, nginx'ом прикрыл.
А вот как на будущее максимально предотвратить возможность http флуда?
А так же SYN, может есть какие-то параметры для sysctl?

И попутный вопрос. Есть ли механизм позволяющий узнать как пользователь подключен к серверу - через прокси или нет?


Вернуться к началу
 Профиль  
 
 Заголовок сообщения: Re: DDoS
СообщениеДобавлено: Чт 03 сен, 2015 11:13 pm 
Не в сети
Аватара пользователя

Зарегистрирован: Пт 12 сен, 2003 4:34 pm
Сообщения: 376
Откуда: Минск
arriah писал(а):
Озаботился я тут защитой от DDoS.

Пришел сюда так же с подобным вопросом, уже был готов топик открыть). В плане поставить сервак на колокейшен, в прогнозе адъ и израиль ... лучче и не прогнозировать))) Предлагаю по мере возможности всем заинтересованным собрать воедино ведомые вам методы противодействия сабжу. Лично меня пока интересует SYN Flood и MAC Spoof, ибо давно на слуху.

Если выйти на наиболее высший уровень абстракции, лично мне сейчас нужно следующее:

1) Для адресатов, которые пакостят на канальном и сетевом уровне - банить надолго (день-два-неделя-лучче формула)
2) Для адресатов, которые пакостят на прикладном уровне - банить ненадолго (час-два-день)
3) Для адресатов, которые флудят на прикладном уровне - банить совсем мало (5-10 мин)

П.2 отличается от п.3 тем, что в п.2 делаются запросы формально правильные, но логически нет. Иными словами, п.2 - ошибки протоколов и команд общения прикладного уровня. П.3 формально правильные, но "назойливые" запросы, сверх предусмотренного лимита в единицу времени.

В качестве протокола прикладного уровня скорее всего будет HTTP/HTTPS, но не факт. Возможно придется что-то свое мутить. Хотя это все не принципиально.

Любые линки по теме приветствуются :)

И небольшой оффтопик отставшему от тренда: почему IPFW а не PF, в чем профит? Когда-то PF был больше понравился, но много воды утекло с тех времен.

_________________
Обращаюсь на "ты". Если не устраивает - пишите в ПМ, я применю патч :)


Вернуться к началу
 Профиль  
 
 Заголовок сообщения: Re: DDoS
СообщениеДобавлено: Пт 04 мар, 2016 11:48 am 
Не в сети
Аватара пользователя

Зарегистрирован: Вт 03 янв, 2006 12:49 pm
Сообщения: 1038
Откуда: Киев
А какой PF \ IPFW лучше для многоядерных многопроцессорных систем? Когда-то был слух, что что-то лучше ... Долго пользуюсь пограничными железками. Что лучше не помню, потому и возник вопрос.


Вернуться к началу
 Профиль  
 
Показать сообщения за:  Поле сортировки  
Начать новую тему Ответить на тему  [ Сообщений: 5 ] 

Часовой пояс: UTC + 4 часа


Кто сейчас на конференции

Зарегистрированные пользователи: Bing [Bot], Google [Bot], Google Feedfetcher


Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете добавлять вложения

Найти:
Создано на основе phpBB® Forum Software © phpBB Group
Русская поддержка phpBB
Яндекс.Метрика