BSDPORTAL.RU

На этом сайте обсуждаются вопросы использования ОС FreeBSD
 Портал  •  Статьи  •  Форум  •  Wiki  •  Поиск  •  FAQ  •  Обои  •   Официальная документация  •  Новые темы 

Часовой пояс: UTC + 4 часа




Начать новую тему Ответить на тему  [ Сообщений: 10 ] 
Автор Сообщение
 Заголовок сообщения: pf против дос атак, и вообще атак.
СообщениеДобавлено: Пт 21 июл, 2006 1:27 pm 
Не в сети

Зарегистрирован: Пн 08 сен, 2003 3:14 pm
Сообщения: 94
Откуда: Moscow
table <abusive_hosts> persist
block in quick from <abusive_hosts>

pass in on $ext_if proto tcp to $web_server \
port www flags S/SA keep state \
(max-src-conn 100, max-src-conn-rate 15/5, overload <abusive_hosts> flush)

Для тех кто привысел лимит в 15 соединений в 5 секунд попадают в блок лист, но при этоп апач начинает выдавать страницы по минуте, с чем это связано при 0 нагрузке ?


Вернуться к началу
 Профиль  
 
 Заголовок сообщения:
СообщениеДобавлено: Пт 21 июл, 2006 3:44 pm 
Не в сети

Зарегистрирован: Ср 03 мар, 2004 4:49 pm
Сообщения: 441
Попробуй для начала pfctl -d. Если при этом апач работает нормально, то дело явно не в нем.

А дальше я бы смотрел
- top (может быть pf просто задыхается).
- pfctl -t abusive_hosts -T show проконтроллировать кто у нас такой умный
- tcpdump -i pflog0 ... с добавлением log в правило pass ...

вот еще интересно что у тебя в set block-policy?

PS: а не слишком ли жесткая политика 15 соединений в 5 секунд? Если будут ходить через провайдерский белый IP из серой сети может быть и гораздо больше.


Вернуться к началу
 Профиль  
 
 Заголовок сообщения:
СообщениеДобавлено: Пт 21 июл, 2006 4:41 pm 
Не в сети

Зарегистрирован: Пн 08 сен, 2003 3:14 pm
Сообщения: 94
Откуда: Moscow
Код:
tcp4       0      0  127.0.0.1.3306         127.0.0.1.58805        TIME_WAIT
tcp4       0      0  xxx.xxx.xxx.xxx.80     61.78.65.146.2082      TIME_WAIT
tcp4       0      0  xxx.xxx.xxx.xxx.80     61.78.65.146.2081      TIME_WAIT
tcp4       0      0  xxx.xxx.xxx.xxx.80     210.16.47.7.41938      TIME_WAIT
tcp4       0      0  xxx.xxx.xxx.xxx.80     213.30.141.186.55866   TIME_WAIT
tcp4       0      0  xxx.xxx.xxx.xxx.80     210.21.75.114.30327    TIME_WAIT
tcp4       0      0  127.0.0.1.3306         127.0.0.1.51069        TIME_WAIT
tcp4       0      0  xxx.xxx.xxx.xxx.80     216.155.75.230.55209   TIME_WAIT
tcp4       0      0  xxx.xxx.xxx.xxx.80     216.155.75.230.55557   TIME_WAIT
tcp4       0      0  xxx.xxx.xxx.xxx.80     210.16.47.7.42033      TIME_WAIT
tcp4       0      0  xxx.xxx.xxx.xxx.80     69.250.51.47.1455      TIME_WAIT
tcp4       0      0  xxx.xxx.xxx.xxx.80     218.11.207.244.33431   TIME_WAIT
tcp4       0      0  xxx.xxx.xxx.xxx.80     213.30.141.186.56641   TIME_WAIT
tcp4       0      0  xxx.xxx.xxx.xxx.80     218.11.207.244.34939   TIME_WAIT
tcp4       0      0  xxx.xxx.xxx.xxx.80     222.36.8.201.2510      TIME_WAIT
tcp4       0      0  xxx.xxx.xxx.xxx.80     61.78.65.146.2066      TIME_WAIT
tcp4       0      0  xxx.xxx.xxx.xxx.80     82.160.42.205.2124     TIME_WAIT
tcp4       0      0  xxx.xxx.xxx.xxx.80     210.16.47.7.41987      TIME_WAIT
tcp4       0      0  xxx.xxx.xxx.xxx.80     222.36.8.201.2441      TIME_WAIT
tcp4       0      0  xxx.xxx.xxx.xxx.80     200.69.243.137.3635    TIME_WAIT
tcp4       0      0  xxx.xxx.xxx.xxx.80     71.128.40.225.2458     TIME_WAIT
tcp4       0      0  127.0.0.1.3306         127.0.0.1.65330        TIME_WAIT
tcp4       0      0  xxx.xxx.xxx.xxx.80     202.106.192.134.45553  TIME_WAIT
tcp4       0      0  xxx.xxx.xxx.xxx.80     202.106.192.134.45801  TIME_WAIT
tcp4       0      0  xxx.xxx.xxx.xxx.80     222.36.8.201.2402      TIME_WAIT
tcp4       0      0  xxx.xxx.xxx.xxx.80     216.155.75.230.54737   TIME_WAIT
tcp4       0      0  xxx.xxx.xxx.xxx.80     202.106.192.134.45270  TIME_WAIT
tcp4       0      0  xxx.xxx.xxx.xxx.80     200.69.243.137.3628    TIME_WAIT
tcp4       0      0  xxx.xxx.xxx.xxx.80     200.69.243.137.3618    TIME_WAIT
tcp4       0      0  xxx.xxx.xxx.xxx.80     210.16.47.7.42001      TIME_WAIT
tcp4       0      0  xxx.xxx.xxx.xxx.80     200.69.243.137.3627    TIME_WAIT
tcp4       0      0  xxx.xxx.xxx.xxx.80     221.112.161.140.3739   TIME_WAIT
tcp4       0      0  xxx.xxx.xxx.xxx.80     82.160.42.205.2102     TIME_WAIT
tcp4       0      0  127.0.0.1.51618        127.0.0.1.3306         TIME_WAIT
tcp4       0      0  xxx.xxx.xxx.xxx.80     195.242.252.80.4701    TIME_WAIT
tcp4       0      0  127.0.0.1.3306         127.0.0.1.63586        TIME_WAIT
tcp4       0      0  xxx.xxx.xxx.xxx.80     218.52.39.194.1714     TIME_WAIT
tcp4       0      0  xxx.xxx.xxx.xxx.80     202.106.192.134.45477  TIME_WAIT
tcp4       0      0  xxx.xxx.xxx.xxx.80     61.78.65.146.2041      TIME_WAIT
tcp4       0      0  xxx.xxx.xxx.xxx.80     213.30.141.186.55953   TIME_WAIT
tcp4       0      0  xxx.xxx.xxx.xxx.80     213.30.141.186.55443   TIME_WAIT
tcp4       0      0  xxx.xxx.xxx.xxx.80     218.11.207.244.60627   TIME_WAIT
tcp4       0      0  xxx.xxx.xxx.xxx.80     210.21.75.114.29263    TIME_WAIT
tcp4       0      0  xxx.xxx.xxx.xxx.80     210.16.47.7.41775      TIME_WAIT
tcp4       0      0  xxx.xxx.xxx.xxx.80     213.30.141.186.56273   TIME_WAIT
tcp4       0      0  xxx.xxx.xxx.xxx.80     216.113.128.171.24548  TIME_WAIT
tcp4       0      0  xxx.xxx.xxx.xxx.80     213.30.141.186.56346   TIME_WAIT
tcp4       0      0  xxx.xxx.xxx.xxx.80     213.30.141.186.55908   TIME_WAIT
tcp4       0      0  xxx.xxx.xxx.xxx.80     195.242.252.80.4644    TIME_WAIT
tcp4       0      0  xxx.xxx.xxx.xxx.80     83.208.168.241.3864    TIME_WAIT
tcp4       0      0  xxx.xxx.xxx.xxx.80     218.52.39.194.1699     TIME_WAIT
tcp4       0      0  xxx.xxx.xxx.xxx.80     210.16.47.7.41914      TIME_WAIT
tcp4       0      0  xxx.xxx.xxx.xxx.80     202.106.192.134.45608  TIME_WAIT
tcp4       0      0  xxx.xxx.xxx.xxx.80     83.208.168.241.3863    TIME_WAIT
tcp4       0      0  xxx.xxx.xxx.xxx.80     196.202.154.130.17190  TIME_WAIT
tcp4       0      0  xxx.xxx.xxx.xxx.80     218.52.39.194.1691     TIME_WAIT
tcp4       0      0  xxx.xxx.xxx.xxx.80     216.113.128.171.24158  TIME_WAIT
tcp4       0      0  xxx.xxx.xxx.xxx.80     216.155.75.230.54885   TIME_WAIT
tcp4       0      0  xxx.xxx.xxx.xxx.80     83.208.168.241.3793    TIME_WAIT
tcp4       0      0  xxx.xxx.xxx.xxx.80     83.208.168.241.3792    TIME_WAIT
tcp4       0      0  xxx.xxx.xxx.xxx.80     202.106.192.134.45492  TIME_WAIT
tcp4       0      0  xxx.xxx.xxx.xxx.80     61.78.65.146.2030      TIME_WAIT
tcp4       0      0  xxx.xxx.xxx.xxx.80     202.106.192.134.45403  TIME_WAIT
tcp4       0      0  xxx.xxx.xxx.xxx.80     218.11.207.244.59110   TIME_WAIT
tcp4       0      0  xxx.xxx.xxx.xxx.80     210.21.75.114.28684    TIME_WAIT
tcp4       0      0  xxx.xxx.xxx.xxx.80     202.106.192.134.45232  TIME_WAIT
tcp4       0      0  xxx.xxx.xxx.xxx.80     210.16.47.7.41873      TIME_WAIT
tcp4       0      0  xxx.xxx.xxx.xxx.80     69.250.51.47.1315      TIME_WAIT
tcp4       0      0  xxx.xxx.xxx.xxx.80     202.106.192.134.45447  TIME_WAIT
tcp4       0      0  xxx.xxx.xxx.xxx.80     222.36.8.201.2115      TIME_WAIT
tcp4       0      0  xxx.xxx.xxx.xxx.80     222.36.8.201.2311      TIME_WAIT
tcp4       0      0  xxx.xxx.xxx.xxx.80     195.242.252.80.4587    TIME_WAIT
tcp4       0      0  xxx.xxx.xxx.xxx.80     210.21.75.114.28522    TIME_WAIT
tcp4       0      0  xxx.xxx.xxx.xxx.80     210.16.47.7.41586      TIME_WAIT
tcp4       0      0  xxx.xxx.xxx.xxx.80     213.30.141.186.56037   TIME_WAIT
tcp4       0      0  xxx.xxx.xxx.xxx.80     218.11.207.244.54558   TIME_WAIT
tcp4       0      0  xxx.xxx.xxx.xxx.80     83.208.168.241.3783    TIME_WAIT
tcp4       0      0  xxx.xxx.xxx.xxx.80     69.250.51.47.1395      TIME_WAIT
tcp4       0      0  xxx.xxx.xxx.xxx.80     83.208.168.241.3781    TIME_WAIT
tcp4       0      0  xxx.xxx.xxx.xxx.80     213.30.141.186.55127   TIME_WAIT
tcp4       0      0  xxx.xxx.xxx.xxx.80     210.21.75.114.28343    TIME_WAIT
tcp4       0      0  xxx.xxx.xxx.xxx.80     218.52.39.194.1608     TIME_WAIT
tcp4       0      0  xxx.xxx.xxx.xxx.80     82.160.42.205.2030     TIME_WAIT
tcp4       0      0  xxx.xxx.xxx.xxx.80     216.155.75.230.55049   TIME_WAIT
tcp4       0      0  xxx.xxx.xxx.xxx.80     202.106.192.134.44970  TIME_WAIT
tcp4       0      0  xxx.xxx.xxx.xxx.80     61.78.65.146.2014      TIME_WAIT
tcp4       0      0  xxx.xxx.xxx.xxx.80     61.78.65.146.2005      TIME_WAIT
tcp4       0      0  xxx.xxx.xxx.xxx.80     82.160.42.205.2035     TIME_WAIT
tcp4       0      0  xxx.xxx.xxx.xxx.80     210.16.47.7.41794      TIME_WAIT
tcp4       0      0  127.0.0.1.60828        127.0.0.1.3306         TIME_WAIT
tcp4       0      0  xxx.xxx.xxx.xxx.80     222.111.23.33.3051     LAST_ACK
tcp4       0      0  xxx.xxx.xxx.xxx.80     210.16.47.7.41713      TIME_WAIT
tcp4       0      0  xxx.xxx.xxx.xxx.80     211.74.198.37.2233     FIN_WAIT_2
tcp4       0      0  xxx.xxx.xxx.xxx.80     211.54.103.232.1173    LAST_ACK
tcp4       0      0  xxx.xxx.xxx.xxx.80     61.41.79.93.1468       LAST_ACK
tcp4       0      0  xxx.xxx.xxx.xxx.80     61.78.65.146.1981      TIME_WAIT
tcp4       0      0  xxx.xxx.xxx.xxx.80     222.111.23.33.3000     LAST_ACK
tcp4       0      0  xxx.xxx.xxx.xxx.80     58.72.23.130.3941      LAST_ACK
tcp4       0      0  127.0.0.1.3306         127.0.0.1.62073        TIME_WAIT
tcp4       0      0  xxx.xxx.xxx.xxx.80     211.54.103.232.1150    LAST_ACK
tcp4       0      0  xxx.xxx.xxx.xxx.80     211.36.161.141.2136    LAST_ACK
tcp4       0      0  xxx.xxx.xxx.xxx.80     202.106.192.134.43198  TIME_WAIT
tcp4       0      0  xxx.xxx.xxx.xxx.80     61.254.30.47.2576      LAST_ACK
tcp4       0      0  xxx.xxx.xxx.xxx.80     210.16.47.7.41654      TIME_WAIT
tcp4       0      0  xxx.xxx.xxx.xxx.80     211.74.198.37.2200     FIN_WAIT_2
tcp4       0      0  xxx.xxx.xxx.xxx.80     222.111.23.33.2981     LAST_ACK
tcp4       0      0  xxx.xxx.xxx.xxx.80     82.160.42.205.1940     TIME_WAIT
tcp4       0      0  127.0.0.1.52217        127.0.0.1.3306         TIME_WAIT
tcp4       0      0  xxx.xxx.xxx.xxx.80     202.106.192.134.44433  TIME_WAIT
tcp4       0      0  xxx.xxx.xxx.xxx.80     218.39.98.201.4237     LAST_ACK
tcp4       0      0  xxx.xxx.xxx.xxx.80     211.74.198.37.2212     FIN_WAIT_2
tcp4       0      0  xxx.xxx.xxx.xxx.80     211.74.198.37.2205     FIN_WAIT_2
tcp4       0      0  xxx.xxx.xxx.xxx.80     200.69.243.137.3411    TIME_WAIT
tcp4       0      0  xxx.xxx.xxx.xxx.80     83.208.168.241.3536    TIME_WAIT
tcp4       0      0  xxx.xxx.xxx.xxx.80     216.155.75.230.54352   TIME_WAIT
tcp4       0      0  xxx.xxx.xxx.xxx.80     58.239.74.82.1783      LAST_ACK
tcp4       0      0  xxx.xxx.xxx.xxx.80     61.70.63.23.56535      TIME_WAIT
tcp4       0      0  xxx.xxx.xxx.xxx.80     211.74.198.37.2202     FIN_WAIT_2
tcp4       0      0  xxx.xxx.xxx.xxx.80     211.74.198.37.2201     FIN_WAIT_2
tcp4       0      0  xxx.xxx.xxx.xxx.80     222.111.23.33.2902     LAST_ACK
tcp4       0      0  xxx.xxx.xxx.xxx.80     58.77.35.141.2467      LAST_ACK
tcp4       0      0  xxx.xxx.xxx.xxx.80     218.156.188.234.1267   LAST_ACK
tcp4       0      0  xxx.xxx.xxx.xxx.80     211.74.198.37.2183     FIN_WAIT_2
tcp4       0      0  xxx.xxx.xxx.xxx.80     218.53.83.141.1381     LAST_ACK
tcp4       0      0  xxx.xxx.xxx.xxx.80     200.69.243.137.3506    TIME_WAIT
tcp4       0      0  xxx.xxx.xxx.xxx.80     82.160.42.205.1932     TIME_WAIT
tcp4       0      0  xxx.xxx.xxx.xxx.80     222.111.23.33.2875     LAST_ACK
tcp4       0      0  xxx.xxx.xxx.xxx.80     69.250.51.47.1235      TIME_WAIT
tcp4       0      0  xxx.xxx.xxx.xxx.80     200.69.243.137.3388    TIME_WAIT
tcp4       0      0  xxx.xxx.xxx.xxx.80     82.66.56.52.42637      TIME_WAIT
tcp4       0      0  xxx.xxx.xxx.xxx.80     83.208.168.241.3492    TIME_WAIT
tcp4       0      0  xxx.xxx.xxx.xxx.80     218.39.98.201.4107     LAST_ACK
tcp4       0      0  xxx.xxx.xxx.xxx.80     218.152.129.151.2984   LAST_ACK
tcp4       0      0  xxx.xxx.xxx.xxx.80     71.128.40.225.2305     TIME_WAIT
tcp4       0      0  xxx.xxx.xxx.xxx.80     211.54.103.232.4608    LAST_ACK
tcp4       0      0  127.0.0.1.49476        127.0.0.1.3306         TIME_WAIT
tcp4       0      0  127.0.0.1.3306         127.0.0.1.63985        TIME_WAIT
tcp4       0      0  xxx.xxx.xxx.xxx.80     213.30.141.186.54273   TIME_WAIT
tcp4       0      0  xxx.xxx.xxx.xxx.80     211.74.198.37.2088     FIN_WAIT_2
tcp4       0      0  xxx.xxx.xxx.xxx.80     211.74.198.37.2067     FIN_WAIT_2
tcp4       0      0  127.0.0.1.3306         127.0.0.1.62277        TIME_WAIT
tcp4       0      0  127.0.0.1.3306         127.0.0.1.55319        TIME_WAIT
tcp4       0      0  xxx.xxx.xxx.xxx.80     211.74.198.37.2066     FIN_WAIT_2
tcp4       0      0  xxx.xxx.xxx.xxx.80     211.74.198.37.2059     FIN_WAIT_2
tcp4       0      0  127.0.0.1.3306         127.0.0.1.61084        TIME_WAIT
tcp4       0      0  xxx.xxx.xxx.xxx.80     211.74.198.37.2043     FIN_WAIT_2
tcp4       0      0  127.0.0.1.3306         127.0.0.1.62549        TIME_WAIT
tcp4       0      0  xxx.xxx.xxx.xxx.80     211.74.198.37.2032     FIN_WAIT_2
tcp4       0      0  xxx.xxx.xxx.xxx.80     61.41.79.93.4663       LAST_ACK
tcp4       0      0  xxx.xxx.xxx.xxx.80     211.247.52.140.2562    LAST_ACK
tcp4       0      0  xxx.xxx.xxx.xxx.80     58.239.74.82.1402      LAST_ACK
tcp4       0      0  xxx.xxx.xxx.xxx.80     210.98.174.16.3449     LAST_ACK
tcp4       0      0  xxx.xxx.xxx.xxx.80     211.74.198.37.2007     FIN_WAIT_2
tcp4       0      0  xxx.xxx.xxx.xxx.80     58.72.23.130.3405      LAST_ACK
tcp4       0      0  xxx.xxx.xxx.xxx.80     58.72.23.130.3400      LAST_ACK
tcp4       0      0  xxx.xxx.xxx.xxx.80     211.74.198.37.1988     FIN_WAIT_2
tcp4       0      0  xxx.xxx.xxx.xxx.80     61.233.12.40.61670     FIN_WAIT_1
tcp4       0      0  xxx.xxx.xxx.xxx.80     218.152.129.151.2129   LAST_ACK
tcp4       0      0  xxx.xxx.xxx.xxx.80     211.74.198.37.1995     FIN_WAIT_2
tcp4       0      0  xxx.xxx.xxx.xxx.80     61.41.79.93.4521       LAST_ACK
tcp4       0      0  xxx.xxx.xxx.xxx.80     218.152.129.151.2123   LAST_ACK
tcp4       0      0  xxx.xxx.xxx.xxx.80     211.36.161.141.1350    LAST_ACK
tcp4       0      0  xxx.xxx.xxx.xxx.80     211.54.103.232.4067    LAST_ACK
tcp4       0      0  xxx.xxx.xxx.xxx.80     218.152.129.151.1953   LAST_ACK
tcp4       0      0  xxx.xxx.xxx.xxx.80     59.10.233.129.3916     LAST_ACK
tcp4       0      0  xxx.xxx.xxx.xxx.80     61.233.12.40.61153     FIN_WAIT_1
tcp4       0      0  xxx.xxx.xxx.xxx.80     211.162.62.161.5741    FIN_WAIT_1
tcp4       0      0  xxx.xxx.xxx.xxx.80     211.162.62.161.5753    FIN_WAIT_1
tcp4       0      0  xxx.xxx.xxx.xxx.80     211.162.62.161.5740    FIN_WAIT_1
tcp4       0      0  xxx.xxx.xxx.xxx.80     211.162.62.161.5749    FIN_WAIT_1
tcp4       0      0  xxx.xxx.xxx.xxx.80     211.162.62.161.5739    FIN_WAIT_1
tcp4       0      0  xxx.xxx.xxx.xxx.80     211.162.62.161.5737    FIN_WAIT_1
tcp4       0      0  xxx.xxx.xxx.xxx.80     211.162.62.161.5731    FIN_WAIT_1
tcp4       0      0  xxx.xxx.xxx.xxx.80     211.162.62.161.5742    FIN_WAIT_1
tcp4       0      0  xxx.xxx.xxx.xxx.80     211.162.62.161.5748    FIN_WAIT_1
tcp4       0      0  xxx.xxx.xxx.xxx.80     211.162.62.161.5754    FIN_WAIT_1
tcp4       0      0  xxx.xxx.xxx.xxx.80     211.162.62.161.5732    FIN_WAIT_1
tcp4       0      0  xxx.xxx.xxx.xxx.80     211.162.62.161.5743    FIN_WAIT_1
tcp4       0    362  xxx.xxx.xxx.xxx.80     211.162.62.161.5734    FIN_WAIT_1
tcp4       0      0  xxx.xxx.xxx.xxx.80     211.162.62.161.5744    FIN_WAIT_1
tcp4       0    362  xxx.xxx.xxx.xxx.80     211.162.62.161.5735    FIN_WAIT_1
tcp4       0      0  xxx.xxx.xxx.xxx.80     211.74.198.37.1965     FIN_WAIT_2
tcp4       0      0  xxx.xxx.xxx.xxx.80     211.74.198.37.1950     FIN_WAIT_2
tcp4       0      0  xxx.xxx.xxx.xxx.80     211.74.198.37.1938     FIN_WAIT_2
tcp4       0      0  xxx.xxx.xxx.xxx.80     211.74.198.37.1948     FIN_WAIT_2
tcp4       0      0  xxx.xxx.xxx.xxx.80     58.77.35.141.1662      LAST_ACK
tcp4       0      0  xxx.xxx.xxx.xxx.80     218.39.98.201.2819     LAST_ACK
tcp4       0      0  xxx.xxx.xxx.xxx.80     61.233.12.40.61036     FIN_WAIT_1
tcp4       0      0  xxx.xxx.xxx.xxx.80     211.247.52.140.2185    LAST_ACK
tcp4       0      0  xxx.xxx.xxx.xxx.80     58.72.23.130.3226      LAST_ACK
tcp4       0      0  xxx.xxx.xxx.xxx.80     211.50.32.190.1315     LAST_ACK
tcp4       0      0  xxx.xxx.xxx.xxx.80     58.72.23.130.3224      LAST_ACK
tcp4       0      0  xxx.xxx.xxx.xxx.80     58.72.23.130.3222      LAST_ACK
tcp4       0      0  xxx.xxx.xxx.xxx.80     58.72.23.130.3189      LAST_ACK
tcp4       0      0  xxx.xxx.xxx.xxx.80     211.74.198.37.1935     FIN_WAIT_2
tcp4       0      0  xxx.xxx.xxx.xxx.80     211.36.161.141.1214    LAST_ACK
tcp4       0      0  xxx.xxx.xxx.xxx.80     58.72.23.130.3218      LAST_ACK
tcp4       0      0  xxx.xxx.xxx.xxx.80     58.72.23.130.3215      LAST_ACK
tcp4       0      0  xxx.xxx.xxx.xxx.80     58.72.23.130.3216      LAST_ACK
tcp4       0      0  xxx.xxx.xxx.xxx.80     219.144.196.226.28601  FIN_WAIT_2
tcp4       0      0  xxx.xxx.xxx.xxx.80     210.98.174.16.3149     LAST_ACK
tcp4       0      0  xxx.xxx.xxx.xxx.80     211.50.32.190.1217     LAST_ACK
tcp4       0      0  xxx.xxx.xxx.xxx.80     211.247.52.140.2149    LAST_ACK
tcp4       0      0  xxx.xxx.xxx.xxx.80     211.36.161.141.1199    LAST_ACK
tcp4       0      0  xxx.xxx.xxx.xxx.80     61.255.58.138.2233     LAST_ACK
tcp4       0      0  xxx.xxx.xxx.xxx.80     61.41.79.93.4308       LAST_ACK
tcp4       0      0  xxx.xxx.xxx.xxx.80     218.39.98.201.2742     LAST_ACK
tcp4       0      0  xxx.xxx.xxx.xxx.80     211.36.161.141.1165    LAST_ACK
tcp4       0      0  xxx.xxx.xxx.xxx.80     211.247.52.140.2104    LAST_ACK
tcp4       0      0  xxx.xxx.xxx.xxx.80     210.98.174.16.3119     LAST_ACK
tcp4       0      0  xxx.xxx.xxx.xxx.80     218.39.98.201.2735     LAST_ACK
tcp4       0      0  xxx.xxx.xxx.xxx.80     211.74.198.37.1921     FIN_WAIT_2
tcp4       0      0  xxx.xxx.xxx.xxx.80     210.98.174.16.3053     LAST_ACK
tcp4       0      0  xxx.xxx.xxx.xxx.80     211.74.198.37.1905     FIN_WAIT_2
tcp4       0      0  xxx.xxx.xxx.xxx.80     211.74.198.37.1898     FIN_WAIT_2
tcp4       0      0  xxx.xxx.xxx.xxx.80     211.74.198.37.1889     FIN_WAIT_2
tcp4       0      0  xxx.xxx.xxx.xxx.80     211.74.198.37.1868     FIN_WAIT_2
tcp4       0      0  xxx.xxx.xxx.xxx.80     211.74.198.37.1859     FIN_WAIT_2
tcp4       0      0  xxx.xxx.xxx.xxx.80     59.10.233.129.3176     LAST_ACK
tcp4       0      0  xxx.xxx.xxx.xxx.80     61.78.65.146.1551      TIME_WAIT
tcp4       0    391  xxx.xxx.xxx.xxx.80     211.247.52.140.1928    LAST_ACK
tcp4       0  23591  xxx.xxx.xxx.xxx.80     61.254.30.47.1964      LAST_ACK
tcp4       0    391  xxx.xxx.xxx.xxx.80     211.50.32.190.4623     LAST_ACK
tcp4       0      0  xxx.xxx.xxx.xxx.22     194.85.159.154.57402   ESTABLISHED


я даже апач не могу запустить все просто умирает сразу, правила вообще не помогает, очень большое кол во ip


Вернуться к началу
 Профиль  
 
 Заголовок сообщения:
СообщениеДобавлено: Пт 08 сен, 2006 3:35 am 
Не в сети

Зарегистрирован: Пн 23 авг, 2004 6:36 pm
Сообщения: 287
Попробуй без flush.


Вернуться к началу
 Профиль  
 
 Заголовок сообщения:
СообщениеДобавлено: Пн 30 окт, 2006 5:11 pm 
Не в сети

Зарегистрирован: Вт 24 окт, 2006 12:43 pm
Сообщения: 52
Защита от дос атак очень актуальная тема, попробовал прописать в своем конфиге тоже самое что написал ZloiJoker. У меня pf сразу падает.
mail# ./pf restart
Disabling pf.
pf disabled
Enabling pf.
/etc/pf.conf:12: Rules must be in order: options, normalization, queueing, translation, filtering
/etc/pf.conf:13: Rules must be in order: options, normalization, queueing, translation, filtering
/etc/pf.conf:14: Rules must be in order: options, normalization, queueing, translation, filtering
/etc/pf.conf:15: Rules must be in order: options, normalization, queueing, translation, filtering
/etc/pf.conf:16: Rules must be in order: options, normalization, queueing, translation, filtering
pfctl: Syntax error in config file: pf rules not loaded
pf enabled
mail#


Вернуться к началу
 Профиль  
 
 Заголовок сообщения:
СообщениеДобавлено: Пн 30 окт, 2006 7:31 pm 
Не в сети
Аватара пользователя

Зарегистрирован: Пт 23 янв, 2004 1:07 pm
Сообщения: 581
Откуда: Yaroslavl
osipen писал(а):
... У меня pf сразу падает......

:) Выражения выбирай, он просто тебе сказал, что у тебя ошибочный конфиг. Вернее порядок следования правил.
Rules must be in order: options, normalization, queueing, translation, filtering
Правила должны следовать в следующем порядке:
* опции,
* нормализация,
* очереди,
* трансляция,
* фильтрация


Вернуться к началу
 Профиль  
 
 Заголовок сообщения:
СообщениеДобавлено: Вт 31 окт, 2006 12:50 pm 
Не в сети

Зарегистрирован: Вт 24 окт, 2006 12:43 pm
Сообщения: 52
Правило создано, на мой взгляд, без ошибки то есть должно было получится “кто превысил лимит в 15 соединений в 5 секунд попадают в блок лист”. У меня не получается попасть в блок лист при следующей операции.
# ping -f pupkin.ru
PING pupkin.ru (111.111.181.50): 56 data bytes
.....................................................................................
Правила такие:
table <abusive_hosts> persist
block in quick on $prov_if from <abusive_hosts> to any
pass in on $prov_if inet proto icmp from any \
to $prov_if icmp-type 8 keep state \
(max-src-conn 100, max-src-conn-rate 15/5, overload <abusive_hosts>)

:(


Вернуться к началу
 Профиль  
 
 Заголовок сообщения:
СообщениеДобавлено: Ср 01 ноя, 2006 11:05 am 
Не в сети
Аватара пользователя

Зарегистрирован: Пт 23 янв, 2004 1:07 pm
Сообщения: 581
Откуда: Yaroslavl
Есть несколько традиционных ошибок:
1. Не создается state, трекинг работает только со state.
- проверь создает ли именно это правило state:
Код:
pfctl -vss

2. Ошибка в логике правил, вероятно есть выше другое разрешающее правило.
3. Обычно после overload <table> добавляют flush, что бы сбросились все state созданные этим правилом, для этого src IP.

_________________
Я одну мечту скрывая нежу
Что я сердцем чист
Но и я кого нибудь зарежу
Под осенний свист


Вернуться к началу
 Профиль  
 
 Заголовок сообщения:
СообщениеДобавлено: Ср 01 ноя, 2006 2:56 pm 
Не в сети

Зарегистрирован: Вт 24 окт, 2006 12:43 pm
Сообщения: 52
Спасибо за помощь… Смотри ниже приведен конфиг. Я решил создать правило для ftp.
Поверил следующем образом, подключаюсь к ftp отключаюсь, повторяю операцию на 3 раз соединение не проходит. Иными словами могу подключаться только два раза, значит у правила max-src-conn-rate 1/1 приоритет ниже чем max-src-conn 2. А вот как сделать что бы работало оба правила и собственно осуществить задуманное “кто привысел лимит в 15 соединений в 5 секунд попадают в блок лист ”.
table <abusive_hosts> persist
pass in on $prov_if inet proto tcp from any to any port 21 \
flags S/SA keep state (max-src-conn 2, max-src-conn-rate 1/1, overload <abusive_hosts>)
block in quick on $prov_if from <abusive_hosts> to any


Вернуться к началу
 Профиль  
 
 Заголовок сообщения:
СообщениеДобавлено: Чт 02 ноя, 2006 1:39 pm 
Не в сети
Аватара пользователя

Зарегистрирован: Пт 23 янв, 2004 1:07 pm
Сообщения: 581
Откуда: Yaroslavl
Цитата:
...правила max-src-conn-rate 1/1 приоритет ниже чем max-src-conn 2....

Я бы не стал так утверждать, Слава КПСС это два разных человека.

max-src-conn - общее количество разрешенных соединений этим правилом, т.е. если 2 соединения уже, то 3-е соединение это правило не пропустит, и SRC IP помещается в таблицу. Что бы не путаться, для начала можешь его вообще убрать.

max-src-conn-rate - максимальное количество соединений в единицу времени, превышая этот предел SRC IP тоже заносится в таблицу.

Далее... рассмотрим, как на самом деле выглядит твое правило:
Код:
# pfctl -sr | grep max-src
pass in on rl0 inet proto tcp from any to any port = ftp flags S/SA keep state (source-track rule, max-src-conn 2, max-src-conn-rate 1/1, overload <abusive_hosts>, src.track 1)

source-track rule - говорит что отслеживаются превышения только этого правила, т.е. можно поставить global что бы обрабатывались превышения во всех правилах со state, но global не совместим max-src-conn, max-src-conn-rate, предназначен для других типов ограничений, Короче, не важно...

src.track 1 - грубо говоря, отрезок времени в течении которого отслеживается создание новых state. Ты уверен, что в течении секунды успеваешь сделать больше одного соединения? Попробуй поставить max-src-conn-rate 1/60.

Если с этим все в порядке, то остается проверить логику правил. PF проверяет пакет до последнего подходящего правила, либо подходящего правила с quick. Т.е. в данном случае, проверив правило про ftp, PF смотрит правила ниже и вероятно находит еще подходящее по параметрам правило. Например, вот я внес твои правила в свои. Смотрим что получается со state:
Код:
#pfctl -vss
...snip...
self tcp 192.168.1.3:59455 -> 204.152.184.36:21       ESTABLISHED:ESTABLISHED
   [4245036831 + 4380] wscale 1  [4124962749 + 66608] wscale 0
   age 00:01:45, expires in 23:59:01, 16:14 pkts, 954:3397 bytes, rule 39

   ----------------- см. сюда ------------------------------------^^^^^
...snip...

Видишь? Сработало совершенно другое. Т.е. нужно сделать так, что бы правило pass...ftp срабатывало последним. Либо отредактировать правила ниже, либо в это вставить quick, и в любом случа block quick нужно поставить выше этого pass, иначе до его просто не будет доходить проверка пакета и SRC IP из этой таблицы не будут блокироваться.

Good Luck


Вернуться к началу
 Профиль  
 
Показать сообщения за:  Поле сортировки  
Начать новую тему Ответить на тему  [ Сообщений: 10 ] 

Часовой пояс: UTC + 4 часа


Кто сейчас на конференции

Зарегистрированные пользователи: Bing [Bot], Google [Bot]


Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете добавлять вложения

Найти:
Создано на основе phpBB® Forum Software © phpBB Group
Русская поддержка phpBB
Яндекс.Метрика