пропозиції роботи
konto usunięte
- 1
- 2
konto usunięte
Temat: Jak zbanować 20000 adresów IP bez rekompilacji kernela?
tak na szybko,wyskryptować/wpisać ręcznie:) :
1. ACL na firewallu
2. wyskryptować sobie do .htaccess
konto usunięte
Temat: Jak zbanować 20000 adresów IP bez rekompilacji kernela?
wpisać do host.deny ?
Wojciech Małota Programista
Temat: Jak zbanować 20000 adresów IP bez rekompilacji kernela?
Tak żeby nie zaczynać nowego tematu.Co polecilibyście do automatycznego wycinania adresów, które zbyt często próbują otwierać połączenia?
konto usunięte
Temat: Jak zbanować 20000 adresów IP bez rekompilacji kernela?
Wojciech Małota:
Tak żeby nie zaczynać nowego tematu.
Co polecilibyście do automatycznego wycinania adresów, które zbyt często próbują otwierać połączenia?
http://code.google.com/p/ddos-shield/
Wojciech Małota Programista
Temat: Jak zbanować 20000 adresów IP bez rekompilacji kernela?
A nie ma jakichś dedykowanych modułów do lighttpd/apacha?
konto usunięte
Temat: Jak zbanować 20000 adresów IP bez rekompilacji kernela?
Wojciech Małota:
A nie ma jakichś dedykowanych modułów do lighttpd/apacha?
np. mod_dosevasive
konto usunięte
Temat: Jak zbanować 20000 adresów IP bez rekompilacji kernela?
Kornel L.:
Jest jakiś dobry sposób na odcięcie dostępu do serwera WWW (apache lub lighttpd) z duużej liczby adresów IP? (których nie da się ładnie zebrać w kilka zakresów/bloków CIDR)
Jeśli chcesz się pozbyć botów z www, to poszukaj w googlach ich list, są zrobione gotowe, wystarczy skopiować i wkleić, np. do .htaccess.
Z narzędzi DIS używam Snorta, bardzo fajnie mi działa.
konto usunięte
Temat: Jak zbanować 20000 adresów IP bez rekompilacji kernela?
Krzysztof P.:
Wojciech Małota:
A nie ma jakichś dedykowanych modułów do lighttpd/apacha?
np. mod_dosevasive
mod_security + httpd-guardian
Marcin Rybak Administrator
Temat: Jak zbanować 20000 adresów IP bez rekompilacji kernela?
http://www.ossec.net/main/about/ łatwiejszy od snorta, a robi robotę.. ewentualnie stare ale jare portsentry
konto usunięte
Temat: Jak zbanować 20000 adresów IP bez rekompilacji kernela?
.htaccess z taką ilością IP potrafi wyraźnie spowolnić Apache (testowałem 1.3 i 2.x).hosts.deny nie jest używany przez Apache.
@Wojciech Małota: IMHO porywanie wątku jest wbrew netykiecie, a unikając zakładnia wątków o właściwym tytule robisz bałagan.
Stanisław P. Software designer
Temat: Jak zbanować 20000 adresów IP bez rekompilacji kernela?
A czemu nie iptables? Raczej nie znajdziesz nic co mniej obciąża system.Blokujesz tylko pakiety SYN, więc pierwszy pakiet w połączeniu. A samo iptables zachowuje te listy tak, że opóźnienie będzie niezauważalne (i na pewno mniejsze niż przekazanie pakietu do userspace, potem do apache, potem do modułu który dopiero sprawdzi listę).
Wszystko możesz zachować szybko przez iptables-save / ...-restore
Jest jakiś powód, żeby rozwiązywać tą sprawę na wyższym poziomie?
Wojciech Małota Programista
Temat: Jak zbanować 20000 adresów IP bez rekompilacji kernela?
Kornel L.:
@Wojciech Małota: IMHO porywanie wątku jest wbrew netykiecie, a unikając zakładnia wątków o właściwym tytule robisz bałagan.
Kiedy moje pytanie w dużym stopniu pokrywa się z pytaniem autora wątku...
konto usunięte
Temat: Jak zbanować 20000 adresów IP bez rekompilacji kernela?
Stanisław Pitucha:
A czemu nie iptables? Raczej nie znajdziesz nic co mniej obciąża system.
Blokujesz tylko pakiety SYN, więc pierwszy pakiet w połączeniu. A samo iptables zachowuje te listy tak, że opóźnienie będzie niezauważalne (i na pewno mniejsze niż przekazanie pakietu do userspace, potem do apache, potem do modułu który dopiero sprawdzi listę).
Wszystko możesz zachować szybko przez iptables-save / ...-restore
Jest jakiś powód, żeby rozwiązywać tą sprawę na wyższym poziomie?
Raczej nie :-) a dodając do iptables np. ipset'a to już w ogóle bajka. Przy dużej ilości reguł wydajność FW może drastycznie spadać. Polecam lekturę: http://people.netfilter.org/kadlec/nftest.pdf
Mariusz Gronczewski Linux Geek
Temat: Jak zbanować 20000 adresów IP bez rekompilacji kernela?
Pytanie jak szybkie jest blokowanie np. na poziomie serwera www.
konto usunięte
Temat: Jak zbanować 20000 adresów IP bez rekompilacji kernela?
Mariusz Gronczewski:
Pytanie jak szybkie jest blokowanie np. na poziomie serwera www.
Zmieniłbym pytanie na: Jakie implikacje będzie miało blokowanie dużej ilości adresów IP na wydajność i dostępność serwera WWW?
1) Blokowanie na poziomie serwera WWW zamiast na FW to przejście z kernelspace do userspace
2) Tak czy inaczej jest to pełne 3-way-handshake na port serwera WWW + zapytanie HTTP, otwiera to drogę na nowe zagrożenia, których skutkiem może być (D)DoS.
Rozwiązanie z blokowaniem na FW nie ma tych wad.
Piotr
Sikora
Specjalista Web i
Video
Temat: Jak zbanować 20000 adresów IP bez rekompilacji kernela?
http://wiki.codemongers.com/NginxHttpLimitZoneModule - polecam jesli chodzi o wydajnosc ;)Mozna by tez jakis modul do perla dopisac ;)
Mariusz Gronczewski Linux Geek
Temat: Jak zbanować 20000 adresów IP bez rekompilacji kernela?
Wszsystko sprowadza się do tego gdzie przeszukiwanie dużych tabel jest szybsze. Do overheadu robienia tego na serwerze www dochodzi robienie połączenia z kernelspace do userspace i śledzenie połączenia (jeżeli masz włączony conntracking w iptablesedit: w iptables jest coś takiego jak hashlimit, mozna np. ograniczyć ilość SYN per minute per IP
edit: http://ipset.netfilter.org/features.htmlMariusz Gronczewski edytował(a) ten post dnia 06.02.09 o godzinie 15:00
konto usunięte
Temat: Jak zbanować 20000 adresów IP bez rekompilacji kernela?
Mariusz Gronczewski:
Wszsystko sprowadza się do tego gdzie przeszukiwanie dużych tabel jest szybsze. Do overheadu robienia tego na serwerze www dochodzi robienie połączenia z kernelspace do userspace i śledzenie połączenia (jeżeli masz włączony conntracking w iptables
O tym właśnie pisałem kilka postów wyżej ;)
edit: w iptables jest coś takiego jak hashlimit, mozna np. ograniczyć ilość SYN per minute per IP
edit: http://ipset.netfilter.org/features.html[edited]Mariusz
O tym też. :)
Mariusz Gronczewski Linux Geek
Temat: Jak zbanować 20000 adresów IP bez rekompilacji kernela?
A po tym jak napisałeś że przy dużej liczbie reguł może zwalniać ludzie się przestraszyli i zaczęli szukać jakichś modułów do serwerów www ;]Wracając do tematu, można by się jeszcze pokusić o wysłanie ipków "blokowanych" do TARPIT (taki target do iptables z patch-o-matic), powoduje on "podtrzymanie" połączenia TCP przez parenaście minut (po szczegóły zapraszam do googli), taki paskudny prezent dla hostów męczących twój serwerek ;]
- 1
- 2
Podobne tematy
-
Administratorzy » Jak najlatwiej zmienic dyski na wieksze w RAID bez utraty... -
-
Administratorzy » Jak zapewnić niezawodność przy 2 łączach bez BGP? -
-
Administratorzy » Pełna kopia linuxa bez wyłączania systemu -
-
Administratorzy » CENTRALIZACJA EMAILI W FIRMIE BEZ SERWERA POCZTOWEGO ??? -
-
Administratorzy » Cacti i własne skrypty - jak to ugryźć? -
-
Administratorzy » jak sie nauczyc planowac sieci -
-
Administratorzy » jak właściwie jest z tą dokumentacją sieci... -
-
Administratorzy » Jak skutecznie zabezpieczyć sieci LAN (Wi-Fi) w firmie. -
-
Administratorzy » Jak wykazać użytkowanie serwera? -
-
Administratorzy » Reverse proxy na apache. Jak skonfigurować? -
Następna dyskusja:
