Zastita od DOS napada na apache (tj na neki URL)

[ flylord @ 02.02.2007. 10:27 ] @

'Vako. Treba mi neki program ili modul za apache ili bilo sta , sto ce da proverava kolko ima konekcija ka nekom url-u po IP adresi, gde ja definisem max broj konekcija, i ako IP dodje do max broj konekcija, da odmah izvrsi neku akciju, npr, ubaci IP u firewall.

Problem mi je jako veliki, s'obzirom da mi s'vremena na vreme dignu load na > 200 na linux masini koja je 4-cpu xeon sa 4GB RAM-a :(. Pa cak ako ima i neki modul za apache koji bi mogoa ovako nesto da uradi...

hvala

[ alex @ 02.02.2007. 10:32 ] @

Mozda pomogne mod_throttle ili mod_bandwidth.. Takodje, neki proxy ispred tog apache-ta moze da pomogne..

[ Mitrović Srđan @ 02.02.2007. 10:48 ] @

Svi anti-ddos moduli su efikasni samo ukoliko je u pitanju DDoS manjeg
obima sa manje hostova. Postaju skroz neprakticni i nepotrebni kada je
prava sila u pitanju.

mod_evasive je dobra stvar ali za napade manjeg obima. On jeste
projektovan za HTTP DDoS napade i brute force ali sa tolikom kolicinom zahteva i razlicitih hostova tesko da ce se izboriti.
A sta je sa CPU/bandwith resurisima za odbijanje tolike kolicine
req? Sam mod_evasive je veoma prost alat/modul. Ceo mehanizam
mu se sastoji od tipicnog blacklistovanja. Ukoliko se pronadje sema
req sa neke ip adrese vise puta u sekundi ip ce se blacklistovati
dj apache salje 403 respond code.

[ legija @ 02.02.2007. 10:58 ] @

Ja sam imao probleme sa DDoS napadima, i nikakve skripte ne pomazu kad napadi krenu sa pedeset dedicated servera.
Srecom, na ES-u ima dobrih dusa, pa su mi ljudi objasnili kako da se rijesim problema - doduse rucno, ali efikasno.
Sad svaki napad rijesim za 10 minuta maksimalno.

[ flylord @ 02.02.2007. 11:02 ] @

@legija: prenesi nam iskustvo

@blood: ja bas i imam slucaj gde sa malog broja adresa otvori jako veliki broj puta isti URL a ne smem da blokiram celu tu mrezu jer nam dosta klijenata dolazi bas sa te mreze ;(

Znaci, bas mi treba varijanta: ip adresa pokrene 200x isti url -> blokiraj je. Bas cu da vidim sa ovim modulima koje ste pomenuli

[ legija @ 02.02.2007. 11:08 ] @

Pa ovako :

1. netstat -anp |grep 'tcp\|udp' | awk '{print $5}' | cut -d: -f1 | sort | uniq -c | sort -n

Ovdje ces dobiti listu hostova koji imaju konekcije , onda ladno jedan pojedan dodas u iptables drop listu.
Nakon svakog, restartuje iptables - sa tim da moras imati ukljucenu opciju "save on exit".

iptables -A INPUT -s hostip -j DROP

Provjereno funkcionise -,)))

[ Mitrović Srđan @ 02.02.2007. 11:46 ] @

Pa onda je lakse napisati skriptu koja to radi ;>

flajko probaj npr -> http://www.zdziarski.com/projects/mod_evasive/
neki od ficrsa:

Citat:

Requesting the same page more than a few times per second
Making more than 50 concurrent requests on the same child per second
Making any requests while temporarily blacklisted (on a blocking list)

[ misk0 @ 06.02.2007. 08:03 ] @

Ja sam imao slicne probleme, ali ja sam dnevno imao recimo i preko 3 mil. hitova sa 100.000 razlicitih IP adresa. Nema bas nekog efikasnog rjesenja osim HW firewall-a prije servera. mod_evasive, mod_throttle pomazu, ali pitanje je dokle i u kojoj mjeri.