LOIQ-kal 80-as porton http kérésekkel túlterhelhető a szerverem

 ( fernec | 2010. december 10., péntek - 11:42 )

Adott egy Ubuntu 8.04 LAMP szerver, amely egy ip címről indított sok 80-as portra küldött http kéréssel simán túlterhelhető.

A többi nyitott port tűri a LOIQ segítségével küldött sok kérést, bármelyik protokollal (TCP, UDP, HTTP).

Hogy tudnám ezt a problémát legegyszerűbben kiküszöbölni? Jelenleg nincsenek tűzfalszabályok beállítva, és a szervert sosem támadja senki, mivel félig-meddig hobbi szerver.

ufw alkalmas arra, hogy egy ip címről jövő adott időn belüli kérésszámot korlátozzon az ember, vagy ehhez mindenképpen "közvetlenül" iptables szabályok megadására van szükség?

Arra gondoltam, hogy ha a 80-as portra mondjuk 5 kérés érkezik egy másodpercen belül ugyanarról az IP címről, akkor az arról az IP címről érkező csomagokat pár percre letiltom, azaz eldobatom a csomagszűrővel. Ezt meg lehet csinálni ufw-vel?

Köszönöm

Hozzászólás megjelenítési lehetőségek

A választott hozzászólás megjelenítési mód a „Beállítás” gombbal rögzíthető.

Valami fogódzó valakitől?

http://hup.hu/node/66277

Itt DOS-ra gyanakodtam, de végül nem az volt a gond, de találsz egy pár lehetőséget ebben a kérdéskörben, a hozzászólások között.

--------------
Használj GoboToolt!
http://hup.hu/node/96556
:::Az #1-es sorszámú nem hivatalos GoboTool felhasználó

Alapvetően DOS ellen védekezni kétféleképp lehet, alkalmazás- és/vagy tűzfalszinten.

Alkalmazásszinten lehet használni a mod_security modult vagy a mod_evasive-et. Ezek hatékonyak tudnak lenni, de sok-sok kísérletezgetést igényel, mire sikerült eltalálnod a szervernek (webalkalmazásnak) megfelelő optimális beállításokat.

A legbiztosabb módszer, ha tűzfalszinten limitálod az egy IP-címről kezdeményezett kapcsolatok számát. Például, az alábbi iptables szabály IP-címenként 15 szimultán kapcsolatot engedélyez:

iptables -A INPUT -m connlimit -p tcp --syn --dport 80 --connlimit-above 15 -j DROP

A tizenhatodik kapcsolatot már nem fogja fogadni a szerver, ezzel meggátolva azt, hogy a támadó további kapcsolatokkal/requestekkel bombázza a szervert.

A legjobb, amit tehetsz, ha a fenti két megoldást együttesen alkalmazod, és imádkozol, hogy ne utáljon téged annyira senki, hogy egy DDOS-támadást intézzen a szervered ellen...

Rosszul állítottad be az apache -ot valószínűleg. Nézd át a konfigot!

hát, a LOIC erre van :)
mod_bandwith?

--
"SzAM-7 -es, tudjátok amivel a Mirage-okat szokták lelőni" - Robi.