какую посоветуете поставить защиту от ДОС атак на freeBSD, а то под linux вроде много всяких есть а под freeBSD не очень или может я не знаю о таких.
Версия freeBSD 4.11
и желательно в связке с файрволом ipfw ибо других не стоит
или может каким другим доступным способом
Полная версия: защита от ДОС на freeBSD
Онлайн-форум hostobzor.ru > Архив (темы до 1.06.2015). Только для чтения. > Коммерческий хостинг. Общие форумы > Виртуальный сервер и Виртуальный Выделенный Сервер
поставил snort, но не понял как он блочит, походу он только статистику собирает или может я чего не дочитал
QUOTE(ultrasparc @ 17.08.2005, 13:58)
поставил snort, но не понял как он блочит, походу он только статистику собирает или может я чего не дочитал
угу собирает, и еще это тормоз страшный.
нашел скриптик blockip на перле написаный работает вместе с ipfw и snort
вобщем как вариант работает
но может кто еще что посоветовать может?
вобщем как вариант работает
но может кто еще что посоветовать может?
а зашита от ддос не заключается в блоке ай-пи. толку их блочить при распределенной ддос (а таких сейчас 99%) никакого.
смотрите в сторону правил фильтрации на ipfw.
смотрите в сторону правил фильтрации на ipfw.
а какие правила фильтрации вы рекомендуете?
файрвол в данный момент закрывает все порты кроме
20 21 22 25 110 53 80 2222
в ядре включено
options ICMP_BANDLIN
snort - выявляет айпи атакующих разными способами с помощью определенных правил, а blockip с помощью лога alert куда snort заносит атакующих добавляет правило в ipfw
ipfw add 999 deny ip from 10.10.10.10 to any
разве это не поможет при ДоС атаках?
тогда может что реальное посоветуете?
а то уже весь день по 80 порту атакуют
файрвол в данный момент закрывает все порты кроме
20 21 22 25 110 53 80 2222
в ядре включено
options ICMP_BANDLIN
snort - выявляет айпи атакующих разными способами с помощью определенных правил, а blockip с помощью лога alert куда snort заносит атакующих добавляет правило в ipfw
ipfw add 999 deny ip from 10.10.10.10 to any
разве это не поможет при ДоС атаках?
тогда может что реальное посоветуете?
а то уже весь день по 80 порту атакуют
QUOTE(ultrasparc @ 17.08.2005, 19:11)
а какие правила фильтрации вы рекомендуете?
файрвол в данный момент закрывает все порты кроме
20 21 22 25 110 53 80 2222
в ядре включено
options ICMP_BANDLIN
snort - выявляет айпи атакующих разными способами с помощью определенных правил, а blockip с помощью лога alert куда snort заносит атакующих добавляет правило в ipfw
ipfw add 999 deny ip from 10.10.10.10 to any
разве это не поможет при ДоС атаках?
тогда может что реальное посоветуете?
а то уже весь день по 80 порту атакуют
файрвол в данный момент закрывает все порты кроме
20 21 22 25 110 53 80 2222
в ядре включено
options ICMP_BANDLIN
snort - выявляет айпи атакующих разными способами с помощью определенных правил, а blockip с помощью лога alert куда snort заносит атакующих добавляет правило в ipfw
ipfw add 999 deny ip from 10.10.10.10 to any
разве это не поможет при ДоС атаках?
тогда может что реальное посоветуете?
а то уже весь день по 80 порту атакуют
вот именно от этого и не поможет такой блок.
надо фильтровать запросы по их частоте, состоянию и длине (вот тут я могу ошибаться потому что не мастер по сочинению рулов для ipfw). это лучше спросить на sysadmins.ru или на opennet.ru в форумах.
а вообще если это что я видел, от него и фильтрацией не так просто защищаться, хотя во фришке это заложено изначально.
для быстрого решения проблемы:
tcpdump -npi eth0 port domain (смотрим на какой домен чаще всего идут запросы)
удаляем домен совсем
включаем ай-пи на котором он висел
переносим все сайты на другой ай-пи
полчаса на все хватит.
#а то уже весь день по 80 порту атакуют
Фильтр на вебсенрвер нужно стовить.
Только это скорей всего не дос, а просто генерация множество запросов на вебсервер. Если железка не сильно загруженная и скрипты грамотно написаны все будет нормально
Фильтр на вебсенрвер нужно стовить.
Только это скорей всего не дос, а просто генерация множество запросов на вебсервер. Если железка не сильно загруженная и скрипты грамотно написаны все будет нормально
Та все то нормально, только вот сайты не отвечают из-за того что на апач столько запросов валиться
может что конкретно посоветуете
может что конкретно посоветуете
QUOTE(ultrasparc @ 17.08.2005, 19:34)
Та все то нормально, только вот сайты не отвечают из-за того что на апач столько запросов валиться
может что конкретно посоветуете
может что конкретно посоветуете
Проанализировать на какие сайты идет атака и поставить туда легкий вебсервер перед апачм в режиме акселлерации.
QUOTE(ultrasparc @ 17.08.2005, 13:58)
поставил snort, но не понял как он блочит, походу он только статистику собирает или может я чего не дочитал
К нему можно поставть snortsam. Он будет блокировать.
Это текстовая версия — только основной контент. Для просмотра полной версии этой страницы, пожалуйста, нажмите сюда.