Skocz do zawartości
Zaloguj się, aby obserwować  
matt

Atak typu DOS

Polecane posty

Witam,

 

Od pewnego czasu mam bardzo duży problem, otóż ktoś utrudnia mi życie używając programu rDOS (klik). 

Z informacji jakie udało mi się zgromadzić, wywnioskowałem, że program otwiera połączenia, nie zamykając ich, znalazłem również takie zdanie:

 

 

"pakiety o randomowym rozmiarze i null byte".

 

Aktualnie ten ktoś atakuje tylko port 80, i jeden niestandardowy (serwer gry), w efekcie próba wyświetlenia strony lub zalogowani się na serwer kończy się niepowodzeniem.

 

Moje pytanie brzmi, jak temu zaradzić? 

 

O/S to Debian z DirectAdmin, nie znalazłem w logach nic co mogło by mi pomóc zażegnać ten problem.

 

ps. Jeśli nie podałem jakiś informacji, to ze zmęczenia.

Udostępnij ten post


Link to postu
Udostępnij na innych stronach
to są pakiety z flagą SYN?

Przecież bez SYN nie nawiąże połączenia :)

 

Spróbuj:

# echo 1 > /proc/sys/net/ipv4/tcp_syncookies

Poza tym jak to tylko DOS, to wystarczy wyciąć IP na ogniościance.

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Przecież bez SYN nie nawiąże połączenia :)

Kto każe nawiązywać połączenie? równie dobrze można "zalać" serwer dużą ilością bezsensownych pakietów,

a efekt będzie dokładnie taki sam...

 

1) filtruj połączenia przychodzące po fladze SYN od X do Y bajtów

2) zmniejsz ilość odpowiedzi na pakiety z flagą SYN

3) zmniejsz timeout dla pakietów z flagą SYN

4) tak jak radził jednoliterowiec - włącz ciasteczka

5) zwiększ ( na wszelki wypadek ) limit conntrack'a

6) zrób crona, możesz przerobić templatkę fail2ban, który pobiera dane z nestata i hosty o najwyższej ilości wpisów banuje

7) ktoś światły jeszcze na bank coś dodatkowo doradzi...

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Kto każe nawiązywać połączenie? równie dobrze można "zalać" serwer dużą ilością bezsensownych pakietów,

a efekt będzie dokładnie taki sam...

Z informacji jakie udało mi się zgromadzić, wywnioskowałem, że program otwiera połączenia, nie zamykając ich

:)

 

A efekt bynajmniej nie będzie taki sam - otwarte połączenie alokuje o wiele więcej zasobów sytemowych, niż odbity pakiet.

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Zrobiłem tak jak polecił p, zmieniłem również wartość ip_conntrack_max (powiększyłem o 30% czyli na 85196). Co do 1, 2, 3 może jakaś podpowiedzieć "co i jak"? :) nad punktem 6 popracuje wieczorem :)

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Bądź aktywny! Zaloguj się lub utwórz konto

Tylko zarejestrowani użytkownicy mogą komentować zawartość tej strony

Utwórz konto

Zarejestruj nowe konto, to proste!

Zarejestruj nowe konto

Zaloguj się

Posiadasz własne konto? Użyj go!

Zaloguj się

Zaloguj się, aby obserwować  

×