Skocz do zawartości
fajny_nick

Zabezpieczenie serwera przed atakami

Polecane posty

Witam, od jakiegoś czasu mam problem z kimś komu się wybitnie nudzi i postanowił uprzykrzyć mi życie ;)

 

Mam zainstalowany i skonfigurowany (wedle moich poprzednich potrzeb) CSF oraz dropuje ruch z kilku krajów (Chiny, Rosja, Brazylia itd), ale mimo tego ostatnio pojawiły się kolejne problemy. W logach kernela mam takie wpisy:

kernel: nf_conntrack: table full, dropping packet

Munin w zakładce "fw_conntrack" wskazuje ogromny skok ruchu oznaczony na legendzie jako "UDP connections", a dostęp na serwer jest znacząco utrudniony w trakcie ataku (raz się uda raz nie).

 

Co jeszcze mogę zrobić, żeby pozbyć się tego problemu?

 

Z góry dzięki za pomoc.

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Zwiększ sobie w /etc/sysctl.conf conntrack, np

 

net.netfilter.nf_conntrack_max=1048592

 

a potem sysctl -p

 

Ilość połaczeń per ip limitujesz?

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Po zwiększeniu maksymalnej wartości jak sprawdzałem jaką wartość ma "nf_conntrack_count" to zaczęła cały czas rosnąć aż osiągnęła nową maksymalną wartość.

 

Limituje ilość połączeń przez CSF

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Conntrack domyślnie przechowuje przecież ~65535 adresów, naprawdę dostajesz DDoSa z większej ilości adresów IP?

 

Przy UDP można oczywiście fakować adresy IP, ale nadal wydaje mi się to niedorzeczne, żeby kilka(naście) maszyn mogło wygenerować aż tyle fake pakietów.

 

Ew. dotweakuj sobie net.netfilter.nf_conntrack_generic_timeout. Zapewne nie leci więcej niż 1 pakiet z danego adresu IP (wnioskując po ich ilości), tak więc dostatecznie krótki timeout powinien zlikwidować przepełnianie tabeli.

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Bądź aktywny! Zaloguj się lub utwórz konto

Tylko zarejestrowani użytkownicy mogą komentować zawartość tej strony

Utwórz konto

Zarejestruj nowe konto, to proste!

Zarejestruj nowe konto

Zaloguj się

Posiadasz własne konto? Użyj go!

Zaloguj się


×