Zabezpieczenie serwera przed atakami

[fajny_nick 0]

Witam, od jakiegoś czasu mam problem z kimś komu się wybitnie nudzi i postanowił uprzykrzyć mi życie

 

Mam zainstalowany i skonfigurowany (wedle moich poprzednich potrzeb) CSF oraz dropuje ruch z kilku krajów (Chiny, Rosja, Brazylia itd), ale mimo tego ostatnio pojawiły się kolejne problemy. W logach kernela mam takie wpisy:

kernel: nf_conntrack: table full, dropping packet

Munin w zakładce "fw_conntrack" wskazuje ogromny skok ruchu oznaczony na legendzie jako "UDP connections", a dostęp na serwer jest znacząco utrudniony w trakcie ataku (raz się uda raz nie).

 

Co jeszcze mogę zrobić, żeby pozbyć się tego problemu?

 

Z góry dzięki za pomoc.

[Miłosz 2311]

Zwiększ sobie w /etc/sysctl.conf conntrack, np

 

net.netfilter.nf_conntrack_max=1048592

 

a potem sysctl -p

 

Ilość połaczeń per ip limitujesz?

[fajny_nick 0]

Po zwiększeniu maksymalnej wartości jak sprawdzałem jaką wartość ma "nf_conntrack_count" to zaczęła cały czas rosnąć aż osiągnęła nową maksymalną wartość.

 

Limituje ilość połączeń przez CSF

[Gość Spoofy]

To wywal "CSF" i skleć sobie swój skrypcioch iptables ;-)

[Pan Kot 1535]

Conntrack domyślnie przechowuje przecież ~65535 adresów, naprawdę dostajesz DDoSa z większej ilości adresów IP?

 

Przy UDP można oczywiście fakować adresy IP, ale nadal wydaje mi się to niedorzeczne, żeby kilka(naście) maszyn mogło wygenerować aż tyle fake pakietów.

 

Ew. dotweakuj sobie net.netfilter.nf_conntrack_generic_timeout. Zapewne nie leci więcej niż 1 pakiet z danego adresu IP (wnioskując po ich ilości), tak więc dostatecznie krótki timeout powinien zlikwidować przepełnianie tabeli.