Anti-flood apache modul? [napad na MC]

2

Anti-flood apache modul? [napad na MC]

offline
  • Pridružio: 28 Apr 2005
  • Poruke: 3686
  • Gde živiš: The Circle

@Dark: pretpostavljam da koriste dinamicki IP tako da jedino da banuje ceo IP opseg tog provajdera Smile Tako da to nije resenje...

Efikasna zastita ne postoji, osim u nekom hardware-skom obliku, tipa Cisco router koji ima dobru zastitu od DDoS napada. Al' dzaba kad server nije 'kuci' Smile A i odakle kinta za takav Cisco..

Peco da probas da ogranicis CPU load, verujem da kada se posalje ovakav zahtev usage znatno skoci? Confused



Registruj se da bi učestvovao u diskusiji. Registrovanim korisnicima se NE prikazuju reklame unutar poruka.
offline
  • Pridružio: 26 Maj 2005
  • Poruke: 111
  • Gde živiš: Boston,MA

link



offline
  • Peca  Male
  • Glavni Administrator
  • Predrag Damnjanović
  • SysAdmin i programer
  • Pridružio: 17 Apr 2003
  • Poruke: 23211
  • Gde živiš: Niš

E to mi treba!
Hvala.
Bas da vidimo kako ce se pokazati kad ga stavim.

Dopuna: 02 Nov 2006 18:31

Promenili su naziv projekta.
Sad je - http://www.zdziarski.com/projects/mod_evasive/

Dopuna: 02 Nov 2006 18:48

Samo me kopka kako ce se snaci sa gif/png/jpg fajlovima, jer svaki browser zaspe server zahtevima za slikama, sto ovaj filter NE bi trebao da detektuje kao flood.
Al dobro, ceo modul je u jednom omanjem .c fajlu, a ja znam C, pa mogu da modifikujem modul po zelji.

Dopuna: 02 Nov 2006 19:14

jok, nema nikakvu proveru za gif/png/jpg Confused
moracu da ga doradim Cool

Dopuna: 02 Nov 2006 22:31

ispod:
    /* BEGIN Evasive Maneuvers Code */

    if (r->prev == NULL && r->main == NULL && hit_list != NULL) {


dodati:
    int len = strlen (r->uri)-4;
    if (len>0)
    {
        char temp_buf[5];
        temp_buf[0]=tolower(*(r->uri+len));
        temp_buf[1]=tolower(*(r->uri+len+1));
        temp_buf[2]=tolower(*(r->uri+len+2));
        temp_buf[3]=tolower(*(r->uri+len+3));
        temp_buf[4]=0;

        if (strcmp(temp_buf+1, "png")==0) return OK;
        if (strcmp(temp_buf+1, "jpg")==0) return OK;
        if (strcmp(temp_buf, "jpeg")==0) return OK;
        if (strcmp(temp_buf+1, "gif")==0) return OK;
        if (strcmp(temp_buf+1, "css")==0) return OK;
    }


To eliminise iz filtera gif/png/jpg/jpeg/css.
Ovo je modifikacija za Apache 1.3.x

modul je instaliran na server...
videcemo kako ce se ponasati...

offline
  • soxxx 
  • Prijatelj foruma
  • Pridružio: 25 Maj 2005
  • Poruke: 1482
  • Gde živiš: Gracanica, Kosovo

Trazeci informacije vezano za syn flood napade (zapravo za packet filter - pf) naisao sam na ovo za iptables. Mozda bude od koristi.Wink

Citat:iptables is being configured to allow the firewall to send ICMP echo-requests (pings) and in turn, accept the expected ICMP echo-replies.

Consider another example

iptables -A INPUT -p icmp --icmp-type echo-request \
         -m limit --limit 1/s -i eth0 -j ACCEPT


The limit feature in iptables specifies the maximum average number of matches to allow per second. You can specify time intervals in the format /second, /minute, /hour, or /day, or you can use abbreviations so that 3/second is the same as 3/s.

In this example, ICMP echo requests are restricted to no more than one per second. When tuned correctly, this feature allows you to filter unusually high volumes of traffic that characterize denial of service (DOS) attacks and Internet worms.

iptables -A INPUT -p tcp --syn -m limit --limit 5/s -i eth0 -j ACCEPT

You can expand on the limit feature of iptables to reduce your vulnerability to certain types of denial of service attack. Here a defense for SYN flood attacks was created by limiting the acceptance of TCP segments with the SYN bit set to no more than five per second.


Mislim da je ovo Dark vec napomenuo.

Par referenci:

http://www.cyberciti.biz/tips/linux-iptables-7-how.....ttack.html

http://pikt.org/pikt/samples/iptables_syn_flood_programs.cfg.html

Jel bilo jos napada od tada?

offline
  • Peca  Male
  • Glavni Administrator
  • Predrag Damnjanović
  • SysAdmin i programer
  • Pridružio: 17 Apr 2003
  • Poruke: 23211
  • Gde živiš: Niš

Od kad sam instalirao mod_evasive - server radi stabilno.
Dnevno po 2-3 puta ovaj mod reaguje, raznorazni bot-ovi polude po sajtu pa ih ovaj smiri, i sve je cool Wink
A ako neko krene syn flood, resicemo to ovako kao sto si naveo gore Smile

offline
  • soxxx 
  • Prijatelj foruma
  • Pridružio: 25 Maj 2005
  • Poruke: 1482
  • Gde živiš: Gracanica, Kosovo

Peca ::
A ako neko krene syn flood, resicemo to ovako kao sto si naveo gore Smile

Ne vidim razlog zasto to ne bi uradio vec sad,a ne da cekas da napad krene?Pa nemozes uvek da budes online...

Nego nesto me interesuje,koji je tacno napad bio i koliko je trajao?Vidim sklonio si log.

offline
  • Peca  Male
  • Glavni Administrator
  • Predrag Damnjanović
  • SysAdmin i programer
  • Pridružio: 17 Apr 2003
  • Poruke: 23211
  • Gde živiš: Niš

http://home.mycity.rs/flood/

sve ce ti biti jasno kad vidis Wink
obican lame http request flood.

offline
  • soxxx 
  • Prijatelj foruma
  • Pridružio: 25 Maj 2005
  • Poruke: 1482
  • Gde živiš: Gracanica, Kosovo

Ah, izvini...ja mislio syn flood napad, moja greska. Smile

offline
  • bocke  Male
  • Moderator foruma
  • Glavni moderator Linux foruma
  • Veliki Pingvin
  • Guru
  • Pridružio: 16 Dec 2005
  • Poruke: 12486
  • Gde živiš: Južni pol

Izdvojeno s obzirom da mislim da bi informacije iznete u postu mogle biti korisne jos nekome.

Ko je trenutno na forumu
 

Ukupno su 1290 korisnika na forumu :: 38 registrovanih, 7 sakrivenih i 1245 gosta   ::   [ Administrator ] [ Supermoderator ] [ Moderator ] :: Detaljnije

Najviše korisnika na forumu ikad bilo je 3466 - dana 01 Jun 2021 17:07

Korisnici koji su trenutno na forumu:
Korisnici trenutno na forumu: A.R.Chafee.Jr., Ageofloneliness, babaroga, bagor10, bigfoot, Dimitrise93, Dorcolac, draganl, Georgius, ikan, ILGromovnik, kikisp, kuntalo, Leonov, lord sir giga, LUDI, M1los, Marko Marković, Mcdado, mercedesamg, Mi lao shu, milimoj, Milos ZA, milos.cbr, Mixelotti, nikola990, pein, repac, S2M, sasa87, Skywhaler, suton, t84dar, Toper, Vlada78, YugoSlav, zlaya011, Zoca