Изпечатай

[vladi246]

Здравейте От няколко дни ме атакуват разни IP-та,но не мога да разбера по какъв начин,ясно е ,че правят някакви заявки към web serverа който пък прави заявки към mysql а и машината умира тоталноето скриин Чакам идей благодаряПолзвам Slackware със default настройки на апачето

[n00b]

slowloris - общо взето.

Дай си ip-то и експериментално ще ти покажа как и аз мога да ти смъкна сайта за минута.

[vladi246]

slowloris - общо взето.

Дай си ip-то и експериментално ще ти покажа как и аз мога да ти смъкна сайта за минута.

Има ли лек за това,сега ще прочета за термина който даде,благодаря Хмм дали е DOS атака това,защото от термина който даде така излиза че това са дос атаки,сега ще се разчета как да сложа fix на апачето за проблемаНо всякакви идеи не са излишни

[n00b]

Виж - първо виж дали е slowloris. Общо взето той не може да се бори освен с разни iptables трикове.

Но с дефаулт настройки на apache и ги смъквам за секунди... само за експериментална цел и предупреждавам собсвениците им че ще тествам нещо и ги питам дали е удобно. Общо взето след вида на паднал сървър не им е никак удобно, но ако спра атакат сървъра за секунди се възтановява.

Един от начините за борене беше с ngnix или lighthttpd да ги направиш като reverse proxy и да ги насочиш към apache-то.

[vladi246]

Код:

Интересно ми е голямите хостинг компании като ICN,SuperHosting, и т.н. как се справят със тези проблеми ?Аз си играх със ip tables но те бълват постоянноно някой от бтк си ме е набелязал,ето част от netstat | grep http след като пусна апачето 

tcp6       1      0 cslan.net.cslan.ne:http 87-126-105-224.btc:1634 CLOSE_WAIT tcp6       1      0 cslan.net.cslan.ne:http 87-126-105-224.btc:1773 CLOSE_WAIT tcp6       1      0 cslan.net.cslan.ne:http 87-126-105-224.btc:1758 CLOSE_WAIT tcp6       1      0 cslan.net.cslan.ne:http 87-126-105-224.btc:1800 CLOSE_WAIT tcp6       0      0 77.77.44.25%8191:http   85-130-15-105.171:33009 FIN_WAIT2  tcp6       1      0 cslan.net.cslan.ne:http 87-126-105-224.btc:1809 CLOSE_WAIT tcp6       1      0 cslan.net.cslan.ne:http 87-126-105-224.btc:1874 CLOSE_WAIT tcp6       1      0 cslan.net.cslan.ne:http 87-126-105-224.btc:1873 CLOSE_WAIT tcp6       1      0 cslan.net.cslan.ne:http 87-126-105-224.btc:1768 CLOSE_WAIT tcp6       1      0 cslan.net.cslan.ne:http 87-126-105-224.btc:1757 CLOSE_WAIT tcp6       1      0 cslan.net.cslan.ne:http 87-126-105-224.btc:1787 CLOSE_WAIT tcp6       1      0 cslan.net.cslan.ne:http 87-126-105-224.btc:1756 CLOSE_WAIT tcp6       1      0 cslan.net.cslan.ne:http 87-126-105-224.btc:1682 CLOSE_WAIT tcp6       1      0 cslan.net.cslan.ne:http 87-126-105-224.btc:1862 CLOSE_WAIT tcp6       1      0 cslan.net.cslan.ne:http 87-126-105-224.btc:1711 CLOSE_WAIT tcp6       1      0 cslan.net.cslan.ne:http 87-126-105-224.btc:1743 CLOSE_WAIT tcp6       1      0 cslan.net.cslan.ne:http 87-126-105-224.btc:1700 CLOSE_WAIT tcp6       1      0 cslan.net.cslan.ne:http 87-126-105-224.btc:1719 CLOSE_WAIT tcp6       1      0 cslan.net.cslan.ne:http 87-126-105-224.btc:1812 CLOSE_WAIT tcp6       0      0 77.77.44.25%8191:http   crawl-66-249-71-8:50434 TIME_WAIT  tcp6       1      0 cslan.net.cslan.ne:http 87-126-105-224.btc:1814 CLOSE_WAIT tcp6       1      0 cslan.net.cslan.ne:http 87-126-105-224.btc:1882 CLOSE_WAIT tcp6       1      0 cslan.net.cslan.ne:http 87-126-105-224.btc:1759 CLOSE_WAIT tcp6       1      0 cslan.net.cslan.ne:http 87-126-105-224.btc:1712 CLOSE_WAIT tcp6       0      0 77.77.44.25%8190:http   crawl-66-249-71-8:50434 TIME_WAIT  tcp6       1      0 cslan.net.cslan.ne:http 87-126-105-224.btc:1814 CLOSE_WAIT tcp6       1      0 cslan.net.cslan.ne:http 87-126-105-224.btc:1882 CLOSE_WAIT tcp6       1      0 cslan.net.cslan.ne:http 87-126-105-224.btc:1759 CLOSE_WAIT tcp6       1      0 cslan.net.cslan.ne:http 87-126-105-224.btc:1712 CLOSE_WAIT tcp6       1      0 cslan.net.cslan.ne:http 87-126-105-224.btc:1790 CLOSE_WAIT tcp6       1      0 cslan.net.cslan.ne:http 87-126-105-224.btc:1887 CLOSE_WAIT tcp6       1      0 cslan.net.cslan.ne:http 87-126-105-224.btc:1833 CLOSE_WAIT tcp6       1      0 cslan.net.cslan.ne:http 87-126-105-224.btc:1864 CLOSE_WAIT tcp6       1      0 cslan.net.cslan.ne:http 87-126-105-224.btc:1825 CLOSE_WAIT tcp6       1      0 cslan.net.cslan.ne:http 87-126-105-224.btc:1776 CLOSE_WAIT tcp6       1      0 cslan.net.cslan.ne:http 87-126-105-224.btc:1778 CLOSE_WAIT tcp6       1      0 cslan.net.cslan.ne:http 87-126-105-224.btc:1774 CLOSE_WAIT tcp6       1      0 cslan.net.cslan.ne:http 87-126-105-224.btc:1875 CLOSE_WAIT tcp6       1      0 cslan.net.cslan.ne:http 87-126-105-224.btc:1836 CLOSE_WAIT tcp6       1      0 cslan.net.cslan.ne:http 87-126-105-224.btc:1867 CLOSE_WAIT tcp6       1      0 cslan.net.cslan.ne:http 87-126-105-224.btc:1875 CLOSE_WAIT tcp6       1      0 cslan.net.cslan.ne:http 87-126-105-224.btc:1836 CLOSE_WAIT tcp6       1      0 cslan.net.cslan.ne:http 87-126-105-224.btc:1867 CLOSE_WAIT tcp6       1      0 cslan.net.cslan.ne:http 87-126-105-224.btc:1867 CLOSE_WAIT tcp6       1      0 cslan.net.cslan.ne:http 87-126-105-224.btc:1867 CLOSE_WAIT

[gat3way]

Я, ipv6...какво викаш филтрираш с iptables?

[vladi246]

Я, ipv6...какво викаш филтрираш с iptables?

Във случая правя така
iptables -A INPUT -s 87.126.106.133 -j DROP
iptables -A INPUT -s 84.54.150.174 -j DROP
Но това не е решение да седя и да дебна ип-тата който ме атакуват,защото примерно btc-както си раздава ново ип при рестарт,си е наказание.
И не мога да разбера точно къде ми е дупката

[n00b]

да - slowloris. Току що го смъкнах сайта ти за секунди. На 30-тата спрях.

Виж как може да се защитиш... примерно с reverse proxy или с iptables...

[gat3way]

Я, ipv6...какво викаш филтрираш с iptables?

Във случая правя така
iptables -A INPUT -s 87.126.106.133 -j DROP
iptables -A INPUT -s 84.54.150.174 -j DROP
Но това не е решение да седя и да дебна ип-тата който ме атакуват,защото примерно btc-както си раздава ново ип при рестарт,си е наказание.
И не мога да разбера точно къде ми е дупката

Добре де, гледам изхода от netstat, всичките връзки до уеб сървъра са tcp6, демек ползва се ipv6 протокола. Твоите правила забраняват достъпа от ipv4 адреси. Защо си мислиш, че ще match-нат адреса на атакуващият?

Много подмолен момент е това, предполагам

[vladi246]

да - slowloris. Току що го смъкнах сайта ти за секунди. На 30-тата спрях.

Виж как може да се защитиш... примерно с reverse proxy или с iptables...

Страх ме е да си играя дистанционно със iptables че машината е на 2500 к/м от мен

[n00b]

Тогава пердаши с едно reverseproxy.

Мисля че имаше модул на Apache с/у slowloris но не беше панацея.

[angie_bg]

http://mpetrov.net/kak-da-zashtitim-apache-ot-schupvane-prichineno-ot-slowloris

[vladi246]

Мда видях го това,но тези дни съм пратил човек първо да ми прехвърли една от машините ми на CentOS и ще е само web,че слака не е лош,но като тръгнеш да прекомпилираш нещо и винаги нещо се омазва,е който го разбира повече му е добре,но за web сървър centos си има някаква дума и ще се мъчиме със него

[vladi246]

На този етап си реших проблема със iptables мисля,другите флудове ще ги резна от гейта