Флуд атака

[pwserver]

Флуд атака на 80 и 29020 порт.
Подскажите команды, какими ограничить количество запросов в секунду на порт 80 и 29020

[mouserok]

только порт поменяй на 80
http://habrahabr.ru/post/88461/

[pwserver]

Не помогло, выполнил вот это:
iptables -A INPUT -p tcp -m tcp --dport 80 -m state --state NEW -m hashlimit --hashlimit 1/hour --hashlimit-burst 2 --hashlimit-mode srcip --hashlimit-name SSH --hashlimit-htable-expire 60000 -j ACCEPT
iptables -A INPUT -p tcp -m tcp --dport 80 --tcp-flags SYN,RST,ACK SYN -j DROP
iptables -A RH-Firewall-1-INPUT -p tcp -m state --state NEW -m tcp --dport 80 -j ACCEPT

Потом ввел в консоль: netstat -ntu | more
Active Internet connections (w/o servers)
Proto Recv-Q Send-Q Local Address           Foreign Address         State
tcp        0      0 62.75.229.174:80        188.134.44.195:1862     TIME_WAIT
tcp        0      0 62.75.229.174:80        188.134.60.13:51251     ESTABLISHED
tcp        0      0 62.75.229.174:80        188.134.60.13:51247     TIME_WAIT
tcp        0      0 62.75.229.174:80        37.53.216.255:65272     TIME_WAIT
tcp        0      0 62.75.229.174:22        60.13.183.170:58856     ESTABLISHED
tcp        0 182000 62.75.229.174:80        46.55.102.157:14386     ESTABLISHED
tcp        0     52 62.75.229.174:22        37.53.216.255:65168     ESTABLISHED


Пользователь решил продолжить мысль 01 Апреля 2012, 21:53:57:
tcp        0 880100 62.75.229.174:80        188.190.203.255:53529   ESTABLISHED
tcp        0 135882 62.75.229.174:80        109.191.245.69:50455    ESTABLISHED
 
Пользователь решил продолжить мысль 01 Апреля 2012, 22:36:30:Хмммм... По логам атака идет, но сервер нормально работает.

[pwserver]

Проблема темы всё еще актуальна. За помощь заплатим. Skype Savickiy78 ICQ 623-907-423
Пользователь решил продолжить мысль 11 Октября 2012, 19:18:41:За помощь заплатим Web Money, Yandex или QIWI.

[Seryj001]

вот как бы инструмент есть
https://forum.ubuntu.ru/index.php?topic=201989.0;all

[pwserver]

А защита от брута на 22 порт должна помочь от флуда на 80 и другие?
Команда примерно в таком духе должна быть:

iptables -A INPUT -p tcp --syn --dport 80 -m hashlimit --hashlimit-name antipacket --hashlimit-above 10000/minute -j DROP

[NEOfantom]

pwserver,
А больше информации о сервере можно? интерфейсов сколько?
Apache используется каким образом?
Не пробовали использовать модуль mod_dosevasive?

iptables -A INPUT -p tcp --syn --dport 80 -m hashlimit --hashlimit-name antipacket --hashlimit-above 10000/minute -j DROP

на самом деле входа в систему при данном правиле нет, поэтому оно малоэффективно.

Если необходимо ограничение запросов на порт 80

Код: [Выделить]

iptables -p tcp --syn --dport 80 -m connlimit --connlimit-above 20 --connlimit-mask 24 -j DROP

[xeon_greg]

А защита от брута на 22 порт должна помочь от флуда на 80 и другие?
Команда примерно в таком духе должна быть:

iptables -A INPUT -p tcp --syn --dport 80 -m hashlimit --hashlimit-name antipacket --hashlimit-above 10000/minute -j DROP

что вы считаете флудом ? в чем у вас это выражается ?  пишите куски правил и говорите -  не помогло.  работоспособность/неработоспособность каких-то правил может также зависеть от остальной конфигурации iptables, которую вы тут не привели

[alexxnight]

Вам поможет модуль recent.
Его нужно донастроить: изменить в настройках максимальное кол-во значений в таблице.
Изменить параметры tcp: уменьшить время хранения информации о неустановленных соединений.
И написать правило iptables использующее recent...
Более точно сказать сложно, нужно смотреть на месте

[dobriivoin]

У меня примерно аналогичная проблема.Поэтому не стал создавать новую тему.
/var/log/kern.log выдает что possible SYN flooding on port 3990. Sending cookies??? Самое интересное что ни память, ни проц этот флуд НЕ ГРУЗИТ, но только падает скорость инета у клиентов.
Использую программу easyhotspot|( биллинговая система управления клиентами) в колледже. Через port 3990 студенты и преподаватели получают страницу авторизации. Это порт радиус сервера для аутентификации пользователя, т.н. СоА порт. закрыть из локалки не могу, так как кто не сможет тогда попасть с инет.  Может быть из-за того, что обслуживается где-то 100 ПК онлайн, просто слишком много конектов через порт 3990, поэтому срабатывает система защиты, и воспринимает их как SYN flooding. Попробовал некоторые  решения предпринять такие как:
1)echo 30 > /proc/sys/net/ipv4/tcp_fin_timeout
echo 1800 > /proc/sys/net/ipv4/tcp_keepalive_time
echo 1 > /proc/sys/net/ipv4/tcp_window_scaling
echo 0 > /proc/sys/net/ipv4/tcp_sack
echo 1280 > /proc/sys/net/ipv4/tcp_max_syn_backlog

2)$IPTABLES
### Цепь для сброса (DROP) флуд пакетов SYN-s ######
$IPTABLES -N syn-flood
$IPTABLES -A syn-flood -m limit --limit 100/second --limit-burst 150 -j RETURN
$IPTABLES -A syn-flood -j LOG --log-prefix "SYN flood: "
$IPTABLES -A syn-flood -j DROP

3) iptables -A FORWARD -i eth0 -m state --state NEW -m recent --set --name SYNF --rsource
iptables -A FORWARD -i eth0 -m state --state NEW -m recent --update --seconds 10 --hitcount 10 --rttl --name SYNF --rsource -j DROP

Но ничего не помогло. Может у кого есть какие-то другие соображения, как избавится от син флуда.

[saymon21root]

А если

Код: [Выделить]

echo "net.ipv4.tcp_syncookies = 1" >> /etc/sysctl.conf
sysctl -p

[dobriivoin]

А если

Код: [Выделить]

echo "net.ipv4.tcp_syncookies = 1" >> /etc/sysctl.conf
sysctl -p

это сделано, не помогает.

[arch!ver]

Ну вот опять всё сводится к тому, что "не помогает" - я же говорю - кривая и недопиленная шняга

[alexxnight]

archiver,
Хватит троллить... Если есть проблемы, пишите с примерами. (Читал я Ваши посты по этому поводу, пока все голословно)

[dobriivoin]

archiver,
Хватит троллить... Если есть проблемы, пишите с примерами. (Читал я Ваши посты по этому поводу, пока все голословно)

Конкретно какой тебе пример привести, если ты действительно хочешь помочь? Я давольно подробно описал предпринятые мной решения.