Hur skyddar man sig mot ddos?

Lumax · 2008-10-03, 19:37

Citat:

Originally posted by danielos@Oct 3 2008, 12:28
i pfsense har jag satt:
Maximum state entries per host: 70

Ett vanligt problem med att begränsa anslutningar är ju att man inte vill blocka googlebot.
Nån som vet var man kan hitta en lista över IP-nummer som används av googlebot, msnbot och slurp?

Björklund · 2008-10-03, 20:15

Citat:

Ursprungligen postat av patrikweb

Citat:

Originally posted by -crazzy@Oct 2 2008, 21:09

Citat:

Ursprungligen postat av danielos

Det fungerar som anonyma gäster som accessar väldigt många sidor, och jag har provat att blockera dom 300 värsta i iptables utan resultat.

Rätta mej om jag har fel men om du blockar dem i iptables på själva servrarna så borde väl dem ändå bli belastade av att behöva fundera på om paketen ska droppas eller inte?

Det droppas av kernel innan det ens paketet behandlas på något sätt, så blir ändå minimal belastning. Så med ett någorlunda modern maskin så skulle det inte vara några problem att droppa några 100Mbit.

Det är bandbredden som knäcker en server först utan antal paket per sekund.
Tillräckligt många paket med sekund så knäcker den servern. Ju mer iptables-regler du har ju långsammare går det.

Bättre att droppa dem innan de kommer till servern.

Danielos · 2008-10-03, 20:32

Citat:

Originally posted by patrikweb@Oct 3 2008, 17:07
Är det endast SYN paket eller skapar dom en full connection?
Viktigaste är kolla hur paketet ser ut i innehåll, skickar dom några headar?
Normalt så skickar dom aldrig några useragent eller liknande vilket gör det lätt att identifera och droppa.
Så normalt blir paketstorleken mycket lägre än legtima anslutningar vilket gör att du skulle kunnat skapa ett filter som droppar paket som är under en viss storlek mot port 80. Annars får du hitta ett mönster och sedan skapa ett L7 filter för matcha och droppa.

Det är nog full connection för dom syns som gäster på forum, det kan bli runt 700-800 gäster på ett specifikt forum. Kan man skapa filter på en pfsense brandvägg tror du?

patrikweb · 2008-10-04, 14:53

Vet inte om du klarar kunna sätta L7 filter i den, har du analyserat trafiken något?

Typ kör en tcpdump för se exakt vad dom skickar och om alla skickar exakt samma saker.

Om inte kan du säkert koda ihop ett eget L7 filter med ett shellscript, hitta mönstret i tcpdump och använda grep, awk och liknande för att få ut själva IP och sedan pipa det till PF för drop.

Allt brukar gå lösa med shellscript och lite olika tools om man inte har en brandvägg där du ska skapa filter som du vill.

Aktiva användare som för närvarande tittar på det här ämnet: 1 (0 medlemmar och 1 gäster)

Menu

Hur skyddar man sig mot ddos?