Obrona przed atakami DoS serwera apache

Dominik137 · Post autor: **Dominik137** » 11 listopada 2012, 23:10

Witam.
Dzisiaj mój serwer www (apache2) był pod solidnym ostrzałem ataku DoS, ze średniego obciążenia procesora 0.3% nagle otrzymałem 33% i więcej, tym co mnie najbardziej zaniepokoiło to, że regułka na firewallu nie zdała egzaminu
Regułka

Kod: Zaznacz cały

iptables -A INPUT  -p tcp --dport 80 --syn -m limit --limit 1/s -m state --state NEW -j ACCEPT

Oczywiście, wcześniej nie było nic przepuszczane na port 80. Chciałbym prosić użytkowników o radę, aby trochę lepiej przygotować się do ataków DoS i DDoS, jak skonfigurować sam serwer apache i zaporę?

Log z iptables:

Kod: Zaznacz cały

Nov 11 17:55:14 s16268241 kernel: [6420785.020625] DROP INPUTIN=eth0 OUT= MAC=X:X SRC=X DST=X LEN=52 TOS=0x00 PREC=0x00 TTL=118 ID=4704 DF PROTO=TCP SPT=65068 DPT=80 WINDOW=8192 RES=0x00 SYN URGP=0Nov 11 17:55:14 s16268241 kernel: [6420785.020625] DROP INPUTIN=eth0 OUT= MAC=X:X SRC=X DST=X LEN=52 TOS=0x00 PREC=0x00 TTL=118 ID=4704 DF PROTO=TCP SPT=65068 DPT=80 WINDOW=8192 RES=0x00 SYN URGP=0
Nov 11 17:55:14 s16268241 kernel: [6420785.060772] DROP INPUTIN=eth0 OUT= MAC=X:X SRC=X DST=X LEN=52 TOS=0x00 PREC=0x00 TTL=118 ID=4703 DF PROTO=TCP SPT=65067 DPT=80 WINDOW=8192 RES=0x00 SYN URGP=0
Nov 11 17:55:14 s16268241 kernel: [6420785.060772] DROP INPUTIN=eth0 OUT= MAC=X:X SRC=X DST=X LEN=52 TOS=0x00 PREC=0x00 TTL=118 ID=4703 DF PROTO=TCP SPT=65067 DPT=80 WINDOW=8192 RES=0x00 SYN URGP=0
Nov 11 17:55:14 s16268241 kernel: [6420785.100918] DROP INPUTIN=eth0 OUT= MAC=X:X SRC=X DST=X LEN=52 TOS=0x00 PREC=0x00 TTL=118 ID=4705 DF PROTO=TCP SPT=65069 DPT=80 WINDOW=8192 RES=0x00 SYN URGP=0
Nov 11 17:55:14 s16268241 kernel: [6420785.100918] DROP INPUTIN=eth0 OUT= MAC=X:X SRC=X DST=X LEN=52 TOS=0x00 PREC=0x00 TTL=118 ID=4705 DF PROTO=TCP SPT=65069 DPT=80 WINDOW=8192 RES=0x00 SYN URGP=0
Nov 11 17:55:14 s16268241 kernel: [6420785.141066] DROP INPUTIN=eth0 OUT= MAC=X:X SRC=X DST=X LEN=52 TOS=0x00 PREC=0x00 TTL=118 ID=4707 DF PROTO=TCP SPT=65070 DPT=80 WINDOW=8192 RES=0x00 SYN URGP=0
Nov 11 17:55:14 s16268241 kernel: [6420785.141066] DROP INPUTIN=eth0 OUT= MAC=X:X SRC=X DST=X LEN=52 TOS=0x00 PREC=0x00 TTL=118 ID=4707 DF PROTO=TCP SPT=65070 DPT=80 WINDOW=8192 RES=0x00 SYN URGP=0

Wiem, że temat ten był poruszany wiele razy, ale przeszukując forum nie znalazłem konkretnej wypowiedzi na rozwiązanie mojego problemu.

lessmian2 · Post autor: **lessmian2** » 12 listopada 2012, 21:31

Dobrze, ale regułka spełniła swoje zadanie - odrzuciła pakiety, które wychodziły poza limit. To, że jądro musiało przyjąć i przetworzyć każdy pakiet (co powodowało wzrost obciążenia) to już inna sprawa. W szczególnym przypadku atakujący może wysycić Ci łącze, firewall zablokuje niepożądany ruch, apache nie będzie przeciążony, a serwer i tak nie będzie odpowiadał. Tego raczej nie przeskoczysz przy firewallu na tej samej maszynie co usługa.