Polskie Forum Użytkowników Debiana

Polski portal użytkowników dystrybucji Debian GNU/Linux, dyskusje, artykuły, nowości, blog, porady, pomoc.
https://www.debian.pl/

Obrona przed atakami DoS serwera apache

https://www.debian.pl/viewtopic.php?t=27867

Strona 1 z 1

Obrona przed atakami DoS serwera apache

: 11 listopada 2012, 23:10
autor: Dominik137
Witam.
Dzisiaj mój serwer www (apache2) był pod solidnym ostrzałem ataku DoS, ze średniego obciążenia procesora 0.3% nagle otrzymałem 33% i więcej, tym co mnie najbardziej zaniepokoiło to, że regułka na firewallu nie zdała egzaminu
Regułka

Kod: Zaznacz cały

iptables -A INPUT  -p tcp --dport 80 --syn -m limit --limit 1/s -m state --state NEW -j ACCEPT
Oczywiście, wcześniej nie było nic przepuszczane na port 80. Chciałbym prosić użytkowników o radę, aby trochę lepiej przygotować się do ataków DoS i DDoS, jak skonfigurować sam serwer apache i zaporę?

Log z iptables:

Kod: Zaznacz cały

Nov 11 17:55:14 s16268241 kernel: [6420785.020625] DROP INPUTIN=eth0 OUT= MAC=X:X SRC=X DST=X LEN=52 TOS=0x00 PREC=0x00 TTL=118 ID=4704 DF PROTO=TCP SPT=65068 DPT=80 WINDOW=8192 RES=0x00 SYN URGP=0Nov 11 17:55:14 s16268241 kernel: [6420785.020625] DROP INPUTIN=eth0 OUT= MAC=X:X SRC=X DST=X LEN=52 TOS=0x00 PREC=0x00 TTL=118 ID=4704 DF PROTO=TCP SPT=65068 DPT=80 WINDOW=8192 RES=0x00 SYN URGP=0
Nov 11 17:55:14 s16268241 kernel: [6420785.060772] DROP INPUTIN=eth0 OUT= MAC=X:X SRC=X DST=X LEN=52 TOS=0x00 PREC=0x00 TTL=118 ID=4703 DF PROTO=TCP SPT=65067 DPT=80 WINDOW=8192 RES=0x00 SYN URGP=0
Nov 11 17:55:14 s16268241 kernel: [6420785.060772] DROP INPUTIN=eth0 OUT= MAC=X:X SRC=X DST=X LEN=52 TOS=0x00 PREC=0x00 TTL=118 ID=4703 DF PROTO=TCP SPT=65067 DPT=80 WINDOW=8192 RES=0x00 SYN URGP=0
Nov 11 17:55:14 s16268241 kernel: [6420785.100918] DROP INPUTIN=eth0 OUT= MAC=X:X SRC=X DST=X LEN=52 TOS=0x00 PREC=0x00 TTL=118 ID=4705 DF PROTO=TCP SPT=65069 DPT=80 WINDOW=8192 RES=0x00 SYN URGP=0
Nov 11 17:55:14 s16268241 kernel: [6420785.100918] DROP INPUTIN=eth0 OUT= MAC=X:X SRC=X DST=X LEN=52 TOS=0x00 PREC=0x00 TTL=118 ID=4705 DF PROTO=TCP SPT=65069 DPT=80 WINDOW=8192 RES=0x00 SYN URGP=0
Nov 11 17:55:14 s16268241 kernel: [6420785.141066] DROP INPUTIN=eth0 OUT= MAC=X:X SRC=X DST=X LEN=52 TOS=0x00 PREC=0x00 TTL=118 ID=4707 DF PROTO=TCP SPT=65070 DPT=80 WINDOW=8192 RES=0x00 SYN URGP=0
Nov 11 17:55:14 s16268241 kernel: [6420785.141066] DROP INPUTIN=eth0 OUT= MAC=X:X SRC=X DST=X LEN=52 TOS=0x00 PREC=0x00 TTL=118 ID=4707 DF PROTO=TCP SPT=65070 DPT=80 WINDOW=8192 RES=0x00 SYN URGP=0
Wiem, że temat ten był poruszany wiele razy, ale przeszukując forum nie znalazłem konkretnej wypowiedzi na rozwiązanie mojego problemu.

: 12 listopada 2012, 21:31
autor: lessmian2
Dobrze, ale regułka spełniła swoje zadanie - odrzuciła pakiety, które wychodziły poza limit. To, że jądro musiało przyjąć i przetworzyć każdy pakiet (co powodowało wzrost obciążenia) to już inna sprawa. W szczególnym przypadku atakujący może wysycić Ci łącze, firewall zablokuje niepożądany ruch, apache nie będzie przeciążony, a serwer i tak nie będzie odpowiadał. Tego raczej nie przeskoczysz przy firewallu na tej samej maszynie co usługa.
Strefa czasowa UTC+02:00
Strona 1 z 1

Technologię dostarcza phpBB® Forum Software © phpBB Limited

Polski pakiet językowy dostarcza phpBB.pl