 http-ddos,  Alex, 17-Июл-07, 06:23 [смотреть все]подскажите возможное решение, идет запрос индексовой страницы, по нетстату следующая картинкаProto Recv-Q Send-Q Local Address Foreign Address (state)
tcp4 0 500 cs480.http ESTABLISHED
tcp4 0 500 cs480.http ESTABLISHED
tcp4 0 500 cs480.http ESTABLISHED
tcp4 0 500 cs480.http ESTABLISHED таких коннектов около 3000, увеличили сокет, буферы, уменьшен msl. как лучше всего блокировать на пфе такие запросы? стоит нджинкс с апачем, думаю о варианте помечать куками, дальше редиректить хидером и если куа стоит пускать на сайт, но как забанить ИП? |
- http-ddos, domas, 15:30 , 17-Июл-07 (1)
Я у себя вот так сделал.
table <http-dos> persist
pass in on fxp0 proto tcp to (fxp0) port http flags S/SA keep state \
(max-src-conn 50, max-src-conn-rate 100/2, overload <http-dos> flush)
block in quick proto tcp from <http-dos> to (fxp0) port http
max-src-conn 50 - максимум 50 одновременных соединений от каждого источника
max-src-conn-rate 100/2 - максимум 100 соединений в течении 2 сек.
Если одно из выше перечисленных условий произошло, то ip отправляется в таблицу http-dos. Из этой таблицы все ip блокируются.
Потом по крону можно чистить:
*/5 * * * * /sbin/pfctl -t http-dos -Tf 2> /dev/null
- http-ddos, Alex, 18:25 , 17-Июл-07 (2)
>Я у себя вот так сделал.
>
>max-src-conn 50 - максимум 50 одновременных соединений от каждого источника
>max-src-conn-rate 100/2 - максимум 100 соединений в течении 2 сек.
>Если одно из выше перечисленных условий произошло, то ip отправляется в таблицу
>http-dos. Из этой таблицы все ip блокируются.
>Потом по крону можно чистить:
>*/5 * * * * /sbin/pfctl -t http-dos -Tf 2> /dev/nullПопробуем сегодня, имеет ли смысл увеличивать эти параметры?
tcpcb: 444, 65538, 65534, 4, 1012079
socket: 324, 65544, 65544, 0, 1041230 забилось все примерно за час.
|
Версия для распечатки
