1.3, whisper (??), 21:29, 19/04/2006 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
Кроме того, чтобы поставить, человеку еще бы не помешало знать, что это такое и с чем его едят, хотя бы перевод бы сделал небольшой с офф сайтов.
Мне вот директивы
DOSHashTableSize 3097
DOSPageCount 2
DOSSiteCount 50
DOSPageInterval 1
DOSSiteInterval 1
DOSBlockingPeriod 10
ни о чем не говорят, только методом доктора Догадайсясам и т.п.
В обсчем тема сисек не раскрыта. Низачот! | |
|
2.8, Ldar (??), 06:13, 20/04/2006 [^] [^^] [^^^] [ответить]
| +/– |
в самом начале написано, что это является неким HOWTO соотвественно о опяснениях что ето и зачем не обязано быть ... ссылки на материалы предоставлены!
В целом, как мне кажется, написано неплохо, коротко и по сути.
| |
2.15, sapran (ok), 11:34, 20/04/2006 [^] [^^] [^^^] [ответить]
| +/– |
ок, приму к сведению, что для отлельных читателей требуется подробное описание директив. | |
2.21, yurik (??), 15:10, 21/04/2006 [^] [^^] [^^^] [ответить]
| +/– |
Автору
Ничего так для начала. Ну в стартовый минимум для апача я бы дописал mod_load.c ну и лимиткон какой-то.
Может и вправду сюда удафком не надо перетягивать.
Специально для whisper
Ну а по директивам...
Разве обладая хоть малейшими познаниями в английском плюс переводчиком, нельзя перевести README от модуля?
DOSHashTableSize 3097
DOSPageCount 2 <-- Сколько запросов к старнице можно...
DOSPageInterval 1 <-- за вот это время (в сек.)
DOSSiteCount 50 <--Сколько запросов ко всем старницам домена можно...
DOSSiteInterval 1 <--за вот это время (в сек.)
DOSBlockingPeriod 10 <-- На сколько заблокировать айпи (в сек.)
Опционально есть еще директивы в модуле
DOSSystemComand <-- Можно описать системную команду для блокировки
(напр. через /sbin/iptables -A INPUT -p tcp --dport 80 -s %s -j REJECT
В %s передается от модуля айпи )
DOSLogDir <-- Директория для хранения список заблокированных айпи (По умол. /tmp)
DOSEmailNotify <-- На этот емейл админа отсылать письмо при блокировке
DOSWhitelist <-- Список "белых" айпи. Может быть несколько. Можно по маскам определять
(напр. 127.0.0.* ) | |
|
1.4, Аноним (-), 21:38, 19/04/2006 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
Тока надо предупреждать, как кто-то справедливо заметил на опенннете, что этот сам модуль mod_security может быть источником проблем, так как и в нем находили серьезные уязвимости. так то. | |
|
2.5, Квагга (?), 00:31, 20/04/2006 [^] [^^] [^^^] [ответить]
| +/– |
Отсутсвие в рабочем Апаче этого самого модуля mod_security - ГАРАНТИЯ получения крупнейших проблем.
Ваш сервис, если вы какой поддерживаете, просто никому не интересен, только поэтому в нем еще не сидит пяток дор. | |
|
3.12, изГостей (?), 11:16, 20/04/2006 [^] [^^] [^^^] [ответить]
| +/– |
г-н Квагга, вы уже далеко не в одной теме оставляли замечания типа "JDSAYUGFDSJH не используешь, RFC не читаешь" и в таком духе. На просьбы расшифровать JDSAYUGFDSJH и отослать к номеру RFC еще ни разу не ответили. Может хватит уже? Будьте любезны, вы не на удафкоме. Хотите поделиться - делайте это аргументированно. | |
3.16, sapran (ok), 11:35, 20/04/2006 [^] [^^] [^^^] [ответить]
| +/– |
давайте продолжим тему и найдем этому недугу лечение. если не лень конечно. | |
|
|
1.6, фтщтньщгы (?), 00:36, 20/04/2006 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
Про Trace метод более или менее ясно ... А про остальное ?! Сделайте так и все.. а что,для чего, зачем... | |
1.7, фтщтньщгы (?), 00:40, 20/04/2006 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
>>>Ваш сервис, если вы какой поддерживаете, просто никому не интересен, только поэтому в нем еще не сидит пяток дор.
- А если им кто то заинтересуется, то "дор"ы появятся да :) | |
1.10, gosha_e30 (?), 10:08, 20/04/2006 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
использовал неделю mod_security на хостинг машине. один геморой с ним, каждый день жалобы что он чтото блокирует. Пришлось нахрен убрать и жить спокойно без него, если Вас начнуть досить Вам прогнут канал Вам и Вашему провайдеру и mod_security никогда не пригодится. | |
|
2.19, gvy (?), 15:17, 20/04/2006 [^] [^^] [^^^] [ответить]
| +/– |
>использовал неделю mod_security на хостинг машине. один геморой с ним
Ну использовать тоже можно по-разному, у нас тут пока один непредвиденный случай только вышел (и то если бы это был коммерческий хостинг с SLA, а не "для себя и друзей, которые тоже фрисофт пилят" -- то тот конкретный паттерн был бы выписан иначе).
Может, не в модуле дело?
> если Вас начнуть досить Вам прогнут канал Вам и Вашему провайдеру
Вы про syn flood что-нить слышали? Вовсе необязательно "им" убивать канал, тем более если это не деревенский провайдер. (а оптимистично настроенному, без расчёта на особую клинику с DSL, но с расчётом на кучу медленных дайлапов апачу -- один умник с flashget может оказаться невольным DoS'ером) | |
|
1.11, Аноним (-), 10:19, 20/04/2006 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
2Квагга
Ты уж освети этот вопрос подробнее. Какие проблемы именно?
А то, для борьбы с ддосом можно использовать и iptables'ы всякие, синкуки=1, ну еще со снортом поразвлекаться. | |
|
2.17, sapran (ok), 11:38, 20/04/2006 [^] [^^] [^^^] [ответить]
| +/– |
можно конечно и поразвлекаться, но это же к Apache непосредственно не относится. | |
|
1.13, Siava (??), 11:18, 20/04/2006 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
Использую mod_security уже месяца 2, но потратил пару-тройку дней на настройку, чтобы он работал как мне надо. Теперь проблем нет.
Спасибо за статью, попробую :) | |
|
2.18, Agressor (??), 14:07, 20/04/2006 [^] [^^] [^^^] [ответить]
| +/– |
2 Siava
Опиши плиз подробней как у тебя сделано - версию апача, модуля, его настройки (конфиг)
Я думаю не только мне интерестно будет... Можно и на wiki.opennet.ru запостить. | |
|
1.20, brAndy_cv (?), 18:39, 20/04/2006 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
Еще бы неплохо собрать апач с mod_rewrite и в httpd.conf
RewriteEngine on
ReWriteCond %{REQUEST_METHOD} ^(TRACE|TRACK)
ReWriteRule .* - [F] | |
1.23, Voland (??), 11:11, 24/04/2006 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
Привет!
Вчера перенес описанную вами атаку осуществленную при помощи ботов(зомби) управляемых через IRC. Но закрыть я их не смог, так как атакующих было слишком много. Наверно инициатору надоело и просто перестал атаковать.
На Apache установлен mod_security и mod_evasive но они не справились и приходилось блокировать атакующие хосты на фаирволе. В итоге сервер отвечал еле еле ато и совсем не отвечал.
Меня интересует существует ли какая нибудь защита от какого вида атак?
Буду благодарен за помощь. | |
|
2.26, sapran (ok), 11:03, 26/05/2006 [^] [^^] [^^^] [ответить]
| +/– |
>На Apache установлен mod_security и mod_evasive но они не справились и приходилось
>блокировать атакующие хосты на фаирволе. В итоге сервер отвечал еле еле
>ато и совсем не отвечал.
>
>Меня интересует существует ли какая нибудь защита от какого вида атак?
я бы ставил для этого Snort и проанализировав поведение атакующих адресов выявлял бы подобные действия и закрывал их на ФВ. просто снорту я в подобных вещах больше доверяю =) | |
|
1.25, tor (??), 08:26, 09/05/2006 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
to Voland
Поделись ипами атакующих ...
Я тоже сделал скрипт который закрывает в фаере атакующих ... первый апач все по минимуму ... | |
1.27, Имя (?), 03:45, 25/10/2006 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
> и приходилось блокировать атакующие хосты на фаирволе
а я пользую простейшие скриптики парсилки логов которые IP автоматом заносят в фаервол
| |
|
2.30, WebGraf (?), 01:25, 22/10/2009 [^] [^^] [^^^] [ответить]
| +/– |
Многие утверждают что именно мод_секьюрити зачастую блокирует phpmyadmin и другого рода стрыпты
| |
|
1.32, korrado (?), 14:25, 03/12/2009 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
на нашем сайте используются подсказки, соответственно пока юзер вводит слово в форму, веб-сервер без конца дергается. И это не давало закрутить настройки Евасива. Не хватает параметра типа DosExclude MyString
пришлось в исходник модуля просто добавить строчки Check whiterequest:
/* Check whitelist */
if (is_whitelisted(r->connection->remote_ip))
return OK;
/* Check whiterequest */
if (strstr(r->the_request, "myString") != NULL)
return OK;
/* First see if the IP itself is on "hold" */
n = ntt_find(hit_list, r->connection->remote_ip);
| |
|