https://www.opennet.ru/openforum/vsluhforumID10/5106.html 1)Подскажите какие критерии можно добавить для большей фэективности.<br>2) Находил много примеров с использование tcpdump и создание чёрного списка,,, но застрял на этапе транспорта в конфиг iptables,, как лучше реализовать <br><br>iptables -F<br>iptables -X<br>iptables -t nat -F<br>iptables -F INPUT<br>#iptables -F OUTPUT<br>iptables -F FORWARD<br># Установка политик по умолчанию<br>iptables -P INPUT DROP<br>iptables -P FORWARD DROP<br>iptables -P OUTPUT ACCEPT<br># Разрешаем локальный интерфейс<br>iptables -A INPUT -i lo -j ACCEPT<br>iptables -A INPUT -s ********** -j DROP<br>iptables -A INPUT -s ****** -j DROP<br>iptables -A INPUT -s ***** -j DROP<br>iptables -I INPUT -p tcp --syn --dport 80 -m connlimit --connlimit-above 10 --connlimit-mask 24 -j DROP<br>iptables -I INPUT -p tcp --syn --dport 80 -m hashlimit --hashlimit-above 1/second --hashlimit-burst 20 --$<br># Простая защита от DoS-атаки<br>iptables -A INPUT -p tcp -m tcp --tcp-flags SYN,ACK,FIN,RST RST -m limit --limit 1/s -j ACCEPT<br># Защита от спуфинга<br>iptables -I INPUT -m conntrac https://www.opennet.ru/openforum/vsluhforumID10/5106.html#8 Thu, 17 Jan 2013 14:58:53 GMT &gt;&gt;[оверквотинг удален] <br>&gt; А как http протокол будет работать, ведь работает он через tcp а <br>&gt; ему необходимо подтверждения,, хотя я попробовал отключить все типы,,, вроде работает. <br><br>У IP/TCP/HTTP есть контрольные суммы и размеры в заголовках, <br>если заголовок битый или контрольная сумма не совпала, <br>пакеты убиваются и отправляются сообщения о запросе повтора,<br>иль просто молча убиваются. TCP соединение ваще тяжело прибить. <br><br>Говорю ж, ICMP полезен на промежуточных узлах, <br>на оконечных, типа сервера или клиента он бесполезен.<br><br>Максимум, что можно оставить - это ICMP-пакеты от маршрутизатора подсети сервера.<br> https://www.opennet.ru/openforum/vsluhforumID10/5106.html#7 Thu, 17 Jan 2013 11:56:01 GMT &gt;&gt;2013-01-15 18:42:07 ***** 200 65 0 "POST / HTTP/1.1" "-" "-" шлют пустые запросы <br>&gt; grep + awk + ipset <br>&gt; примеров тьма <br><br>ipset -N ddos iphash<br>iptables -A INPUT -p tcp -m tcp --dport 80 -m set --set ddos src -j DROP<br>while true; do tail -10000 /var/www/httpd-logs/site.ru.access.log &#124; sort &#124; cut -f 1 -d " " &#124; uniq -c &#124; awk '($1&gt;50){print $2}' &#124; xargs -tl -I _ ipset -A ddos _;sleep 30; done<br><br>Можете подсказать,,, как лучше разместить данное правило в моём конфиге или нужно вынести отдельно ? Просто сложилось мнение что из за while true может получиться зацикливание ???<br><br> https://www.opennet.ru/openforum/vsluhforumID10/5106.html#6 Thu, 17 Jan 2013 10:03:09 GMT &gt;[оверквотинг удален]<br>&gt; делает провайдер.<br>&gt; А пакеты с TTL меньше 30 ваще прибивать надо, ибо самый маленький <br>&gt; дефолтный только у линуксов - 64, если пакет прошел 30 хопов, <br>&gt; то такой клиент ваще не нужен, только сокет занимать пока пакет <br>&gt; туда-обратно по 5 секунд летать будет.<br>&gt; Битые заголовки - можно специально генерировать, теперь твой <br>&gt; задоссенный сервак, помимо отшиба соединений, должен будет <br>&gt; уведомлять отправителя о том, что мол битый пакет прислал.<br>&gt; ICMP сообщения, о том что поменялся маршрут, сам понимаешь, на сервеке не <br>&gt; упёрлись.<br><br>А как http протокол будет работать, ведь работает он через tcp а ему необходимо подтверждения,, хотя я попробовал отключить все типы,,, вроде работает.<br> https://www.opennet.ru/openforum/vsluhforumID10/5106.html#5 Wed, 16 Jan 2013 17:05:45 GMT &gt;&gt;2013-01-15 18:42:07 ***** 200 65 0 "POST / HTTP/1.1" "-" "-" шлют пустые запросы <br>&gt; grep + awk + ipset <br>&gt; примеров тьма <br><br>Да это обычные скан-боты, проверяют жив-нежив. <br>(D)DOS-клиент делает только TCP/IP-рукопожатия, <br>устанавливает ESTABL. и вываливается в паузу.<br><br> https://www.opennet.ru/openforum/vsluhforumID10/5106.html#4 Wed, 16 Jan 2013 16:58:47 GMT &gt;2013-01-15 18:42:07 ***** 200 65 0 "POST / HTTP/1.1" "-" "-" шлют пустые запросы<br><br>grep + awk + ipset<br>примеров тьма<br> https://www.opennet.ru/openforum/vsluhforumID10/5106.html#3 Wed, 16 Jan 2013 16:50:57 GMT &gt;&gt;&gt; # Разрешение главных типов протокола ICMP <br>&gt;&gt; Если ответишь зачем тебе ICMP, расскажу дальше.<br>&gt; для обмена служебной информации между web и удалённым хостом, <br><br>Ну в двух словах - он нафиг не нужен. За тебя всё делает провайдер.<br>А пакеты с TTL меньше 30 ваще прибивать надо, ибо самый маленький <br>дефолтный только у линуксов - 64, если пакет прошел 30 хопов, <br>то такой клиент ваще не нужен, только сокет занимать пока пакет <br>туда-обратно по 5 секунд летать будет.<br><br>Битые заголовки - можно специально генерировать, теперь твой <br>задоссенный сервак, помимо отшиба соединений, должен будет <br>уведомлять отправителя о том, что мол битый пакет прислал.<br><br>ICMP сообщения, о том что поменялся маршрут, сам понимаешь, на сервеке не упёрлись. <br> https://www.opennet.ru/openforum/vsluhforumID10/5106.html#2 Wed, 16 Jan 2013 07:32:57 GMT &gt;&gt; # Разрешение главных типов протокола ICMP <br>&gt; Если ответишь зачем тебе ICMP, расскажу дальше.<br><br>для обмена служебной информации между web и удалённым хостом,<br><br>3,11,12 являются обязательными типами icmp сообщений: 3 ошибки , 11 TTL, 12, ошибки в Ip заголовке.<br>Но меня не пытаються досить с помощью icmp, проблема такова <br><br>2013-01-15 18:42:07 ***** 200 65 0 "POST / HTTP/1.1" "-" "-" шлют пустые запросы<br><br> https://www.opennet.ru/openforum/vsluhforumID10/5106.html#1 Tue, 15 Jan 2013 18:47:14 GMT &gt; # Разрешение главных типов протокола ICMP<br><br>Если ответишь зачем тебе ICMP, расскажу дальше. <br>