Poslao: 26 Sep 2006 01:47
|
offline
- ][v][ A T R I X™
- Legendarni građanin
- Pridružio: 28 Apr 2005
- Poruke: 3686
- Gde živiš: The Circle
|
@Dark: pretpostavljam da koriste dinamicki IP tako da jedino da banuje ceo IP opseg tog provajdera Tako da to nije resenje...
Efikasna zastita ne postoji, osim u nekom hardware-skom obliku, tipa Cisco router koji ima dobru zastitu od DDoS napada. Al' dzaba kad server nije 'kuci' A i odakle kinta za takav Cisco..
Peco da probas da ogranicis CPU load, verujem da kada se posalje ovakav zahtev usage znatno skoci?
|
|
|
Registruj se da bi učestvovao u diskusiji. Registrovanim korisnicima se NE prikazuju reklame unutar poruka.
|
|
|
Poslao: 02 Nov 2006 23:31
|
offline
- Peca
- Glavni Administrator
- Predrag Damnjanović
- SysAdmin i programer
- Pridružio: 17 Apr 2003
- Poruke: 23211
- Gde živiš: Niš
|
E to mi treba!
Hvala.
Bas da vidimo kako ce se pokazati kad ga stavim.
Dopuna: 02 Nov 2006 18:31
Promenili su naziv projekta.
Sad je - http://www.zdziarski.com/projects/mod_evasive/
Dopuna: 02 Nov 2006 18:48
Samo me kopka kako ce se snaci sa gif/png/jpg fajlovima, jer svaki browser zaspe server zahtevima za slikama, sto ovaj filter NE bi trebao da detektuje kao flood.
Al dobro, ceo modul je u jednom omanjem .c fajlu, a ja znam C, pa mogu da modifikujem modul po zelji.
Dopuna: 02 Nov 2006 19:14
jok, nema nikakvu proveru za gif/png/jpg
moracu da ga doradim
Dopuna: 02 Nov 2006 22:31
ispod:
/* BEGIN Evasive Maneuvers Code */
if (r->prev == NULL && r->main == NULL && hit_list != NULL) {
dodati:
int len = strlen (r->uri)-4;
if (len>0)
{
char temp_buf[5];
temp_buf[0]=tolower(*(r->uri+len));
temp_buf[1]=tolower(*(r->uri+len+1));
temp_buf[2]=tolower(*(r->uri+len+2));
temp_buf[3]=tolower(*(r->uri+len+3));
temp_buf[4]=0;
if (strcmp(temp_buf+1, "png")==0) return OK;
if (strcmp(temp_buf+1, "jpg")==0) return OK;
if (strcmp(temp_buf, "jpeg")==0) return OK;
if (strcmp(temp_buf+1, "gif")==0) return OK;
if (strcmp(temp_buf+1, "css")==0) return OK;
}
To eliminise iz filtera gif/png/jpg/jpeg/css.
Ovo je modifikacija za Apache 1.3.x
modul je instaliran na server...
videcemo kako ce se ponasati...
|
|
|
|
Poslao: 11 Dec 2006 06:14
|
offline
- Pridružio: 25 Maj 2005
- Poruke: 1482
- Gde živiš: Gracanica, Kosovo
|
Trazeci informacije vezano za syn flood napade (zapravo za packet filter - pf) naisao sam na ovo za iptables. Mozda bude od koristi.
Citat:iptables is being configured to allow the firewall to send ICMP echo-requests (pings) and in turn, accept the expected ICMP echo-replies.
Consider another example
iptables -A INPUT -p icmp --icmp-type echo-request \
-m limit --limit 1/s -i eth0 -j ACCEPT
The limit feature in iptables specifies the maximum average number of matches to allow per second. You can specify time intervals in the format /second, /minute, /hour, or /day, or you can use abbreviations so that 3/second is the same as 3/s.
In this example, ICMP echo requests are restricted to no more than one per second. When tuned correctly, this feature allows you to filter unusually high volumes of traffic that characterize denial of service (DOS) attacks and Internet worms.
iptables -A INPUT -p tcp --syn -m limit --limit 5/s -i eth0 -j ACCEPT
You can expand on the limit feature of iptables to reduce your vulnerability to certain types of denial of service attack. Here a defense for SYN flood attacks was created by limiting the acceptance of TCP segments with the SYN bit set to no more than five per second.
Mislim da je ovo Dark vec napomenuo.
Par referenci:
http://www.cyberciti.biz/tips/linux-iptables-7-how.....ttack.html
http://pikt.org/pikt/samples/iptables_syn_flood_programs.cfg.html
Jel bilo jos napada od tada?
|
|
|
|
|
Poslao: 12 Dec 2006 00:21
|
offline
- Pridružio: 25 Maj 2005
- Poruke: 1482
- Gde živiš: Gracanica, Kosovo
|
Peca ::
A ako neko krene syn flood, resicemo to ovako kao sto si naveo gore
Ne vidim razlog zasto to ne bi uradio vec sad,a ne da cekas da napad krene?Pa nemozes uvek da budes online...
Nego nesto me interesuje,koji je tacno napad bio i koliko je trajao?Vidim sklonio si log.
|
|
|
|
|
Poslao: 14 Dec 2006 19:25
|
offline
- Pridružio: 25 Maj 2005
- Poruke: 1482
- Gde živiš: Gracanica, Kosovo
|
Ah, izvini...ja mislio syn flood napad, moja greska.
|
|
|
|
Poslao: 29 Dec 2006 21:35
|
offline
- bocke
- Moderator foruma
- Glavni moderator Linux foruma
- Pridružio: 16 Dec 2005
- Poruke: 12524
- Gde živiš: Južni pol
|
Izdvojeno s obzirom da mislim da bi informacije iznete u postu mogle biti korisne jos nekome.
|
|
|
|