We are happy to announce that Vesta is back under active development as of 25 February 2024. We are working on v1 candidate and expect to engage more with the community over the coming months. We are committed to open source, and we encourage contributors to help us build the future of Vesta.
DDOS-ят :(
DDOS-ят :(
Народ как боротся с DOSом ?
Атакуют часами по моему HTTP flood, сервер лежит
Пример:
85.101.73.30 - - [13/May/2017:03:02:00 -0400] "GET /?s=qweqw+ntlwcdov HTTP/1.0" 403 4880 "-" "Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/41.0.2227.0 Safari/537.36"
137.18.43.83 - - [13/May/2017:03:02:00 -0400] "GET /?s=qweqw+owtlihqq HTTP/1.0" 403 4880 "-" "Mozilla/5.0 (X11; Linux x86_64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/41.0.2227.0 Safari/537.36"
85.101.39.116 - - [13/May/2017:03:02:00 -0400] "GET /?s=qweqw+pqnsbpnp HTTP/1.0" 403 4880 "-" "Mozilla/5.0 (X11; Linux x86_64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/41.0.2227.0 Safari/537.36"
27.13.44.63 - - [13/May/2017:03:02:00 -0400] "GET /?s=qweqw+qjedffui HTTP/1.0" 403 4880 "-" "Mozilla/5.0 (Windows NT 6.1) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/41.0.2228.0 Safari/537.36"
Атакуют часами по моему HTTP flood, сервер лежит
Пример:
85.101.73.30 - - [13/May/2017:03:02:00 -0400] "GET /?s=qweqw+ntlwcdov HTTP/1.0" 403 4880 "-" "Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/41.0.2227.0 Safari/537.36"
137.18.43.83 - - [13/May/2017:03:02:00 -0400] "GET /?s=qweqw+owtlihqq HTTP/1.0" 403 4880 "-" "Mozilla/5.0 (X11; Linux x86_64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/41.0.2227.0 Safari/537.36"
85.101.39.116 - - [13/May/2017:03:02:00 -0400] "GET /?s=qweqw+pqnsbpnp HTTP/1.0" 403 4880 "-" "Mozilla/5.0 (X11; Linux x86_64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/41.0.2227.0 Safari/537.36"
27.13.44.63 - - [13/May/2017:03:02:00 -0400] "GET /?s=qweqw+qjedffui HTTP/1.0" 403 4880 "-" "Mozilla/5.0 (Windows NT 6.1) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/41.0.2228.0 Safari/537.36"
Re: DDOS-ят :(
Поставьте ConfigServer Security & Firewall и настройте конфигурацию,там есть лекарство против флуда по портам
Вот у меня вчера пытались
IP: 62.219.146.33 (IL/Israel/cablep-219-146-33.cablep.bezeqint.net)
Connections: 2416
Blocked: Temporary Block
---------------------------------------------------------------------------------------
IP: 85.12.220.70 (RU/Russian Federation/-)
Connections: 398
Blocked: Temporary Block
---------------------------------------------------------------------------------------
IP: 188.255.98.159 (RU/Russian Federation/broadband-188-255-98-159.moscow.rt.ru)
Connections: 1809
Blocked: Temporary Block
Вот у меня вчера пытались
IP: 62.219.146.33 (IL/Israel/cablep-219-146-33.cablep.bezeqint.net)
Connections: 2416
Blocked: Temporary Block
---------------------------------------------------------------------------------------
IP: 85.12.220.70 (RU/Russian Federation/-)
Connections: 398
Blocked: Temporary Block
---------------------------------------------------------------------------------------
IP: 188.255.98.159 (RU/Russian Federation/broadband-188-255-98-159.moscow.rt.ru)
Connections: 1809
Blocked: Temporary Block
Re: DDOS-ят :(
спасибо, попробую
Re: DDOS-ят :(
ConfigServer Security & Firewall не справляется
Re: DDOS-ят :(
Он включен,из тестового режима вывели?ars wrote:ConfigServer Security & Firewall не справляется
Если только поставили и ничего не настраивали то естественно не справится,там включено по минимуму.
Идём во вкладку ConfigServer Firewall там в конфигурацию файрвола и вот - https://habrahabr.ru/company/simnetworks/blog/247391/
В конфигурации файрвола ищете такие же значения,выставляете SYNFLOOD = "1" - это означает включено,просто ползунок перетяните - по умолчанию там вся защита практически отключна ибо это все надо настраивать и подбирать вручную под свой севрер.
Re: DDOS-ят :(
Code: Select all
cat /etc/sysconfig/iptables
*filter
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [16807:31509796]
-A INPUT -i lo -j ACCEPT
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -p tcp -m tcp --dport 21 -m state --state NEW -m recent --rcheck --seconds 6000 --name BLOCK --rsource -j DROP
-A INPUT -p tcp -m tcp --dport 21 -m state --state NEW -m hashlimit --hashlimit-above 2/min --hashlimit-burst 2 --hashlimit-mode srcip --hashlimit-name BLOCK -m recent --set --name BLOCK --rsource -j DROP
-A INPUT -p tcp -m tcp --dport 22 -m state --state NEW -m recent --rcheck --seconds 6000 --name BLOCK --rsource -j DROP
-A INPUT -p tcp -m tcp --dport 22 -m state --state NEW -m hashlimit --hashlimit-above 2/min --hashlimit-burst 2 --hashlimit-mode srcip --hashlimit-name BLOCK -m recent --set --name BLOCK --rsource -j DROP
-A INPUT -p tcp -m tcp --dport 22 --tcp-flags FIN,SYN,RST,ACK SYN -j ACCEPT
-A INPUT -p tcp -m tcp --dport 80 -m state --state NEW -m limit --limit 600/min --limit-burst 100 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 443 -m state --state NEW -m limit --limit 600/min --limit-burst 100 -j ACCEPT
-A INPUT -p tcp -m tcp --tcp-flags FIN,SYN,RST,ACK SYN -m limit --limit 1/sec -j ACCEPT
-A INPUT -p tcp -m tcp --tcp-flags FIN,SYN,RST,ACK SYN -j DROP
-A INPUT -p tcp -m tcp --tcp-flags FIN,SYN,RST,ACK RST -m limit --limit 1/sec -j ACCEPT
-A INPUT -p tcp -m tcp --tcp-flags FIN,SYN,RST,ACK RST -j DROP
-A INPUT -p icmp -m icmp --icmp-type 8 -m limit --limit 1/sec -j ACCEPT
-A INPUT -p icmp -m icmp --icmp-type 8 -j DROP
-A INPUT -j REJECT --reject-with icmp-host-prohibited
COMMIT
можно модифицировать так
Code: Select all
-A INPUT -p tcp -m tcp --dport 80 -m state --state NEW -m recent --rcheck --seconds 6000 --name BLOCK --rsource -j DROP
-A INPUT -p tcp -m tcp --dport 80 -m state --state NEW -m hashlimit --hashlimit-above 100/min --hashlimit-burst 100 --hashlimit-mode srcip --hashlimit-name BLOCK -m recent --set --name BLOCK --rsource -j DROP
-A INPUT -p tcp -m tcp --dport 443 -m state --state NEW -m recent --rcheck --seconds 6000 --name BLOCK --rsource -j DROP
-A INPUT -p tcp -m tcp --dport 443 -m state --state NEW -m hashlimit --hashlimit-above 100/min --hashlimit-burst 100 --hashlimit-mode srcip --hashlimit-name BLOCK -m recent --set --name BLOCK --rsource -j DROP
--rcheck --seconds 6000 - время на которое будет блокировать IP
--hashlimit-above 100/min --hashlimit-burst 100 значение подбирается
в данном примере динамическая таблица блокировок BLOCK общая для всего сервера закрывает 21, 22 при указанной модификации будет работать на 80 и 443 порты, т.е. если IP попал в таблицу с него будет закрыт доступ по 21, 22, 80, 443 портам на указанный промежуток времени.
ограчинение flood - 1 запрос в минуту
Code: Select all
-A INPUT -p tcp -m tcp --tcp-flags FIN,SYN,RST,ACK SYN -m limit --limit 1/sec -j ACCEPT
-A INPUT -p tcp -m tcp --tcp-flags FIN,SYN,RST,ACK SYN -j DROP
-A INPUT -p tcp -m tcp --tcp-flags FIN,SYN,RST,ACK RST -m limit --limit 1/sec -j ACCEPT
-A INPUT -p tcp -m tcp --tcp-flags FIN,SYN,RST,ACK RST -j DROP