[LinuxEmpire] ismét ....

Harka Gyozo carlos at gamma.ttk.pte.hu
2010. Jún. 9., Sze, 09:21:11 CEST


Ha a szerver kihasználtsága üzemben tényleg elég alacsony és memóriája van
elég, akkor én nem csak a tűzfallal játszanék, hanem akár egy apache mod
proxyval szolgálnám ki az oldalakat, és akkor az egyszerű ( had ne mondjam:
gagyi ), php-s, java-s, egyéb fórummotorok és dinamikus oldalak amik minden
megtekintéskor SQL-hez nyúlnak, futtatni kell őket, stb. sokat
gyorsulhatnának, kis cpu és adatbázis load mellett. Ez érdekes módon a DOS,
DDOS támadásoknál kiugróan sokat segít, mivel általában nem vesződnek azzal
hogy mindig más paraméterekkel kérjék le az oldalakat ( a legtöbb kész, ilyen
célra használható program sem igen tudja ), így aztán a mod proxy cache-ből
olyan teljesítményt és terhelést nyújt mintha csak statikus tartalmat
szolgáltatnánk (azaz az első lekérésnél bekerül a memóriába, és utána már
onnan megy)... e mellett a proxyval könnyen gyorsan kényelmesen tiltható (
ACL-ekkel ) egy bizonyos weboldal egy bizonyos IP-ről/tartományból, amivel el
lehet kapni egy DDOS néhány nagyobb sávszélességű résztvevőjét, vagy akár egy
bizonyos "user agent" súlyozható negatívan - nyilván az amit a DDOS
progijuknak hamisítani van kedve.

A Janu-féle tűzfal szabályok szintaktikailag helyesnek tűnnek, azt én is csak
hangsúlyozni tudom hogy a konkrét számértékeket ( 15/minute ) nem szabad
aranyszabálynak tekinteni, függ attól hogy a flood mellett mekkora az oldalak
normál látogatottsága, illetve hogy egy IP-n hány virtuális oldalt szolgál ki
a szerver, stb, és persze ha az ember bármit limitál, jó ha előtte mindig
whitelistel, tehát azokat az IP-ket amikről managel még előtte egy ACCEPT-re
vezeti (ja és előfordulhat hogy nem a FORWARD láncba kell tenni a limiteket
(ha magán a kiszolgáló szerveren kell megvalósítani a szűrést), de ezt nyilván
az üzemeltető is tudni fogja). Az apache-ot eleve lehet kicsit tuningolni (
körül kell nézni az mpm-eknél ).

Zsebtyson: legközelebb, vagy akár most is ha konkrétum van: e-mail :)
Ennek a levélnek az elején is ott a címem;

Janu: azért a phpBB nem szokott SQL hibákat dobni timeout-os problémáknál,
üzemeltetek egy párat én is, jópár éve :) A verzióemelést egyébként a többi
csillivillivel kontrasztban említettem. Ja és persze amikor másodszorra jött
elő a hibaüzenet, már futott a wireshark, nem volt semmiféle időtúllépés az
oldal felé... csak nem akartam csatolni a log-ot, egyrészt mert http, és benne
van a jelszavam, másrészt nem akartam vele fárasztani a listát ;)
De mindegy is, ahogy Tyson említette, nyilván az éjjeli "karbantartók",
gondolom dumpolgatás, egyebek megy ezerrel, és persze egy dump az lockol is
táblát. Márpedig bejelentkezéskor leírja a phpBB hogy beléptem;


On Wed, 9 Jun 2010 08:44:03 +0200, G. J. Hazai wrote
> Hirtelenjében két dolgot tudok javasolni (de kérem derive-t, hogy 
> mondjon ő is véleményt, mert most rögtönzök):
> 
> - ha a DDOS pl. sűrű pingelésekkel történik, le kellene tiltani 
> az ICMP csomagokat. - SYN/FLOOD jellegű támadásnál lehet 
> maximalizálni a fogadható csomagok számát, valahogy így:
> 
> iptables -A FORWARD -p tcp --tcp-flags ALL FIN,URG,PSH -m limit -
> -limit 15/minute -j DROP iptables -A FORWARD -p tcp --tcp-flags SYN,
> RST SYN,RST -m limit --limit 15/minute -j DROP iptables -A FORWARD 
> -p tcp --tcp-flags SYN,FIN SYN,FIN -m limit --limit 15/minute -j DROP
> 
> Nyilván egy nagyobb forgalmú helyen magasabb értéknek van értelme.
> 
> Lehet, hogy icmp esetén is lehet "csak" korlátozni a fogadott 
> csomagok számát, én még nem próbáltam.
> -- 
> ---[janu]---
> registered Linux user #46079
> homepage: http://www.janu.hu
> gpg --keyserver hkp://pgp.mit.edu --recv-keys 7AE6D529
> fingerprint: 48AD 937E EBF7 46EE 06E6  81FC 3DC2 06A7 7AE6 D529


HARKA Győző
--
Pécsi Tudományegyetem Természettudományi Kar (http://www.ttk.pte.hu)



További információk a(z) Empire levelezőlistáról