Libertonia
Portada · Todo · Software Libre · Desarrolladores · Comunidad · Internet · Tecnología · Meta · Diarios
Apache flood protection?

anigwei's Diary
Por anigwei
departamento anti_floodeadores , Sección Diarios
Puesto a las Tue Jul 22nd, 2003 at 01:06:48 AM CET
Bueeeno bueeeno.
Después de dar pol culo a todos los intentos de relay con mi postfix, gracias a la implementación del SMTP AUTH (y gracias a vosotros ;)) ahora veo que mi servidor tiene otro punto débil...

 


Hará un cuarto de hora su disco duro se ha vuelto loco, y sabiendo que el cron.X corre a las 6am, algo estaría pasando. Intento hacer SSH desde mi ordenador, y ni caso. Le enciendo el monitor, intento logear... y se me queda medio tonto. En pocos segundos veo: "Out of memory: Killed process XXXX (apache)".
Ya me lo estaba temiendo... me lo han floodeado con muchas peticiones www??

En vista de que no puedo logear, voy al otro ordenador y hecho un vistazo con el ettercap. Efestivamente, líneas y líneas de peticiones al puerto 80 de mi humilde Annys. Desgraciadamente la IP origen es un proxy de timofonica... o sea que el hijoputa tiene ADSL también.

Bueno, ahora os pido ayuda... qué me recomendais para que no me (le) vuelva a pasar algo por el estilo? Hay algun módulo del apache que banee una IP después de muchas connexiones? Qué usais vosotros?

Como siempre, eternamente agradecido!

Mientras escribo esto le he desconnectado el cable ETH, y el pobre no le hace caso ni al CTRL+ALT+SUPR... espero que un hard reset no me haga cascar el disco con tanta cosa abierta... tocandoo maderaaaa!!
< Llega 2.6.0-test (15 comments) | Documentando código Python: pydoc (3 comments) >
Enlaces Relacionados
· Annys
· More on anigwei's Diary
· Also by anigwei

Menu
· crear cuenta
· FAQ
· búsqueda
· Fuentes de Noticias

Login
Nueva cuenta
Usuario:
Contraseña:

Ver: Modo: Orden:
Apache flood protection? | 4 comentarios (4 temáticos, editoriales, 0 ocultos)
Prueba con iptables (none / 0) (#1)
por r00z a las Tue Jul 22nd, 2003 at 03:33:53 PM CET
(Información Usuario) http://r00z.ath.cx/

Para apache no sé pero supongo que lo puedes solucionar con un par de reglas del iptables (eso sí, no me preguntes cuales ;-) Si no recuerdo mal hay una extensión para limitar el número de conexiones desde una ip pero supongo que no te servirá si pasan a través de un proxy.



sacado del marmota (none / 0) (#3)
por emeteo (emeteo at escomposlinux.org) a las Tue Jul 22nd, 2003 at 08:35:58 PM CET
(Información Usuario) http://cernicalo.escomposlinux.org

Una ayudita...:

iptables -t filter -t TCPACCEPT -p tcp --syn -m limit --limit 20/s -j ACCEPT

Esto limitará a 20 conexiones por segundo. TCPACCEPT es una chain de usuario, que es a donde van a parar todos los paquetes tcp a aceptar.

[ Padre ]


 
usa el Abuse Luke... (none / 0) (#2)
por toomany a las Tue Jul 22nd, 2003 at 04:19:03 PM CET
(Información Usuario) http://www.toomany.net

También puedes enviar un emilio a "abuse@dominio_de_la_timo.xxx" explicándoles el problema y la posible denuncia que les puede caer, "a la voz de ya", por tener usuarios que ejercitan esas deplorables prácticas ;-)

BSD, the power for the people.
Have a nice day ;-) TooManySecrets


 
Log de IPs y flood (none / 0) (#4)
por atordo a las Thu Jul 24th, 2003 at 02:20:06 AM CET
(Información Usuario)

Puedes ver qué IP está usando el proxy configurando el apache al efecto. Viene explicado aquí.

En cuanto al flood, la verdad es que no tengo mucha idea de iptables (acabo de instalarlas), pero estoy probando esto:
# Cadena para evitar floods
$IPTABLES -N FLOOD
$IPTABLES -A FLOOD -s $LAN -j ACCEPT
$IPTABLES -A FLOOD -i lo -j ACCEPT
$IPTABLES -A FLOOD -i $DEV -m limit --limit 100/second -j ACCEPT
$IPTABLES -A FLOOD -i $DEV -m limit --limit 10/minute -j LOG --log-prefix "Flood: "
$IPTABLES -A FLOOD -i $DEV -j DROP
Luego abres el apache no con ACCEPT, sino con FLOOD:
$IPTABLES -A INPUT -i $DEV -p tcp --dport 80 -j FLOOD
Aquí el tema está en dar con el valor adecuado para el primer --limit (el segundo es más bajo para que no te revienten los logs). Hay que tener en cuenta que no son peticiones HTTP, sino paquetes TCP. Con 10/s, me tiraba paquetes simplemente viendo una página con algunos gráficos, con 100 aún no ha tirado ninguno (así que no sé si sirve para algo). Claro que tampoco es que el servidor tenga mucha carga.

A ver si alguien con más idea nos ilumina algo.



 
Apache flood protection? | 4 comentarios (4 temáticos, editoriales, 0 ocultos)
Ver: Modo: Orden:

ecol Logo Powered by Scoop
Todas las Marcas Registradas y copyrights de esta página son propiedad de sus respectivos dueños.
Los comentarios son propiedad del que los escribe.
Los iconos de las noticias y el logotipo son propiedad de Javier Malonda.
El Resto © 2002 Escomposlinux.org y aledaños.

Puedes sindicar los contenidos de libertonia en formato RSS 1.0 y RDF 0.9. También se puede sindicar la cola de envíos pendientes de moderación.

El proyecto escomposlinux.org está dedicado a la memoria de tas

crear cuenta | faq | búsqueda