Strona 3 z 3 PierwszyPierwszy 123
Pokaż wyniki 21 do 29 z 29

Temat: Zabezpieczenie serwera www przed DDOS

  1. #21

    Domyślnie

    jednak limit polaczen na IP sie nie sprawdzil, proces apache 500 mb ramu zzera
    firewall sygate czesc FLOODow lapie

  2. #22

  3. #23

    Domyślnie

    Przeszedlem jakis czas temu na serwer dedykowany.

    Wracajac do rzeczywistosci - ataki znowu sie powtarzaja, sam Firewall (Sygate) nic nie wykrywa.
    Na serwerze dzialaja inne uslugi, z ktorymi nie ma problemu, a sam Apache wisi.

    Sprawdzalem czy to nie jest czasem wina kodu stronki - nie jest, poniewaz dawalem nawet ladowanie czystego pliku HTML z napisem "HELLO", ktory sie nie wczytal - wiec zapchane sa zasoby.

    Pozostaje mi pytanie:
    1. Jak przelaczyc to mpm_worker mpm_prefork w apachu? (sorry googlowalem, ale nic ciekawego nie znalazlem), a znajac zycie za tydzien moj topic z hack.pl bedzie top 1 na google pod kluczami mpm
    2. Jak wykryc te ataki, o ktorych Sygate nic nie wie?

  4. #24
    Zarejestrowany
    Jun 2006
    Skąd
    rand(.eu)
    Postów
    8,748

    Domyślnie

    Sygate to firewall, firewall blokuje bazujac na tym co zawiera pakiet - jesli pakiet idzie na odpowiedni port (tcp/80) i ma flage SYN to wpusci jako nowe polaczenie i dalej bedzie prowadzil sesje... wszystko sie zgadza - atak to nie DDoS probami polaczen (syn-flood) ale atak na HTTP a wiec najpierw leci 3-way handshake w TCP, pozniej GET do serwera, itd... jak apache nie wyrabia to serwer milczy - proste. Sygate nie ma prawa tego wykryc bo dla niego to sa poprawne polaczenia, zgodnie z regulka otwierajaca port 80.

    Co do apacza - w linuxach (ubuntu/debian) jest trywialnie - 'apt-get install apache2-mpm-prefork' i po sprawie, dalej tuning. Inne distro maja swoje pakiety i cos podobnego na 100% musi byc. Niestety mpm-worker ma spora ulomnosc i jak go lubilem bo lekki i wydajniejszy nieco, ciagnie mniej zasobow itd... to jak go odpowiednio potraktowac to mozna go zatkac nawet bez podnoszenia zuzycia CPU na serwerku i wszystkie uslugi dzialaja normalnie, poza serwerem WWW :-)
    ctrl-alt-del.cc - soft reset site for IT admins and other staff :-)

  5. #25

    Domyślnie

    hmmmm teraz rozumiem

    Jak wczesniej pisalem serwer musi opierac sie o Windowsa (wymagany MSSQL).
    Jest sporo materialow o modulach wspierajacych ochrone DDOS, jak zmienic mpm itepe, ale na windowsa nic ciekawego nie widzialem, dlatego tez pytam.

    PS to nie jest czasem tak, ze to sie opiera na fork()?

    PS2 - a moze sprobowac nginxa?

    PS3 - jak jest tyle polaczen na port 80 polaczonych, to gdzies musi sie dac chyba wylistowac, z ktorych IP idzie ich najwiecej i dojsc do tego IP, ktore ma FW zablokowac?
    Ostatnio edytowane przez rakoo : 06-08-2010 - 22:10

  6. #26
    Zarejestrowany
    Jun 2006
    Skąd
    rand(.eu)
    Postów
    8,748

    Domyślnie

    nginx na razie bym odpuscil... ostatnio mial slodziutka dziure choc z tego co pamietam jego tez mozna tak jak apacza...
    co do zmiany mpm - najlepiej w ten kierunek na poczatek albo jakies reverse proxy postawic i apacza na prawde przeniesc na inny port... jesli masz na maszynie perla mozesz perlbal albo haproxy (nie wiem czy na windowsa jest) i wskazac apacza na innym porcie jako back-end... wtedy polaczenia trafia do proxy ktore powinno odfiltrowac te dziwactwa i wpuscic wlasciwe zapytania

    btw - czy zapycha sie tylko apache czy cala maszyna (cpu 100%)?
    ctrl-alt-del.cc - soft reset site for IT admins and other staff :-)

  7. #27

    Domyślnie

    nie nie, tylko apache jest przeciazony
    CPU obciazenie sie waha 30-40%

    moze sprobuje z tym: How To: Harden the TCP/IP Stack

  8. #28
    Zarejestrowany
    Jun 2006
    Skąd
    rand(.eu)
    Postów
    8,748

    Domyślnie

    to nic nie da... daj w apaczu:
    - KeepAlive On
    - KeepAliveTimeout 3
    - Timeout 10

    to powinno zwiekszyc nieco wydajnosc ale jesli to jest to co mysle to i tak ataku nie powstrzymasz tym... zobacz Perlbal, masz szanse tym uciac nieco lipnego ruchu...
    ctrl-alt-del.cc - soft reset site for IT admins and other staff :-)

  9. #29

    Domyślnie

    sporo sie odmulilo dzieki keepalive, czekamy co dalej
    w razie czego bede dalej spamowal tutaj ^ ^

    dziekuje
    Ostatnio edytowane przez rakoo : 06-08-2010 - 23:04

Strona 3 z 3 PierwszyPierwszy 123

Zasady Postowania

  • Nie możesz zakładać nowych tematów
  • Nie możesz pisać wiadomości
  • Nie możesz dodawać załączników
  • Nie możesz edytować swoich postów
  •  
Subskrybuj