Zabezpieczenie serwera www przed DDOS

[rakoo]

jednak limit polaczen na IP sie nie sprawdzil, proces apache 500 mb ramu zzera
firewall sygate czesc FLOODow lapie

[lem]

Flood Protection/DoS/DDoS Apache 1.3 and 2.0 - mod_dosevasive (Avoiding Denial of Service Attacks) - Crucial Paradigm

... i tak dalej...

[rakoo]

Przeszedlem jakis czas temu na serwer dedykowany.

Wracajac do rzeczywistosci - ataki znowu sie powtarzaja, sam Firewall (Sygate) nic nie wykrywa.
Na serwerze dzialaja inne uslugi, z ktorymi nie ma problemu, a sam Apache wisi.

Sprawdzalem czy to nie jest czasem wina kodu stronki - nie jest, poniewaz dawalem nawet ladowanie czystego pliku HTML z napisem "HELLO", ktory sie nie wczytal - wiec zapchane sa zasoby.

Pozostaje mi pytanie:
1. Jak przelaczyc to mpm_worker mpm_prefork w apachu? (sorry googlowalem, ale nic ciekawego nie znalazlem), a znajac zycie za tydzien moj topic z hack.pl bedzie top 1 na google pod kluczami mpm
2. Jak wykryc te ataki, o ktorych Sygate nic nie wie?

[TQM]

Sygate to firewall, firewall blokuje bazujac na tym co zawiera pakiet - jesli pakiet idzie na odpowiedni port (tcp/80) i ma flage SYN to wpusci jako nowe polaczenie i dalej bedzie prowadzil sesje... wszystko sie zgadza - atak to nie DDoS probami polaczen (syn-flood) ale atak na HTTP a wiec najpierw leci 3-way handshake w TCP, pozniej GET do serwera, itd... jak apache nie wyrabia to serwer milczy - proste. Sygate nie ma prawa tego wykryc bo dla niego to sa poprawne polaczenia, zgodnie z regulka otwierajaca port 80.

Co do apacza - w linuxach (ubuntu/debian) jest trywialnie - 'apt-get install apache2-mpm-prefork' i po sprawie, dalej tuning. Inne distro maja swoje pakiety i cos podobnego na 100% musi byc. Niestety mpm-worker ma spora ulomnosc i jak go lubilem bo lekki i wydajniejszy nieco, ciagnie mniej zasobow itd... to jak go odpowiednio potraktowac to mozna go zatkac nawet bez podnoszenia zuzycia CPU na serwerku i wszystkie uslugi dzialaja normalnie, poza serwerem WWW :-)

[rakoo]

hmmmm teraz rozumiem

Jak wczesniej pisalem serwer musi opierac sie o Windowsa (wymagany MSSQL).
Jest sporo materialow o modulach wspierajacych ochrone DDOS, jak zmienic mpm itepe, ale na windowsa nic ciekawego nie widzialem, dlatego tez pytam.

PS to nie jest czasem tak, ze to sie opiera na fork()?

PS2 - a moze sprobowac nginxa?

PS3 - jak jest tyle polaczen na port 80 polaczonych, to gdzies musi sie dac chyba wylistowac, z ktorych IP idzie ich najwiecej i dojsc do tego IP, ktore ma FW zablokowac?

[TQM]

nginx na razie bym odpuscil... ostatnio mial slodziutka dziure choc z tego co pamietam jego tez mozna tak jak apacza...
co do zmiany mpm - najlepiej w ten kierunek na poczatek albo jakies reverse proxy postawic i apacza na prawde przeniesc na inny port... jesli masz na maszynie perla mozesz perlbal albo haproxy (nie wiem czy na windowsa jest) i wskazac apacza na innym porcie jako back-end... wtedy polaczenia trafia do proxy ktore powinno odfiltrowac te dziwactwa i wpuscic wlasciwe zapytania

btw - czy zapycha sie tylko apache czy cala maszyna (cpu 100%)?

[rakoo]

nie nie, tylko apache jest przeciazony
CPU obciazenie sie waha 30-40%

moze sprobuje z tym: How To: Harden the TCP/IP Stack

[TQM]

to nic nie da... daj w apaczu:
- KeepAlive On
- KeepAliveTimeout 3
- Timeout 10

to powinno zwiekszyc nieco wydajnosc ale jesli to jest to co mysle to i tak ataku nie powstrzymasz tym... zobacz Perlbal, masz szanse tym uciac nieco lipnego ruchu...

[rakoo]

sporo sie odmulilo dzieki keepalive, czekamy co dalej
w razie czego bede dalej spamowal tutaj ^ ^

dziekuje