Re: Множественные подключения с локального вненего айпи, на порт апача

[Anatoly Molchanov <ykdosto@gmail.com>]

На всякий случай можно ограничить число одновременных коннектов с хоста:
iptables -I INPUT 1 -p tcp -m tcp --dport 80 --tcp-flags FIN,SYN,RST,ACK SYN -m connlimit --connlimit-above 15 --connlimit-mask 32 -j DROP

Для отброса пакетов с определенных хостов используется ipset:
ipset -N blacklist iphash
iptables -A INPUT -p tcp -m tcp --dport 80 -m set --set blacklist src -j DROP

* пополнение blacklist'а через man ipset

По стране банить можно так:
http://blogs.hub21.ru/blog/linux/173.html
* вам Германия мешает немного

16 ноября 2012 г., 2:25 пользователь Anatoly Molchanov <ykdosto@gmail.com> написал:

http://nginx.org/ru/docs/http/ngx_http_limit_req_module.html, для особо наглых:
iptables -I INPUT -m iprange --src-range 41.97.0.0-41.129.243.200 -j DROP

16 ноября 2012 г., 1:49 пользователь Anatoly Molchanov <ykdosto@gmail.com> написал:

Судя по логу, нужно  смотреть в "tcpdump -i ВНЕШНИЙ_ИНТЕРФЕЙС 'port 80'" за 5 минут. Сравнивайте с обычной статистикой посещений.

Ваш сервер не на Hetzner'е ли?

15 ноября 2012 г., 23:43 пользователь Belskii Artem <belski@ua.fm> написал:

А вам не кажется, что вас пытаются за ДДоСить? С 176.241.84.1,
например, около 90 SYN_RECV.

Вожможно что и так, но меня больше волнует то, что
netstat -an | grep tcp | awk '{print $5}' | cut -d: -f1 | sort -n | uniq -c | more

среди прочего показывает

  11742 127.0.0.1

при чем что там коннекты такого вида:
tcp        0      0 127.0.0.1:45465 127.0.0.1:9000          TIME_WAIT   -

С уважением,
Бельский Артем.


--
To UNSUBSCRIBE, email to debian-russian-REQUEST@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmaster@lists.debian.org

Archive: [🔎] 50A545F5.9070008@ua.fm" target="_blank">http://lists.debian.org/[🔎] 50A545F5.9070008@ua.fm