Re: Чем защищаться от DoS?
Kirill Shatalaev wrote:
> Приветствую.
>
> У меня VPS на Debian Etch, ядро 2.6.18-028stab059.5-ent
>
> Собственно, DoS-ят VDS, причём достаточно примитивно:
>
> Первая мысль:
> # iptables -A INPUT -p tcp --dport 80 -m connlimit --connlimit-above 5
> -j DROP
Если уж на то пошло, то лучше использовать hashlimit, поскольку он ограничивает
число соединений не для всех IP, а для каждого в отдельности. Иначе DoS-атака
окажется успешной, т.к. все разрешенные соединения будут идти только с IP
атакующего.
>
> В ответ отлуп:
> iptables: No chain/target/match by that name
>
> Поддержка в iptables есть:
> #iptables -m connlimit -h
>
> connlimit v1.3.6 options:
> [!] --connlimit-above n match if the number of existing tcp
> connections is (not) above n
> --connlimit-mask n group hosts using mask
Это означает только то, что управляющая программа iptables поддерживает
синтаксис для этого модуля. Без предварительного modprobe ipt_connlimit ничего
работать не будет.
>
> Обратился в техподдержку хостера - в ответ отлуп: бла-бла-бла невозможно
> добавить в ВПС данные модули.
>
> В общем, очаровательно, и чего же мне делать теперь? Какие есть
> альтернативы? Прошу помощи.
>
Настраивайте в Apache количество соединений с одного IP с помощью модуля
mod_limitipconn. Обращайтесь к хостеру, чтобы он предоставил какие-то средства
для бана по IP, хотя бы tcp_wrapper какой-нибудь.
Reply to: