ddos atak na http [inac]
Milan Kerslager
milan.kerslager na pslib.cz
Středa Červen 25 02:18:44 CEST 2003
On Tue, Jun 24, 2003 at 07:06:57PM +0200, Michal Truban wrote:
> Dobry den,
>
> On Tuesday 24 June 2003 18:24, Milan Kerslager wrote:
>
> > > Teraz je tam load okolo 0,4. Apache bezi, ale nikto sa nan neconnectne.
> > To je blbe, dosly Vam zdroje... co rika: netstat -pant?
> ako dosli zdroje ? hardwarove je stroj v poriadku...
> teda nerobi to ziaden load, ani nic podobne.. skor zaflooduje
> vsetky spojenia, takze normalna poziadavka nemoze byt vybavena. (ak ste
> mysleli toto)
Apache ma maximalni pocet potomku, ktere obsluhuji prichozi spojeni.
Sledovat to muzete na Handleru server-status a server-info (viz.
httpd.conf). Tenhle limit muzete vycerpat brzo (viz MaxClients & spol).
http://httpd.apache.org/docs-2.0/misc/perf-tuning.html
> > Pokusil bych se i
> > zjistit, zda si ten trouba vubec o neco rekne (tj. jestli vubec prijde
> > GET neco\nHost: neco).
> No sledoval som error logy apacha a zda sa, ze si stale pyta rozne *.avi,
> *.mpg atd... par kont (3-4) sa tam vyskytuju permanentne... a z roznych
> IP adries..
>
> skusil som to vyriesit tak, ze som zmazal konta (aj z dns atd.., takze imho by
> sa tym uz apache nemal riadit.. avsak musim pockat kym sa nacachuju dns..
> ak netrepem sprostosti)
To zalezi na tom, jestli ten kdo Vas hammeruje pouziva DNS nebo IP.
Omezovat muzete i pomoci direktiv:
http://httpd.apache.org/docs-2.0/mod/core.html#location
http://httpd.apache.org/docs-2.0/mod/core.html#locationmatch
Asi to bude nepatrne narocnejsi, nez neexistujici adresar (a mene
destruktivni pro zakaznika).
--
Milan Kerslager
E-mail: milan.kerslager na pslib.cz
WWW: http://www.pslib.cz/~kerslage/
Další informace o konferenci Linux