ddos atak na http [inac]
Matus fantomas Uhlar
uhlar na fantomas.sk
Středa Červen 25 10:10:30 CEST 2003
Michal Truban <miso na blackhole.sk> wrote:
->> > Teraz je tam load okolo 0,4. Apache bezi, ale nikto sa nan neconnectne.
-> On Tuesday 24 June 2003 18:24, Milan Kerslager wrote:
->> To je blbe, dosly Vam zdroje... co rika: netstat -pant?
-> ako dosli zdroje ? hardwarove je stroj v poriadku...
-> teda nerobi to ziaden load, ani nic podobne.. skor zaflooduje
-> vsetky spojenia, takze normalna poziadavka nemoze byt vybavena. (ak ste
-> mysleli toto)
co tvrdi error log? mozno by stacilo dvihnut ListenBackLog:
http://httpd.apache.org/docs/mod/core.html#listenbacklog
a k tomu sysctl -w net/ipv4/tcp_max_syn_backlog=1024 (napriklad)
->> Pokusil bych se i
->> zjistit, zda si ten trouba vubec o neco rekne (tj. jestli vubec prijde
->> GET neco\nHost: neco).
-> No sledoval som error logy apacha a zda sa, ze si stale pyta rozne *.avi,
-> *.mpg atd... par kont (3-4) sa tam vyskytuju permanentne... a z roznych
-> IP adries..
mod_throttle je tvoj kamarat...
->> Nicmene problem bude asi v tom, ze to nebude DDoS, ale jen "nekdo"
->> generuje datagramy s podvrzenymi zpatecnimi adresami. Tj. mozna by Vam
->> mohl pomoci provider, pokud by se podarilo vystopovat, odkud to prichazi
->> (no, jste velky zakaznik, treba Vam pomohou).
na toto by stacilo natvrdo zapnut syncookies
sysctl -w net/ipv4/tcp_syncookies=1
--
Matus "fantomas" Uhlar, uhlar na fantomas.sk ; http://www.fantomas.sk/
Warning: I don't wish to receive e-mail advertising to this address.
Varovanie: Nezelam si na tuto adresu dostavat akukolvek reklamnu postu.
It's now safe to throw off your computer.
Další informace o konferenci Linux