[/b/] [/d/] [/tu/] [/a/] [/ph/] [/wa/] [/cg/] [/t/] [/p/]

[Burichan] [Futaba] [Greenhell] [Gurochan] [Photon] - [Home] [Manage] [Archive]

[Return]
Posting mode: Reply
Leave these fields empty (spam trap):
Name
Link
Subject
Comment
File
Verification
Password (for post and file deletion)
  • Supported file types are: GIF, JPG, PDF, PNG
  • Maximum file size allowed is 20480 KB.
  • Images greater than 200x200 pixels will be thumbnailed.

File: 1359649329379.jpg -(368125 B, 1600x1200) Thumbnail displayed, click image for full size.
368125 No.88400  

есть сервак и его однотипно ддосят уже наверное год, регулярно меняя ботнеты. та часть ботнета что ддосит меня состоит обычно из 4-6 хостов и атака всегда одна и та же:

202.147.255.27.domain > 91.149.158.47.domain: [no cksum] 952+ [1au] ANY? ripe.net. ar: . OPT UDPsize=4096 OK (38)
19:44:04.576548 IP (tos 0x0, ttl 121, id 25957, offset 0, flags [DF], proto UDP (17), length 66)

задача как угодно автоматически банить такую вот хрень, можно даже по очень грубому условию в духе если больше 100 любых запросов за 10 секунд - бан на час. если сделать такое - проблема решится полностью.

вопрос - как бы не писать это самому, а взять готовое?

если готового нет, как проще всего слепить это из говна и палок

snort только что смотрел - штука замороченная, а где там написано про автоматизацию добавления правил в iptables я как-то даже и не нашел.

так же в этом треде можно подуцировать нелепые домыслы на тему того, кто и зачем нас ддосит, айпишник я спалил в общем-то специально.

айпишники хостов из ботнета тоже могу спалить без проблем.

причем по косвенным признакам, ддосить начали намного раньше, когда сервак еще никому известен небыл. он и сейчас не особо то кому-то нужен

такое впечатление, что нас ддосят за госбюджет для галочки

>> No.88403  
File: 1359651750697.png -(85314 B, 1610x282) Thumbnail displayed, click image for full size.
85314

>>88400
Забань весь мир на неделю. Ботнет через некоторое время подумает, что ты мертв и покинет тебя :3

Алсо логов тред?

>> No.88404  

нашел вот это, почитал по диагонали и ушел собирать новое ядро
http://www.linuxquestions.org/questions/linux-server-73/iptables-rate-limit-to-block-ddos-931931/
все равно его уже давно обновлять пора

>> No.88405  

>>88403

>Забань весь мир на неделю. Ботнет через некоторое время подумает, что ты мертв и покинет тебя :3

есть и такой вариант, но гарантировать нельзя, хз какая у него логика удаления серваков из базы

>Алсо логов тред?

ну например каких?

>> No.88407  
File: 1359652673917.jpg -(29323 B, 544x400) Thumbnail displayed, click image for full size.
29323

>>88405

>ну например каких?

Да каких хочешь. Зачем мне тебя ограничивать.
http://www.fsckin.com/2007/09/24/189-humorous-unix-errors/

>> No.88410  
File: 1359657666955.jpg -(354626 B, 1000x900) Thumbnail displayed, click image for full size.
354626

>>88400
Если линух то используй iptables -m recent, как раз позволяет реализовать что-то в духе "100 любых запросов за 10 секунд - бан на час".



Delete Post []
Password

[/b/] [/d/] [/tu/] [/a/] [/ph/] [/wa/] [/cg/] [/t/] [/p/]