|
Действия ...
Новые сообщения [новые:0]
Дайджест
Горячие темы
Избранное [новые:0]
Форумы
Пользователи
Статистика
Статистика нагрузки
Мод. лог
Поиск
|
|
16.08.2014, 15:20
|
|||
|---|---|---|---|
|
|||
iptables - мистика или кривые руки? |
|||
|
#18+
Есть злющий бот, который подключается одним коннектом к приложению на порте 555 и начинает флудить. Мои правила iptables: iptables -A INPUT -p tcp --dport 555 -m conntrack --ctstate NEW -m limit --limit 1/minute --limit-burst 10 -j ACCEPT iptables -A INPUT -p tcp --dport 555 -m conntrack --ctstate ESTABLISHED,RELATED -m limit --limit 1/minute --limit-burst 10 -j ACCEPT iptables -A INPUT -p tcp --dport 555 -j DROP Вот так я ловлю пакеты с tcpdump: tcpdump -v -n -w -p port 555 and host %%%% Как только начинает атака, tcpdump показывает, что 500 packets captured за пару секунд и цифра больше не растет. 500 пакетов хватает, чтобы полностью убить приложение. Почему оно принимает 500 пакетов, если я ограничил до 11 (10+1?) в минуту? Мой sysctl (я плохо разбираюсь в этих настройках) net.ipv4.conf.all.rp_filter=1 net.ipv4.conf.lo.rp_filter=1 net.ipv4.conf.eth0.rp_filter=1 net.ipv4.conf.default.rp_filter=1 net.ipv4.conf.all.accept_source_route=0 net.ipv4.conf.lo.accept_source_route=0 net.ipv4.conf.eth0.accept_source_route=0 net.ipv4.conf.default.accept_source_route=0 net.ipv4.conf.all.accept_redirects=0 net.ipv4.conf.all.secure_redirects=0 net.ipv4.conf.all.send_redirects=0 net.ipv4.tcp_max_orphans=65536 net.ipv4.tcp_synack_retries=1 net.ipv4.tcp_fin_timeout=10 net.ipv4.tcp_keepalive_time=60 net.ipv4.tcp_keepalive_intvl=15 net.ipv4.tcp_keepalive_probes=5 net.ipv4.tcp_max_syn_backlog=4096 net.ipv4.tcp_mem="50576 64768 98152" net.ipv4.tcp_rmem="4096 87380 16777216" net.ipv4.tcp_wmem="4096 65536 16777216" net.ipv4.tcp_syncookies=1 net.ipv4.tcp_orphan_retries=0 net.ipv4.netfilter.ip_conntrack_max=1048576 net.ipv4.tcp_timestamps=1 net.ipv4.tcp_sack=1 #net.ipv4.tcp_congestion_control=htcp #net.ipv4.tcp_no_metrics_save=1 #net.ipv4.ip_local_port_range="1024 65535" net.ipv4.tcp_tw_reuse=1 net.ipv4.tcp_window_scaling=1 net.ipv4.tcp_rfc1337=1 net.ipv4.ip_forward=0 net.ipv4.icmp_echo_ignore_broadcasts=1 net.ipv4.icmp_ignore_bogus_error_responses=1 net.core.somaxconn=32768 net.core.netdev_max_backlog=1000 net.core.rmem_default=65536 net.core.wmem_default=65536 net.core.rmem_max=16777216 net.core.wmem_max=16777216 vm.swappiness=60 #vm.vfs_cache_pressure=100 net.ipv4.conf.all.log_martians=0 # ipv6 settings (no autoconfiguration) net.ipv6.conf.default.autoconf=0 net.ipv6.conf.default.accept_dad=0 net.ipv6.conf.default.accept_ra=0 net.ipv6.conf.default.accept_ra_defrtr=0 net.ipv6.conf.default.accept_ra_rtr_pref=0 net.ipv6.conf.default.accept_ra_pinfo=0 net.ipv6.conf.default.accept_source_route=0 net.ipv6.conf.default.accept_redirects=0 net.ipv6.conf.default.forwarding=0 net.ipv6.conf.all.autoconf=0 net.ipv6.conf.all.accept_dad=0 net.ipv6.conf.all.accept_ra=0 net.ipv6.conf.all.accept_ra_defrtr=0 net.ipv6.conf.all.accept_ra_rtr_pref=0 net.ipv6.conf.all.accept_ra_pinfo=0 net.ipv6.conf.all.accept_source_route=0 net.ipv6.conf.all.accept_redirects=0 net.ipv6.conf.all.forwarding=0 ... |
|||
|
:
Нравится:
Не нравится:
|
|||
|
|
|
17.09.2014, 01:07
|
|||
|---|---|---|---|
|
|||
iptables - мистика или кривые руки? |
|||
|
#18+
Vladimit04, tcpdump будет ловить пакеты независимо от правил iptables, поскольку вылавливает их раньше, чем применяются фильтры. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
|
|
|
17.09.2014, 10:43
|
|||
|---|---|---|---|
iptables - мистика или кривые руки? |
|||
|
#18+
VitalkaDrug, если внимательно читать, то видно, что описывается другое приложение, а не tcpdump. к приложению они доходят несмотря на установленные ограничения в iptables. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
|
|
|
17.09.2014, 10:47
|
|||
|---|---|---|---|
iptables - мистика или кривые руки? |
|||
|
#18+
netwindVitalkaDrug, если внимательно читать, то видно, что описывается другое приложение, а не tcpdump. к приложению они доходят несмотря на установленные ограничения в iptables. tcpdump показывает что творится непосредственно на интерфейсе, и по его данным судить сколько реально пакетов дошло до приложения нельзя. Не исключено,что приложение падает даже от 10 конектов. Надо смотреть логи непосредственно приложения ... |
|||
|
:
Нравится:
Не нравится:
|
|||
|
|
|
start [/forum/topic.php?fid=25&tablet=1&tid=1482379]: |
0ms |
get settings: |
10ms |
get forum list: |
13ms |
check forum access: |
3ms |
check topic access: |
3ms |
track hit: |
159ms |
get topic data: |
11ms |
get forum data: |
3ms |
get page messages: |
44ms |
get tp. blocked users: |
1ms |
| others: | 257ms |
| total: | 504ms |
| 0 / 0 |
Извините, этот баннер — требование Роскомнадзора для исполнения 152 ФЗ.
«На сайте осуществляется обработка файлов cookie, необходимых для работы сайта, а также для анализа использования сайта и улучшения предоставляемых сервисов с использованием метрической программы Яндекс.Метрика. Продолжая использовать сайт, вы даёте согласие с использованием данных технологий».
... ля, ля, ля ...
