Вы здесьВопрос к опытным линуксоидам
Опубликовано пт, 09/10/2009 - 11:52 пользователем larin
Кто-нибудь может помочь настроить шейпер?
|
Вход на сайтПоиск по блогам и форумамUser menuПоследние комментарии
kusheyev RE:Правила пользования библиотекой Либрусек 2 часа
babajga RE:На краешке чуда 13 часов konst1 RE:Подайте бедному копеечку на книжку с литреса... 16 часов Саша из Киева RE:Секрет долголетия 1 день s_Sergius RE:Доступ 4 дня serafim68 RE:Заязочка 5 дней Саша из Киева RE:СССР - великое содружество народов-братьев 2 недели weis RE:Прошу переформатировать, распознать, etc... 2 недели Саша из Киева RE:Латинская Америка 2 недели Саша из Киева RE:Сказки старого филина 3 недели Саша из Киева RE:Микроюморески со всего света 3 недели Саша из Киева RE:Звёзды на рейде 3 недели Trinki RE:Цензура в книжном магазине 3 недели Саша из Киева RE:Улицы моего города 3 недели Isais RE:Древний Рим. Подборка книг 3 недели Саша из Киева RE:Обновление FictionBook Editor 1 месяц Саша из Киева RE:Лучезарный феникс 1 месяц PrePress RE:Что случилось с FTP? 1 месяц Впечатления о книгах
дядя_Андрей про Евменов: Охота на вепря (Крутой детектив, Триллер, Детективы: прочее)
27 03 Aleks_Sim, но текст-то оттуда. А обложка, уж больно простецкая. Мне эта больше нравится
Aleks_Sim про Евменов: Охота на вепря (Крутой детектив, Триллер, Детективы: прочее)
27 03 Не надо бы гордо писать ЛИТРЕС, там ведь обложка совсем другая
Дей про Путь Паладина
27 03 В целом понравилось, вполне неплохой образец МС. Особенно если закрыть глаза на рояли и нестыковки. За ГГ можно не переживать, а просто наблюдать, как он уничтожает врагов взмахом руки. Но! Но, блин. Почему он (и иногда другие ………
Belomor.canal про Анонимус: Дело бога Плутоса [litres] (Исторический детектив)
27 03 Затянуто - растянуто, но спустя пару глав мы видим очень живописное описание игрового рая в княжестве Монако, а также динамичные действия с неожиданными ходами и развязкой! Наш статский советник Загорский, как всегда (не ……… Оценка: хорошо
udrees про Карпов: Батый (Биографии и Мемуары)
25 03 Ну насколько это биография Батыя, не знаю, может у других даже этого нету, но книгу можно было назвать типа «монгольская империя и завоевания в 13 веке», «монголы и ханы в 13 веке» и т.д. Большая часть – это описание походов ……… Оценка: неплохо
udrees про Михайлов: Низший 8 [СИ litres] (Боевая фантастика, Героическая фантастика, Киберпанк, Самиздат, сетевая литература)
25 03 Повествование сдвинулось на следующий этап книги после Зомбилэнда. Описание все такое же кровавое и жестокое, отрезанные головы которыми играют в боулинг, вешают на гирляндах, пытки, сражения. Общение тоже жесткое, посыпанное ……… Оценка: отлично!
скунс про Ковтунов: Идеальный мир для Лекаря 14 [СИ] (Боевая фантастика, Юмор: прочее, Самиздат, сетевая литература)
25 03 Читать интересно,хорошая серия Оценка: хорошо
Lan2292 про Бермешев: Альма [СИ] (Боевая фантастика, Городское фэнтези, Самиздат, сетевая литература)
24 03 нравится этот жанр, но тут увы, не смогла читать, очень скучно.
Stanislaw Wartownik про Форчун: Демонический Любовник [The Demon Lover ru] (Мистика)
24 03 Книга неплоха, как и другие произвдения Форчун. Но ПЕРЕВОД просто БЕЗГРАМОТНЫЙ (Видать опять какая школьница из Цахапетовки перепыжилась, или просто сетевой/любительский подстрочник поспешно издали?) А ……… Оценка: неплохо
DGOBLEK про Иевлев: Палящий зной Араксы [СИ] (Боевая фантастика, Космическая фантастика, Попаданцы, Самиздат, сетевая литература)
23 03 Похрен на обложки - он внутри структуру не соблюдает, через онлайн проги конвертит, посмотрите на Йейтса его работа http://fb27.online/b/738328 1) Отсутствует разбивка на сборники - Кельтские сумерки, Истории о Рыжем Ханрахане, ………
alexk про Иевлев: Палящий зной Араксы [СИ] (Боевая фантастика, Космическая фантастика, Попаданцы, Самиздат, сетевая литература)
23 03 Коллеги, а вы заметили, что обложки дядиандрея становятся все более нечитаемыми, или это у меня бревно в глаз попало?
Isais про Николь: Рыцарь золотого веера [Lord of the Golden Fan ru] (Историческая проза, Исторические приключения)
23 03 Тот самый исторический случай, по мотивам которого написан "Сёгун" Клавелла. И снят новый сериал-экранизация. Только в отличие от Клавелла здесь действующие лица названы настоящими именами, больше внимания к личным переживаниям ……… Оценка: хорошо |
Комментарии
Отв: Вопрос к опытным линуксоидам
Помочь могу, email отправил .
Вот еще такая идейка возникла:
iptables -A INPUT -p tcp --dport 80 -m connlimit --connlimit-above 5 -j DROP
На сервере или на балансере сразу паразитный траффик упадет , так как браузер oкрывает ограниченное количество connections к серверу , к примеру IE8 oткывает 8, Firefox конечно не мелочится и может откыть и 15 , но и с 5-ю будет работать нормально. Ты не смотрел, сколько connection открывают ДДОС машины?
Но тут уже можно подобрать опытным путем.
Ещё можно изменить TCP congestion control алгоритм , скажем попробовать TCP-Vegas вместо TCP-Reno который используется по умолчанию.
Антон
Отв: Вопрос к опытным линуксоидам
К основному серверу connectionы открывают не ддос машины, а прокси. И как-то некузяво их в этом ограничивать.
Отв: Вопрос к опытным линуксоидам
Я и имел в виду использовать connlimit на прокси. Давай попробуем, мы всегда можем все вернуть в первоночальное состояние. Ну что , пишем скрипт?
Антон
Отв: Вопрос к опытным линуксоидам
connlimit не спасет, атака-то распределенная.
Да и на некоторых из proxy (которые vps) модули connlimit и recent не работают (но если и работали, особенно не помогли бы).
Отв: Вопрос к опытным линуксоидам
Вот тут очень бы помог tcpdump , чтобы увидеть сколько раз открвают порт DDOS машины. Что-то не верю я что они только окрывают 5-10 коннектов.
И ещё - интересно увидеть
cat /proc/net/ip_conntrack
с прокси.
Антон
Отв: Вопрос к опытным линуксоидам
И ещё - интересно увидеть cat /proc/net/ip_conntrack
[root@xxxxx ~]# cat /proc/net/ip_conntrack
cat: /proc/net/ip_conntrack: No such file or directory
[root@xxxxx ~]# iptables -A INPUT -p tcp --dport 80 -m connlimit --connlimit-above 15 -j DROP
iptables: Unknown error 4294967295
[root@xxxxx ~]# uname -a
Linux xxxxx 2.6.18-128.2.1.el5.028stab064.7 #1 SMP Wed Aug 26 15:47:17 MSD 2009 i686 i686 i386 GNU/Linux
[root@xxxxx ~]#
Отв: Вопрос к опытным линуксоидам
для использования connlimit ядро надо патчить. лучше hashlimit использовать. типа
iptables -A INPUT -p tcp -m tcp --dport 80 -m state --state new -m hashlimit --hashlimit 10/sec --hashlimit-burst 10 --hashlimit-mode srcip --hashlimit-name HTTP_DOS -j ACCEPT
Отв: Вопрос к опытным линуксоидам
Connlimit is in 2.6.25 , no patch needed , and server runs 2.6.25-14 , so we are ok.
Отв: Вопрос к опытным линуксоидам
> Linux xxxxx 2.6.18-128.2.1.el5.028stab064.7 #1 SMP Wed Aug 26 15:47:17 MSD 2009 i686 i686 i386 GNU/Linux
так патчить или нет?
Отв: Вопрос к опытным линуксоидам
можно поподробнее как и чем досят... IMHO трудно защитить север с помощью проксей если основной адрес светится в уведомлениях о регистрации... чаще всего помогает это...
#
iptables -A INPUT -p tcp -j bad_tcp_packets
iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -A INPUT -p tcp -m tcp --dport 80 -j allowed
#
iptables -A bad_tcp_packets -p tcp -m tcp --tcp-flags SYN,ACK SYN,ACK -m state --state NEW -j DROP
iptables -A bad_tcp_packets -p tcp -m tcp ! --tcp-flags FIN,SYN,RST,ACK SYN -m state --state NEW -j DROP
#
iptables -A allowed -p tcp -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -A allowed -p tcp -j DROP
#
могу для теста сделать прокси на основной сервер. отдам 10мегабит чисто с академическими целями... и оговоренными параметрами... вам отфильтрованный трафик мне ботсети и их хозяева?
Отв: Вопрос к опытным линуксоидам
А как можно вычислить бот-машины? IP spoofing разве не используют?
Отв: Вопрос к опытным линуксоидам
ну насчет хозяев я могу и шутить... насчет спуфинга режется он на раз. чтобы какойто вред принести надо чтобы прошло соединение SYN, SYN ACK, ACK. короче неважно вычисляется все... проще показать чем рассказать. обещаю в контент не лезть и пароли не снифирить ;) хозяину ресурса могу представиться в привате.
Отв: Вопрос к опытным линуксоидам
У некоторых провайдеров все же есть NAT (в России особенно распространено), в таких спуфинг не возможен (вернее внутри серой сети возможен, но на Либрусек все равно придет правильный src). Ну а в остальном все зависит от тех, кто в каждом конкретном случае занимается сетью... Технически способов препятствовать такому много, да и у провайдера есть своя заинтересованность в этом: ему ж еще и нужно трафик считать