Autor Zpráva
zeroyd
Profil *
zdarec,
potreboval bych poradit s konfiguraci serveru na kterej mam neustale pozadavky z neplatnych ip adres a kazdou vterinu.
mam nainstalovany mod_security, mod_dosevasive,mod_evasive,sysctl, a nejaky konfigurace, ale nic z toho mi nechce ty pozadavky prerusit.
jak se teda branit? mate s tim nekdo nejakou zkusenost?

diky

z.

Moderátor Davex: Tvůj projev je špatně srozumitelný, piš prosím s diakritikou.
Davex
Profil
Co považuješ za "neplatné IP adresy"? Na to by měl stačit vhodně nakonfigurovaný firewall.
zeroyd
Profil *
ip na kterou si nepingnu.
firewall je nakonfigurovanej, a jak jsem psal co tam je. treba v sysctl tohle coz by melo takovy pozadavky na webovy stranky odrazit:
# Enable IP spoofing protection, turn on source route verification
net.ipv4.conf.all.rp_filter = 1
net.ipv4.conf.lo.rp_filter = 1
net.ipv4.conf.eth0.rp_filter = 1
net.ipv4.conf.default.rp_filter = 1

ale stejne si to na stranky dostane.
Davex
Profil
zeroyd:
ip na kterou si nepingnu.
To ale neznamená, že je to neplatná IP adresa. Znamená to jen to, že stroj s touto IP adresou neodpovídá na pingy.

IP spoofing protection
Zapnutý rp_filter jen hlídá, zda paket s nějakou zdrojovou adresou přichází ze síťového rozhraní, ze kterého by přijít měl - má to smysl pouze na routerech/firewallech s více interfejsy, které jsou připojené do různých sítí.

Pokud je problém jen s pevnou množinou IP adres, tak od nich všechny pakety ve firewallu zahazuj.
zeroyd
Profil *
to je prave problem, pokus nejakou ip zakazu, tak to jde v tu chvili hned z jiny. strida to ip dynamicky a okamzite. jak se teda da banit pred takovymhle zatizenim serveru. vzdycky s to najde nejakou stranku a vysila pozadavky jen na tu jednu stranku. navic nemuzu zakazat mnozinu, protoze je to ip treba v rozsahu oě nebo upc a podobnych velky firem.
co je to teda zac a jak se proti tomu branit?
Davex
Profil
A jaké to kromě těch přístupů způsobuje problémy?

Pokud je to nějaký hloupý botnet, tak by šlo zablokovat přístupy na základě zasílaných HTTP hlaviček. Pokud se tváří jako normální prohlížeč a vyplňuje v hlavičkách všechny obvyklé položky, tak je dobré ještě zjistit, zda používá nějaký vlastní User-agent, na základě kterého by šel v Apache zablokovat (jako je třeba na této diskusi vyřešeno přetížení robotem).

Vaše odpověď


Prosím používejte diakritiku a interpunkci.

Ochrana proti spamu. Napište prosím číslo dvě-sta čtyřicet-sedm: