Hello all, Am urmatoarea problema. De o saptamina, se tot repeta atacuri de tip interzicerea serviciului pe portul 80, 443 si 25 avind adresa sursa spoofata. Ceea ce ramine constant de fiecare data, este MAC-ul. Toate atacurile au MAC=00:0a:55:1b:11:17:08:00:2b:a2:33:11:08:00, adica adresa sursa 08:00:2b:a2:33:11 (a placii de retea de unde pleaca pachetele, sau a potentialului atacator)
in firewall am folosit limit si limit-burst. iptables -N DDoS iptables -A DDoS -m limit --limit 2/s --limit-burst 5 -j RETURN iptables -A DDoS -j LOG --log-level 6 --log-prefix "[DDos Attack?] " iptables -A DDoS -j DROP iptables -A INPUT -p tcp --tcp-flags SYN,RST,ACK SYN -j DDoS iptables -A OUTPUT -p tcp --tcp-flags SYN,RST,ACK SYN -j DDoS Pachetele logate arata astfel: Apr 13 13:44:52 mail kernel: [DDos Attack?] IN=eth0 OUT= MAC=00:0a:55:1b:11:17:08:00:2b:a2:33:11:08:00 SRC=193.138.218.75 DST=my_IP LEN=60 TOS=0x00 PREC=0x00 TTL=54 ID=18711 DF PROTO=TCP SPT=14333 DPT=443 WINDOW=32120 RES=0x00 SYN URGP=0 Adresa sursa 193.138.218.75 este spoofata de fiecare data iar acest tip de atac are ca dest. port 80, 443 sau 25... Cu limit si limit burst, problema este ca sunt limitate si cererile legitime pe portul 80 si ajung sa nu-mi mai pot accesa site-ul din exterior aproape deloc sau foarte foarte greu. Am modificat limit la 12/s si limit-burst la 24, si site-ul a inceput sa mai mearga, dar tot greu. Astazi, vazind atacul, am adaugat la inceputul regulilor de firewall, o regula de genul: iptables -A INPUT -p tcp -s 193.138.218.75 -j DROP care a rezolvat in oarecare masura, problema cu serverul de web. Treaba asta insa nu e o solutie, pentru ca nu pot de fiecare data sa adaug adresa respectiva in firewall. Daca las simplu numai limit si limit-burst, imi limiteaza, asa cum spuneam si cererile legitime. Am nevoie de un mecanism cu care, daca vad ca de la o anume adresa de IP tot vin cereri cu nemiluita, sa ii dau DROP automat. Aveti idee cum asa putea rezolva problema? Alex --- Detalii despre listele noastre de mail: http://www.lug.ro/
