Re: ataque ddos
Juan Manuel Doren escribió: > > Dele no mas, total sitios como hulu.com dejan fuera a todos los non-US sin > > asco. > > hulu bloquea los paises donde no tienen permisos legales para mostrar > sus videos, pero esto no apunta a la solución del ddos > > ¿que pasa si empiezan a atacarlo desde Chile? > ¿que pasa si tambien le interesa que lo lean desde los paises problematicos? Además, esto no explica que hulu muestre todas las páginas de su sitio y que sólo bloquee el acceso a los videos mismos. -- Alvaro Herrera http://www.amazon.com/gp/registry/DXLWNGRJD34J "There is evil in the world. There are dark, awful things. Occasionally, we get a glimpse of them. But there are dark corners; horrors almost impossible to imagine... even in our worst nightmares." (Van Helsing, Dracula A.D. 1972)
Re: Alta disponibilidad WEB
2009/8/13 Juan Manuel Doren : >> >> No estoy de acuerdo. No creo que puedas garantizar que todos los >> navegadores tengan esa inteligencia, y si están buscando algun sistema >> de alta disponibilidad, creo que si sería un error empezar a depender >> de la "inteligencia" de los navegadores. > > yo lo he probado y NO todos los navegadores son tan inteligentes, pero > hay una "tecnica" que puede ayudar > > tienes las maquinas A y B que son tus webservers > defines como DNS primario a A y cuando alguien le pregunta por la > direccion web contesta con la propia > defines como secundario a B y lo configuras no para replicar lo que > dice A sino para que responda con la direccion propia > usas TTL bajos Pero ahi sólo consideras que la máquina se muera completa. ¿Qué pasa si la muerte es del servicio web solamente?, el dns seguiría respondiendo con su ip propia. No me gusta esta solución, aunque puede ayudar en algunos aspectos sin tener que meterse en otros como keepalived o heartbeat, según lo que se quiera. > > asi si la maquina A se muere el trafico se va a la B porque los > visitantes resolveran la IP de B apenas venza el TTL ( que puede ser > de un par de segundos ) > > lo malo es que sube el trafico de consultas al dns... > > tampoco es la solucion del premio a la innovacion pero anda mejor que el round > robin y es mas barato que un F5 En eso último estamos de acuerdo. Atte. CR -- Cristian Rojas R.
Re: ataque ddos
> Dele no mas, total sitios como hulu.com dejan fuera a todos los non-US sin > asco. hulu bloquea los paises donde no tienen permisos legales para mostrar sus videos, pero esto no apunta a la solución del ddos ¿que pasa si empiezan a atacarlo desde Chile? ¿que pasa si tambien le interesa que lo lean desde los paises problematicos?
Re: ataque ddos
On Jue 13 Ago 2009 19:41:52 Felipe Román Márquez escribió: > ajaajaj si sé, pero igual me da lata caer en lo mismo, no te ha pasado > que entras a youtube y te sale "este video no está disponible para su > país", es una lata para los usuarios. > > El 13-08-2009, a las 19:35, Ricardo Utreras Estrella escribió: > >> si lo he pensado, pero me da lata bloquear de cuajo todo un rango. > >> o todo un país. > >> gracias de todas maneras, es una buena opción. > > > > Dele no mas, total sitios como hulu.com dejan fuera a todos los non- > > US sin asco. Da lata... pero cuando son chinos y rusos, no creo que realmente se den la lata de leerme en español o inglés... Derechamente no lo hacen, los únicos visitantes que tengo de ahí son spambots. Además, también noté un comportamiento. Cuando hice un bloqueo, luego de una migración me quede sin el .htaccess (donde aplicaba el baneo por ip), así que estuve unos dias expuesto ¿que pasó? igualmente bajaron los ataques. Si antes eran 10 por día, luego eran 1 o 0. Por precaución, igual chequeo esos 1 que a veces aparecen, que se me quedaron fuera de los rangos bloqueados. Piensa en esto como "estoy aplicando esta medida temporalmente haber que pasa". -- Atentamente, Gonzalo Díaz Cruz http://blog.gon.cl/ http://twitter.com/sir_gon signature.asc Description: This is a digitally signed message part.
Re: ataque ddos
Los timeouts podrias manejarlos con tiempos reducidos, sacrificas a los usuarios de conexiones lentas pero son la minoria... - timeout de 5 segundos esta bien - keepalive "on" pero no mas de 5 conexiones por keepalive - keepalive timeout de 3 segundos... salu2. Ed.- 2009/8/13 Felipe Román Márquez > es solo de conexiones, sin carga de nada. > > los parámetros que me dices los probé en todos los sabores. > > timeout desde 1 hasta 10 > keepalive on y off > keepalivetimeout desde 1 a 1000 > > el comportamiento es el mismo. > todas las conexiones con al 80, cerré todo el resto de los puertos. > > El 13-08-2009, a las 19:28, Juan Manuel Doren escribió: > > > ¿No será que tu sitio web se hizo famoso en corto tiempo? A lo Tweeter... >>> >> es poco probable que con la maquina que tiene ( 8 procesadores ) sea >> __tan___ famoso >> >> el problema es solo de conexiones o la carga de la cpu se te va a las >> nubes? >> >> como tienes estos parametros del apache? >> >> Timeout >> KeepAlive >> KeepAliveTimeout >> >> la conexiones que ves son entrantes y a algun puerto del apache 80 443 >> 8080 ? >> >> tienes otros servicios publicos en esa maquina? >> >> > > -- Eduardo Silva http://edsiper.linuxchile.cl
Re: ataque ddos
ajaajaj si sé, pero igual me da lata caer en lo mismo, no te ha pasado que entras a youtube y te sale "este video no está disponible para su país", es una lata para los usuarios. El 13-08-2009, a las 19:35, Ricardo Utreras Estrella escribió: si lo he pensado, pero me da lata bloquear de cuajo todo un rango. o todo un país. gracias de todas maneras, es una buena opción. Dele no mas, total sitios como hulu.com dejan fuera a todos los non- US sin asco. -- Atte. Ricardo Utreras Estrella
Re: ataque ddos
es solo de conexiones, sin carga de nada. los parámetros que me dices los probé en todos los sabores. timeout desde 1 hasta 10 keepalive on y off keepalivetimeout desde 1 a 1000 el comportamiento es el mismo. todas las conexiones con al 80, cerré todo el resto de los puertos. El 13-08-2009, a las 19:28, Juan Manuel Doren escribió: ¿No será que tu sitio web se hizo famoso en corto tiempo? A lo Tweeter... es poco probable que con la maquina que tiene ( 8 procesadores ) sea __tan___ famoso el problema es solo de conexiones o la carga de la cpu se te va a las nubes? como tienes estos parametros del apache? Timeout KeepAlive KeepAliveTimeout la conexiones que ves son entrantes y a algun puerto del apache 80 443 8080 ? tienes otros servicios publicos en esa maquina?
Re: ataque ddos
Felipe Román Márquez escribió: ¿No será que tu sitio web se hizo famoso en corto tiempo? A lo Tweeter... sconf hay otro sitio de otro amigo que tiene foro y descargas, tiene mucho más trafico que este y llega a peaks de 8000 usuarios online (eso son mchas conexiones) y anda de lo más bien (con un buen tuning claro) >Por si acaso... ¿haz buscado de donde provienen geográficamente? > >Si tienes suerte, quizas encuentras el o los paise de origen y asi podrías >bloquear ip's por rangos. > >Lo comento porque soy víctima de spambots y me ha servido individualizar los >ataques "geolocalizandolos". Ya tengo medio china y rusia bloqueados xD. > >-- >Atentamente, Gonzalo Díaz Cruz si lo he pensado, pero me da lata bloquear de cuajo todo un rango. o todo un país. gracias de todas maneras, es una buena opción. Dele no mas, total sitios como hulu.com dejan fuera a todos los non-US sin asco. -- Atte. Ricardo Utreras Estrella
Re: ataque ddos
>> >> ¿No será que tu sitio web se hizo famoso en corto tiempo? A lo Tweeter... es poco probable que con la maquina que tiene ( 8 procesadores ) sea __tan___ famoso el problema es solo de conexiones o la carga de la cpu se te va a las nubes? como tienes estos parametros del apache? Timeout KeepAlive KeepAliveTimeout la conexiones que ves son entrantes y a algun puerto del apache 80 443 8080 ? tienes otros servicios publicos en esa maquina?
Re: Alta disponibilidad WEB
El 13 de agosto de 2009 11:53, Ernesto del Campo escribió: > Estimada Lista, > > El gerente de la empresa me a pedido ver si es posible implementar un > servicio web de alta disponibilidad. > > El escenario es el siguiente. > Tengo un servidor en el datacenter A de stgo con la IP 10.10.10.1 > Tengo un segundo servidor en datacenter B de punta arenas con la IP > 10.20.20.1 > > Hacer de alguna forma que cuando un cliente vea en su navegador > www.dominio.cl vaya a uno de estos nodos y si uno de estos dos se cae > atienda el que esta arriba. > > Según he buscado en san google, esto se hace un con balanceador de carga > + estos dos equipos, pero que pasa si se cae el balanceador de carga?. > > Espero me puedan orientar en donde buscar lo que necesito. > > Agradeciendo. > Ernesto del Campo. > > Hola Ernesto, He probado algunas soluciones en HA, y con la que me he quedado a sido Heartbeat [1], me atrevería a decir que no tendrás problemas en cuanto a la distancia al ser un servicio web (Ojo, excluyendo cualquier otro servicio como una gran BD), no te consumirá mucho enlace y es de fácil configuración. Lo instalas y lo configuras con el cliente ha-gui (no recuerdo exactamente el nombre). Saludos! -- Marcelo Opazo Vivallos Estudiante de Ing en Informatica Slackware Linux, user #372952. HomePage: http://amarzeck.googlepages.com WebLog: http://amarzeck.blogspot.com Chile.
Re: ataque ddos
¿No será que tu sitio web se hizo famoso en corto tiempo? A lo Tweeter... sconf hay otro sitio de otro amigo que tiene foro y descargas, tiene mucho más trafico que este y llega a peaks de 8000 usuarios online (eso son mchas conexiones) y anda de lo más bien (con un buen tuning claro) >Por si acaso... ¿haz buscado de donde provienen geográficamente? > >Si tienes suerte, quizas encuentras el o los paise de origen y asi podrías >bloquear ip's por rangos. > >Lo comento porque soy víctima de spambots y me ha servido individualizar los >ataques "geolocalizandolos". Ya tengo medio china y rusia bloqueados xD. > >-- >Atentamente, Gonzalo Díaz Cruz si lo he pensado, pero me da lata bloquear de cuajo todo un rango. o todo un país. gracias de todas maneras, es una buena opción.
Re: Alta disponibilidad WEB
> > No estoy de acuerdo. No creo que puedas garantizar que todos los > navegadores tengan esa inteligencia, y si están buscando algun sistema > de alta disponibilidad, creo que si sería un error empezar a depender > de la "inteligencia" de los navegadores. yo lo he probado y NO todos los navegadores son tan inteligentes, pero hay una "tecnica" que puede ayudar tienes las maquinas A y B que son tus webservers defines como DNS primario a A y cuando alguien le pregunta por la direccion web contesta con la propia defines como secundario a B y lo configuras no para replicar lo que dice A sino para que responda con la direccion propia usas TTL bajos asi si la maquina A se muere el trafico se va a la B porque los visitantes resolveran la IP de B apenas venza el TTL ( que puede ser de un par de segundos ) lo malo es que sube el trafico de consultas al dns... tampoco es la solucion del premio a la innovacion pero anda mejor que el round robin y es mas barato que un F5
Re: ataque ddos
On Jue 13 Ago 2009 18:30:05 Felipe Román Márquez escribió: > vienen de cientos de ip con no más de 5 conexiones cada una, no de una > sola ip con muchas conexiones, si fuera así sería muy fácil pararlo. > > El 13-08-2009, a las 18:24, Victor Hugo dos Santos escribió: > > 2009/8/13 Felipe Román Márquez : > > > > > > [...] > > > >> puse reglas de iptables para botar peticiones si una ip tiene > >> muchas en un > >> periodo de tiempo corto, sin estas reglas las conexiones activas al > >> servidor > >> suben a más 10.000 en un segundo, con las reglas bajan a > >> aproximadamente > >> 100, pero el ataque igual tiene efecto y apache no es capaz de > >> mostrar la > >> página. > > > > configura iptables para bloquear las 100 conexiones restantes que > > viene de la IP que esta realizando el ataque también por un periodo de > > tiempo mayor > > > > salu2 Por si acaso... ¿haz buscado de donde provienen geográficamente? Si tienes suerte, quizas encuentras el o los paise de origen y asi podrías bloquear ip's por rangos. Lo comento porque soy víctima de spambots y me ha servido individualizar los ataques "geolocalizandolos". Ya tengo medio china y rusia bloqueados xD. -- Atentamente, Gonzalo Díaz Cruz http://blog.gon.cl/ http://twitter.com/sir_gon signature.asc Description: This is a digitally signed message part.
Re: ataque ddos
2009/8/13 Felipe Román Márquez > vienen de cientos de ip con no más de 5 conexiones cada una, no de una sola > ip con muchas conexiones, si fuera así sería muy fácil pararlo. > ¿No será que tu sitio web se hizo famoso en corto tiempo? A lo Tweeter... -- Atte, Juan Cristóbal Olivares חואנכרי == Renovarse o morir: Mi PC de los sesenta tenía veinte mil militantes. Y mi PC del siglo XXI tiene cuarenta gigabytes.
Re: Alta disponibilidad WEB
2009/8/13 Victor Hugo dos Santos : > 2009/8/13 Mauricio Vergara Ereche : >> Hola! > > [..] > >> Seguramente alguien te dirá que a nivel de DNS podrías poner 2 registros A >> para www.dominio.cl apuntando a cada una de las IPs, pero si uno de los >> servidores falla, vas a tener que eliminar el registro del "fallado" y >> esperar >> que se propague en los caché's de los resolver DNS... lo cual no se verá muy >> elegante ya que mientras exista falla, van a tener que esperar a que se les >> caiga por timeout la IP que no responda, o responda derechamente mal ese >> servidor. > > > esto que dices esta malo... > cuando se tiene 2 (o mas) registros A para un mismo dominio, los > navegadores son suficientemente inteligentes para ir de uno a otro > alternativamente y caso uno de los dos servidores esten apagados los > clientes van a consultar el otro imediatamente... > No estoy de acuerdo. No creo que puedas garantizar que todos los navegadores tengan esa inteligencia, y si están buscando algun sistema de alta disponibilidad, creo que si sería un error empezar a depender de la "inteligencia" de los navegadores. Atte. CR -- Cristian Rojas R.
Re: ataque ddos
vienen de cientos de ip con no más de 5 conexiones cada una, no de una sola ip con muchas conexiones, si fuera así sería muy fácil pararlo. El 13-08-2009, a las 18:24, Victor Hugo dos Santos escribió: 2009/8/13 Felipe Román Márquez : [...] puse reglas de iptables para botar peticiones si una ip tiene muchas en un periodo de tiempo corto, sin estas reglas las conexiones activas al servidor suben a más 10.000 en un segundo, con las reglas bajan a aproximadamente 100, pero el ataque igual tiene efecto y apache no es capaz de mostrar la página. configura iptables para bloquear las 100 conexiones restantes que viene de la IP que esta realizando el ataque también por un periodo de tiempo mayor salu2 -- -- Victor Hugo dos Santos Linux Counter #224399
Re: ataque ddos
2009/8/13 Felipe Román Márquez : > [...] > puse reglas de iptables para botar peticiones si una ip tiene muchas en un > periodo de tiempo corto, sin estas reglas las conexiones activas al servidor > suben a más 10.000 en un segundo, con las reglas bajan a aproximadamente > 100, pero el ataque igual tiene efecto y apache no es capaz de mostrar la > página. configura iptables para bloquear las 100 conexiones restantes que viene de la IP que esta realizando el ataque también por un periodo de tiempo mayor salu2 -- -- Victor Hugo dos Santos Linux Counter #224399
Re: Alta disponibilidad WEB
2009/8/13 Mauricio Vergara Ereche : > Hola! [..] > Seguramente alguien te dirá que a nivel de DNS podrías poner 2 registros A > para www.dominio.cl apuntando a cada una de las IPs, pero si uno de los > servidores falla, vas a tener que eliminar el registro del "fallado" y esperar > que se propague en los caché's de los resolver DNS... lo cual no se verá muy > elegante ya que mientras exista falla, van a tener que esperar a que se les > caiga por timeout la IP que no responda, o responda derechamente mal ese > servidor. esto que dices esta malo... cuando se tiene 2 (o mas) registros A para un mismo dominio, los navegadores son suficientemente inteligentes para ir de uno a otro alternativamente y caso uno de los dos servidores esten apagados los clientes van a consultar el otro imediatamente... salu2 -- -- Victor Hugo dos Santos Linux Counter #224399
Re: ataque ddos
apache 2, normal (plesk toma control de eso, pero lo tienen sin cgi ni fastcgi) El 13-08-2009, a las 17:46, Eduardo Silva escribió: Estas con apache1 o apache2 ?, como esta corriendo php ? como fastcgi o cgi normal ? 2009/8/13 Felipe Román Márquez ya busqué rootkits y salidas no esperadas, no encontré nada, en un principio pensé que tenían al servidor como zombie mandando spam. pero detuve todos lo que tiene que ver con correo, cerré la salida completa y seguía igual. voy a seguir buscando. gracias. El 13-08-2009, a las 16:38, Ricardo Utreras Estrella escribió: Ricardo Munoz escribió: El 13 de agosto de 2009 16:13, Alvaro Herrera escribió: Felipe Román Márquez escribió: Ricardo y Alvaro, el mysql está optimizado para usar cuanta ram quiera y soporta 1500 conexiones. lo mismo con apache, aun así el ataque deja la maquina fuera de combate.. (apache y mysql casi no reciben carga, pero nada responde) también modifiqué el tcp_fin_timeout, syn_cookies, etc etc. No me refería a eso, sino a examinar que las consultas no sean muy pesadas, que no haya páginas que hagan consultas excesivas para generarse, que haya índices, etc etc. si "apache y mysql casi no reciben carga, pero nada responde" entonces hay que buscar bien donde se produce la espera... revisar cual(es) procesos estan ejecutandose por mucho tiempo y usando mucha memoria, etc. quizas el problema no son las conexiones que entran sino las conexiones que salen (chkrootkit)? :) En relacion a lo ultimo comentado por mi tocallo: Seguro que eres el objetivo y no un puente para "molestar a"? Descartaste XSS? -- Atte. Ricardo Utreras Estrella -- Eduardo Silva http://edsiper.linuxchile.cl
Re: ataque ddos
Estas con apache1 o apache2 ?, como esta corriendo php ? como fastcgi o cgi normal ? 2009/8/13 Felipe Román Márquez > ya busqué rootkits y salidas no esperadas, no encontré nada, en un > principio pensé que tenían al servidor como zombie mandando spam. pero > detuve todos lo que tiene que ver con correo, cerré la salida completa y > seguía igual. > > voy a seguir buscando. gracias. > > El 13-08-2009, a las 16:38, Ricardo Utreras Estrella escribió: > > > Ricardo Munoz escribió: >> >>> El 13 de agosto de 2009 16:13, Alvaro Herrera >> >escribió: >>> Felipe Román Márquez escribió: > Ricardo y Alvaro, el mysql está optimizado para usar cuanta ram > quiera y soporta 1500 conexiones. > lo mismo con apache, aun así el ataque deja la maquina fuera de > combate.. (apache y mysql casi no reciben carga, pero nada responde) > también modifiqué el tcp_fin_timeout, syn_cookies, etc etc. > No me refería a eso, sino a examinar que las consultas no sean muy pesadas, que no haya páginas que hagan consultas excesivas para generarse, que haya índices, etc etc. >>> si "apache y mysql casi no reciben carga, pero nada responde" entonces >>> hay >>> que buscar bien donde se produce la espera... revisar cual(es) procesos >>> estan ejecutandose por mucho tiempo y usando mucha memoria, etc. >>> quizas el problema no son las conexiones que entran sino las conexiones >>> que >>> salen (chkrootkit)? :) >>> >> >> En relacion a lo ultimo comentado por mi tocallo: Seguro que eres el >> objetivo y no un puente para "molestar a"? >> Descartaste XSS? >> >> -- >> Atte. Ricardo Utreras Estrella >> > > > -- Eduardo Silva http://edsiper.linuxchile.cl
Re: ataque ddos
ya busqué rootkits y salidas no esperadas, no encontré nada, en un principio pensé que tenían al servidor como zombie mandando spam. pero detuve todos lo que tiene que ver con correo, cerré la salida completa y seguía igual. voy a seguir buscando. gracias. El 13-08-2009, a las 16:38, Ricardo Utreras Estrella escribió: Ricardo Munoz escribió: El 13 de agosto de 2009 16:13, Alvaro Herrera >escribió: Felipe Román Márquez escribió: Ricardo y Alvaro, el mysql está optimizado para usar cuanta ram quiera y soporta 1500 conexiones. lo mismo con apache, aun así el ataque deja la maquina fuera de combate.. (apache y mysql casi no reciben carga, pero nada responde) también modifiqué el tcp_fin_timeout, syn_cookies, etc etc. No me refería a eso, sino a examinar que las consultas no sean muy pesadas, que no haya páginas que hagan consultas excesivas para generarse, que haya índices, etc etc. si "apache y mysql casi no reciben carga, pero nada responde" entonces hay que buscar bien donde se produce la espera... revisar cual(es) procesos estan ejecutandose por mucho tiempo y usando mucha memoria, etc. quizas el problema no son las conexiones que entran sino las conexiones que salen (chkrootkit)? :) En relacion a lo ultimo comentado por mi tocallo: Seguro que eres el objetivo y no un puente para "molestar a"? Descartaste XSS? -- Atte. Ricardo Utreras Estrella
Re: ataque ddos
Ricardo Munoz escribió: El 13 de agosto de 2009 16:13, Alvaro Herrera escribió: Felipe Román Márquez escribió: Ricardo y Alvaro, el mysql está optimizado para usar cuanta ram quiera y soporta 1500 conexiones. lo mismo con apache, aun así el ataque deja la maquina fuera de combate.. (apache y mysql casi no reciben carga, pero nada responde) también modifiqué el tcp_fin_timeout, syn_cookies, etc etc. No me refería a eso, sino a examinar que las consultas no sean muy pesadas, que no haya páginas que hagan consultas excesivas para generarse, que haya índices, etc etc. si "apache y mysql casi no reciben carga, pero nada responde" entonces hay que buscar bien donde se produce la espera... revisar cual(es) procesos estan ejecutandose por mucho tiempo y usando mucha memoria, etc. quizas el problema no son las conexiones que entran sino las conexiones que salen (chkrootkit)? :) En relacion a lo ultimo comentado por mi tocallo: Seguro que eres el objetivo y no un puente para "molestar a"? Descartaste XSS? -- Atte. Ricardo Utreras Estrella
Re: ataque ddos
El 13 de agosto de 2009 16:13, Alvaro Herrera escribió: > Felipe Román Márquez escribió: > > Ricardo y Alvaro, el mysql está optimizado para usar cuanta ram > > quiera y soporta 1500 conexiones. > > lo mismo con apache, aun así el ataque deja la maquina fuera de > > combate.. (apache y mysql casi no reciben carga, pero nada responde) > > también modifiqué el tcp_fin_timeout, syn_cookies, etc etc. > > No me refería a eso, sino a examinar que las consultas no sean muy > pesadas, que no haya páginas que hagan consultas excesivas para > generarse, que haya índices, etc etc. si "apache y mysql casi no reciben carga, pero nada responde" entonces hay que buscar bien donde se produce la espera... revisar cual(es) procesos estan ejecutandose por mucho tiempo y usando mucha memoria, etc. quizas el problema no son las conexiones que entran sino las conexiones que salen (chkrootkit)? :) -- Ricardo Mun~oz A. http://www.tux.cl
Re: ataque ddos
Felipe Román Márquez escribió: > Ricardo y Alvaro, el mysql está optimizado para usar cuanta ram > quiera y soporta 1500 conexiones. > lo mismo con apache, aun así el ataque deja la maquina fuera de > combate.. (apache y mysql casi no reciben carga, pero nada responde) > también modifiqué el tcp_fin_timeout, syn_cookies, etc etc. No me refería a eso, sino a examinar que las consultas no sean muy pesadas, que no haya páginas que hagan consultas excesivas para generarse, que haya índices, etc etc. -- Alvaro Herrera http://www.flickr.com/photos/alvherre/ Oh, oh, las chicas galacianas, lo harán por las perlas, ¡Y las de Arrakis por el agua! Pero si buscas damas Que se consuman como llamas, ¡Prueba una hija de Caladan! (Gurney Halleck)
Re: ataque ddos
Ricardo y Alvaro, el mysql está optimizado para usar cuanta ram quiera y soporta 1500 conexiones. lo mismo con apache, aun así el ataque deja la maquina fuera de combate.. (apache y mysql casi no reciben carga, pero nada responde) también modifiqué el tcp_fin_timeout, syn_cookies, etc etc. gracias Fabio, voy a darle una mirada a esa herramienta. gracias a todos, si alguien se le ocurre cualquier cosa es bienvenido :D El 13-08-2009, a las 15:48, Alvaro Herrera escribió: Felipe Román Márquez escribió: Hola a todos tengo un problemita que me tiene cansadísimo, un amigo tiene un sitio web con un foro, nada serio pero es su sitio y obviamente lo quiere andando, el problema es que está bajo constante ataque ddos, es de cientos de ips distintas (claro, ni que fueran cientos de ips iguales xD ) instalé ddos deflate (script que banea automáticamente las ips con muchas conexiones) instalé apache mod_evasive y se configuró muy agresivamente puse reglas de iptables para botar peticiones si una ip tiene muchas en un periodo de tiempo corto, sin estas reglas las conexiones activas al servidor suben a más 10.000 en un segundo, con las reglas bajan a aproximadamente 100, pero el ataque igual tiene efecto y apache no es capaz de mostrar la página. el servidor tiene 8 nucleos de xeon E5430 con 8gb ram Huh, ese servidor debería ser suficientemente grande como para manejar 100 conexiones sin ningún problema. Yo creo que debería optimizar la aplicación. -- Alvaro Herrerahttp://www.amazon.com/gp/registry/3BP7BYG9PUGI8 "All rings of power are equal, But some rings of power are more equal than others." (George Orwell's The Lord of the Rings)
Re: ataque ddos
Felipe Román Márquez escribió: > > Hola a todos tengo un problemita que me tiene cansadísimo, un amigo > tiene un sitio web con un foro, nada serio pero es su sitio y > obviamente lo quiere andando, el problema es que está bajo constante > ataque ddos, es de cientos de ips distintas (claro, ni que fueran > cientos de ips iguales xD ) > instalé ddos deflate (script que banea automáticamente las ips con > muchas conexiones) > instalé apache mod_evasive y se configuró muy agresivamente > puse reglas de iptables para botar peticiones si una ip tiene muchas > en un periodo de tiempo corto, sin estas reglas las conexiones > activas al servidor suben a más 10.000 en un segundo, con las > reglas bajan a aproximadamente 100, pero el ataque igual tiene > efecto y apache no es capaz de mostrar la página. > > el servidor tiene 8 nucleos de xeon E5430 > con 8gb ram Huh, ese servidor debería ser suficientemente grande como para manejar 100 conexiones sin ningún problema. Yo creo que debería optimizar la aplicación. -- Alvaro Herrerahttp://www.amazon.com/gp/registry/3BP7BYG9PUGI8 "All rings of power are equal, But some rings of power are more equal than others." (George Orwell's The Lord of the Rings)
Re: Alta disponibilidad WEB
Claudio Hormazábal Ocampo escribió: > F5 how much???$$$ Pa'eso, por us$150 anuales contratas un servicio de monitoreo como el de no-ip.com ... http://www.no-ip.com/services/monitoring/advanced_monitoring_failover.html -- Alvaro Herrera http://www.amazon.com/gp/registry/DXLWNGRJD34J "Hay quien adquiere la mala costumbre de ser infeliz" (M. A. Evans)
Re: ataque ddos
El 13 de agosto de 2009 03:31, Felipe Román Márquez escribió: [...] puse reglas de iptables para botar peticiones si una ip tiene muchas en un > periodo de tiempo corto, sin estas reglas las conexiones activas al servidor > suben a más 10.000 en un segundo, con las reglas bajan a aproximadamente > 100, pero el ataque igual tiene efecto y apache no es capaz de mostrar la > página. > > el servidor tiene 8 nucleos de xeon E5430 > con 8gb ram > corriendo centos 5.3 64 bits > > corre: > mysql-5.0.45-7.el5 > httpd-2.2.3-11.el5_1.3 > php-5.1.6-23.2.el5_3 > parallels plesk panel 9.2 > > > alguien tiene alguna solución o algún tip para esto? no te queda otra que optimizar la configuracion del Apache y MySQL. por defecto MySQL acepta 100 conexiones simultaneas, y como me imagino que las conexiones duran mas de 1 segundos entonces se van encolando hasta poder se aceptadas o hasta que se cumpla el limite de TIME_WAIT (60 segundos por defecto, revisar con cat /proc/sys/net/ipv4/tcp_fin_timeout). podrias aumentar la cantidad de conexiones simultaneas de MySQL, y jugar con las opciones KeepAliveTimeout, MaxClients, etc. del Apache. tener el motor de BD y aplicacion web en un mismo servidor no es buena idea para sitios de alto trafico... ambos compiten por la misma RAM y ahi es donde queda la... -- Ricardo Mun~oz A. http://www.tux.cl
RE: Alta disponibilidad WEB
F5 how much???$$$ Atte., Claudio Hormazábal Ocampo Administrador de Sistemas Universidad Central de Chile Fono: (56) (2) 582 6059 Skype: claudio.hormazabal http://claudio.hormazabal.cl -Mensaje original- De: linux-boun...@listas.inf.utfsm.cl [mailto:linux-boun...@listas.inf.utfsm.cl] En nombre de Jorge Severino Enviado el: Jueves, 13 de Agosto de 2009 13:30 Para: Discusion de Linux en Castellano Asunto: Re: Alta disponibilidad WEB Mas mejol un DNS dinámico con un ping remoto que modifique el registro www. con dos F5 en ambos extremos gastara el presupuesto de 10 años en dos cajas :-) linux-boun...@listas.inf.utfsm.cl escribió el 13/08/2009 13:15:57: > Lo que , loque loque necesitas es un balanceador de enlace > cuando cae un enlace , va por el otro , > como un big ip F5 > el servicio DNS es dinámico y lo maneja el balanceador de enlace. > > > - Original Message - > From: "Mauricio Vergara Ereche" > To: "Discusion de Linux en Castellano" > Sent: Thursday, August 13, 2009 12:49 PM > Subject: Re: Alta disponibilidad WEB > > > > Hola! > > > > On Thursday 13 August 2009 11:53:41 Ernesto del Campo wrote: > >> Estimada Lista, > >> > >> El gerente de la empresa me a pedido ver si es posible implementar un > >> servicio web de alta disponibilidad. > > > > Si quieren alta disponibilidad y no distribución de carga, puedes utilizar > > un > > esquema basado en Keepalived, donde tienes un maestro siempre contestando > > y un > > esclavo que se activa cuando el maestro falla. Desconozco en todo caso > > cómo se > > comportará con tanta distancia eso sí... > > > >> El escenario es el siguiente. > >> Tengo un servidor en el datacenter A de stgo con la IP 10.10.10.1 > >> Tengo un segundo servidor en datacenter B de punta arenas con la IP > >> 10.20.20.1 > >> > >> Hacer de alguna forma que cuando un cliente vea en su navegador > >> www.dominio.cl vaya a uno de estos nodos y si uno de estos dos se cae > >> atienda el que esta arriba. > > > > Seguramente alguien te dirá que a nivel de DNS podrías poner 2 registros A > > para www.dominio.cl apuntando a cada una de las IPs, pero si uno de los > > servidores falla, vas a tener que eliminar el registro del "fallado" y > > esperar > > que se propague en los caché's de los resolver DNS... lo cual no se verá > > muy > > elegante ya que mientras exista falla, van a tener que esperar a que se > > les > > caiga por timeout la IP que no responda, o responda derechamente mal ese > > servidor. > > > >> Según he buscado en san google, esto se hace un con balanceador de carga > >> + estos dos equipos, pero que pasa si se cae el balanceador de carga?. > > > > caes en casi el mismo problema y tendrias que tener 2 balanceadores mutuos > > funcionando entre ellos. > > > >> Espero me puedan orientar en donde buscar lo que necesito. > > > > Una sugerencia que podría ayudarte, es utilizar un esquema de multi-homing > > basado en enrutamiento vía BGP o OSPF... pero para ello requerirías tener > > un > > AS number y un bloque de direcciones IP propio. > > > > Saludos! > > > > -- > > Mauricio Vergara Ereche User #188365 counter.li.org > > DNS Admin NIC Chile mave [...@] nic [.] cl > > Miraflores 222 piso 14, Santiago CHILE+56 2 9407710 > > Codigo Postal: 832-0198 http://www.nic.cl > > > > >
Re: Alta disponibilidad WEB
Mas mejol un DNS dinámico con un ping remoto que modifique el registro www. con dos F5 en ambos extremos gastara el presupuesto de 10 años en dos cajas :-) linux-boun...@listas.inf.utfsm.cl escribió el 13/08/2009 13:15:57: > Lo que , loque loque necesitas es un balanceador de enlace > cuando cae un enlace , va por el otro , > como un big ip F5 > el servicio DNS es dinámico y lo maneja el balanceador de enlace. > > > - Original Message - > From: "Mauricio Vergara Ereche" > To: "Discusion de Linux en Castellano" > Sent: Thursday, August 13, 2009 12:49 PM > Subject: Re: Alta disponibilidad WEB > > > > Hola! > > > > On Thursday 13 August 2009 11:53:41 Ernesto del Campo wrote: > >> Estimada Lista, > >> > >> El gerente de la empresa me a pedido ver si es posible implementar un > >> servicio web de alta disponibilidad. > > > > Si quieren alta disponibilidad y no distribución de carga, puedes utilizar > > un > > esquema basado en Keepalived, donde tienes un maestro siempre contestando > > y un > > esclavo que se activa cuando el maestro falla. Desconozco en todo caso > > cómo se > > comportará con tanta distancia eso sí... > > > >> El escenario es el siguiente. > >> Tengo un servidor en el datacenter A de stgo con la IP 10.10.10.1 > >> Tengo un segundo servidor en datacenter B de punta arenas con la IP > >> 10.20.20.1 > >> > >> Hacer de alguna forma que cuando un cliente vea en su navegador > >> www.dominio.cl vaya a uno de estos nodos y si uno de estos dos se cae > >> atienda el que esta arriba. > > > > Seguramente alguien te dirá que a nivel de DNS podrías poner 2 registros A > > para www.dominio.cl apuntando a cada una de las IPs, pero si uno de los > > servidores falla, vas a tener que eliminar el registro del "fallado" y > > esperar > > que se propague en los caché's de los resolver DNS... lo cual no se verá > > muy > > elegante ya que mientras exista falla, van a tener que esperar a que se > > les > > caiga por timeout la IP que no responda, o responda derechamente mal ese > > servidor. > > > >> Según he buscado en san google, esto se hace un con balanceador de carga > >> + estos dos equipos, pero que pasa si se cae el balanceador de carga?. > > > > caes en casi el mismo problema y tendrias que tener 2 balanceadores mutuos > > funcionando entre ellos. > > > >> Espero me puedan orientar en donde buscar lo que necesito. > > > > Una sugerencia que podría ayudarte, es utilizar un esquema de multi-homing > > basado en enrutamiento vía BGP o OSPF... pero para ello requerirías tener > > un > > AS number y un bloque de direcciones IP propio. > > > > Saludos! > > > > -- > > Mauricio Vergara Ereche User #188365 counter.li.org > > DNS Admin NIC Chile mave [...@] nic [.] cl > > Miraflores 222 piso 14, Santiago CHILE+56 2 9407710 > > Codigo Postal: 832-0198 http://www.nic.cl > > > > >
RE: Alta disponibilidad WEB
Acá tengo 2 balanceadores en RedHat con ultramonkey, se cae uno sigue el otro, puedes balancear tu servicio web a través de round robin, last connection, etc. Ahora, eso en el caso que los servidores balanceados estén en la misma subred. Para lo tuyo habrá que escarbar un poco en tu topología de red que desconozco. Atte., Claudio Hormazábal Ocampo Administrador de Sistemas Universidad Central de Chile Fono: (56) (2) 582 6059 Skype: claudio.hormazabal http://claudio.hormazabal.cl -Mensaje original- De: linux-boun...@listas.inf.utfsm.cl [mailto:linux-boun...@listas.inf.utfsm.cl] En nombre de Ernesto del Campo Enviado el: Jueves, 13 de Agosto de 2009 11:54 Para: Discusion de Linux en Castellano Asunto: Alta disponibilidad WEB Estimada Lista, El gerente de la empresa me a pedido ver si es posible implementar un servicio web de alta disponibilidad. El escenario es el siguiente. Tengo un servidor en el datacenter A de stgo con la IP 10.10.10.1 Tengo un segundo servidor en datacenter B de punta arenas con la IP 10.20.20.1 Hacer de alguna forma que cuando un cliente vea en su navegador www.dominio.cl vaya a uno de estos nodos y si uno de estos dos se cae atienda el que esta arriba. Según he buscado en san google, esto se hace un con balanceador de carga + estos dos equipos, pero que pasa si se cae el balanceador de carga?. Espero me puedan orientar en donde buscar lo que necesito. Agradeciendo. Ernesto del Campo.
Re: Alta disponibilidad WEB
Con apache puedes armar un esquema HA usando heartbeat : Aca hay un ejemplillo : http://www.howtoforge.com/high_availability_loadbalanced_apache_cluster On 13-08-2009, at 12:49, Mauricio Vergara Ereche wrote: Hola! On Thursday 13 August 2009 11:53:41 Ernesto del Campo wrote: Estimada Lista, El gerente de la empresa me a pedido ver si es posible implementar un servicio web de alta disponibilidad. Si quieren alta disponibilidad y no distribución de carga, puedes utilizar un esquema basado en Keepalived, donde tienes un maestro siempre contestando y un esclavo que se activa cuando el maestro falla. Desconozco en todo caso cómo se comportará con tanta distancia eso sí... El escenario es el siguiente. Tengo un servidor en el datacenter A de stgo con la IP 10.10.10.1 Tengo un segundo servidor en datacenter B de punta arenas con la IP 10.20.20.1 Hacer de alguna forma que cuando un cliente vea en su navegador www.dominio.cl vaya a uno de estos nodos y si uno de estos dos se cae atienda el que esta arriba. Seguramente alguien te dirá que a nivel de DNS podrías poner 2 registros A para www.dominio.cl apuntando a cada una de las IPs, pero si uno de los servidores falla, vas a tener que eliminar el registro del "fallado" y esperar que se propague en los caché's de los resolver DNS... lo cual no se verá muy elegante ya que mientras exista falla, van a tener que esperar a que se les caiga por timeout la IP que no responda, o responda derechamente mal ese servidor. Según he buscado en san google, esto se hace un con balanceador de carga + estos dos equipos, pero que pasa si se cae el balanceador de carga?. caes en casi el mismo problema y tendrias que tener 2 balanceadores mutuos funcionando entre ellos. Espero me puedan orientar en donde buscar lo que necesito. Una sugerencia que podría ayudarte, es utilizar un esquema de multi- homing basado en enrutamiento vía BGP o OSPF... pero para ello requerirías tener un AS number y un bloque de direcciones IP propio. Saludos! -- Mauricio Vergara Ereche User #188365 counter.li.org DNS Admin NIC Chile mave [...@] nic [.] cl Miraflores 222 piso 14, Santiago CHILE+56 2 9407710 Codigo Postal: 832-0198 http://www.nic.cl
Re: Alta disponibilidad WEB
Lo que , loque loque necesitas es un balanceador de enlace cuando cae un enlace , va por el otro , como un big ip F5 el servicio DNS es dinámico y lo maneja el balanceador de enlace. - Original Message - From: "Mauricio Vergara Ereche" To: "Discusion de Linux en Castellano" Sent: Thursday, August 13, 2009 12:49 PM Subject: Re: Alta disponibilidad WEB Hola! On Thursday 13 August 2009 11:53:41 Ernesto del Campo wrote: Estimada Lista, El gerente de la empresa me a pedido ver si es posible implementar un servicio web de alta disponibilidad. Si quieren alta disponibilidad y no distribución de carga, puedes utilizar un esquema basado en Keepalived, donde tienes un maestro siempre contestando y un esclavo que se activa cuando el maestro falla. Desconozco en todo caso cómo se comportará con tanta distancia eso sí... El escenario es el siguiente. Tengo un servidor en el datacenter A de stgo con la IP 10.10.10.1 Tengo un segundo servidor en datacenter B de punta arenas con la IP 10.20.20.1 Hacer de alguna forma que cuando un cliente vea en su navegador www.dominio.cl vaya a uno de estos nodos y si uno de estos dos se cae atienda el que esta arriba. Seguramente alguien te dirá que a nivel de DNS podrías poner 2 registros A para www.dominio.cl apuntando a cada una de las IPs, pero si uno de los servidores falla, vas a tener que eliminar el registro del "fallado" y esperar que se propague en los caché's de los resolver DNS... lo cual no se verá muy elegante ya que mientras exista falla, van a tener que esperar a que se les caiga por timeout la IP que no responda, o responda derechamente mal ese servidor. Según he buscado en san google, esto se hace un con balanceador de carga + estos dos equipos, pero que pasa si se cae el balanceador de carga?. caes en casi el mismo problema y tendrias que tener 2 balanceadores mutuos funcionando entre ellos. Espero me puedan orientar en donde buscar lo que necesito. Una sugerencia que podría ayudarte, es utilizar un esquema de multi-homing basado en enrutamiento vía BGP o OSPF... pero para ello requerirías tener un AS number y un bloque de direcciones IP propio. Saludos! -- Mauricio Vergara Ereche User #188365 counter.li.org DNS Admin NIC Chile mave [...@] nic [.] cl Miraflores 222 piso 14, Santiago CHILE+56 2 9407710 Codigo Postal: 832-0198 http://www.nic.cl
Re: Alta disponibilidad WEB
Ernesto del Campo escribió: > Estimada Lista, > > El gerente de la empresa me a pedido ver si es posible implementar un > servicio web de alta disponibilidad. > > El escenario es el siguiente. > Tengo un servidor en el datacenter A de stgo con la IP 10.10.10.1 > Tengo un segundo servidor en datacenter B de punta arenas con la IP > 10.20.20.1 ¿El sitio es estático o hay una base de datos detrás? Si hay una BD, ¿pensaste cómo distribuir los datos también? Particularmente los identificadores de sesión. -- Alvaro Herrera Valdivia, Chile Geotag: -39,815 -73,257 "How amazing is that? I call it a night and come back to find that a bug has been identified and patched while I sleep."(Robert Davidson) http://archives.postgresql.org/pgsql-sql/2006-03/msg00378.php
Re: Alta disponibilidad WEB
Podrias leer algo de la "tecnica" Round Robin y ver si es lo que buscas...aunque de nuevo la distancia seria lago problematica creo. 2009/8/13 Juan Manuel Doren > > > > Pq hablan de balanceadores de Carga si la pregunta es Alta > Disponibilidad? > > de ahí mi pregunta: > > "necesitas el de punta arenas solamente en casos de caidas o para > soportar la carga normal entre las dos maquinas?" > > -- Manuel Fuentes Ugalde Tecnico Universitario en Electronica Universidad Tecnica Federico Santa Maria
Re: Alta disponibilidad WEB
> > Pq hablan de balanceadores de Carga si la pregunta es Alta Disponibilidad? de ahí mi pregunta: "necesitas el de punta arenas solamente en casos de caidas o para soportar la carga normal entre las dos maquinas?"
Re: Alta disponibilidad WEB
Hola! On Thursday 13 August 2009 11:53:41 Ernesto del Campo wrote: > Estimada Lista, > > El gerente de la empresa me a pedido ver si es posible implementar un > servicio web de alta disponibilidad. Si quieren alta disponibilidad y no distribución de carga, puedes utilizar un esquema basado en Keepalived, donde tienes un maestro siempre contestando y un esclavo que se activa cuando el maestro falla. Desconozco en todo caso cómo se comportará con tanta distancia eso sí... > El escenario es el siguiente. > Tengo un servidor en el datacenter A de stgo con la IP 10.10.10.1 > Tengo un segundo servidor en datacenter B de punta arenas con la IP > 10.20.20.1 > > Hacer de alguna forma que cuando un cliente vea en su navegador > www.dominio.cl vaya a uno de estos nodos y si uno de estos dos se cae > atienda el que esta arriba. Seguramente alguien te dirá que a nivel de DNS podrías poner 2 registros A para www.dominio.cl apuntando a cada una de las IPs, pero si uno de los servidores falla, vas a tener que eliminar el registro del "fallado" y esperar que se propague en los caché's de los resolver DNS... lo cual no se verá muy elegante ya que mientras exista falla, van a tener que esperar a que se les caiga por timeout la IP que no responda, o responda derechamente mal ese servidor. > Según he buscado en san google, esto se hace un con balanceador de carga > + estos dos equipos, pero que pasa si se cae el balanceador de carga?. caes en casi el mismo problema y tendrias que tener 2 balanceadores mutuos funcionando entre ellos. > Espero me puedan orientar en donde buscar lo que necesito. Una sugerencia que podría ayudarte, es utilizar un esquema de multi-homing basado en enrutamiento vía BGP o OSPF... pero para ello requerirías tener un AS number y un bloque de direcciones IP propio. Saludos! -- Mauricio Vergara Ereche User #188365 counter.li.org DNS Admin NIC Chile mave [...@] nic [.] cl Miraflores 222 piso 14, Santiago CHILE+56 2 9407710 Codigo Postal: 832-0198 http://www.nic.cl
Re: Alta disponibilidad WEB
Una consulta.. Pq hablan de balanceadores de Carga si la pregunta es Alta Disponibilidad? Juan Manuel Doren escribió: Según he buscado en san google, esto se hace un con balanceador de carga + estos dos equipos, pero que pasa si se cae el balanceador de carga?. se pueden poner dos balanceadores de carga respaldandose mutuamente... no se si es muy buena la idea de poner las maquinas tan lejos, si pones el balanceador de carga y este en un momento decide usar la maquina de punta arenas, debera ir hasta alla a buscar los datos necesitas el de punta arenas solamente en casos de caidas o para soportar la carga normal entre las dos maquinas?
Re: Alta disponibilidad WEB
> > Según he buscado en san google, esto se hace un con balanceador de carga > + estos dos equipos, pero que pasa si se cae el balanceador de carga?. se pueden poner dos balanceadores de carga respaldandose mutuamente... no se si es muy buena la idea de poner las maquinas tan lejos, si pones el balanceador de carga y este en un momento decide usar la maquina de punta arenas, debera ir hasta alla a buscar los datos necesitas el de punta arenas solamente en casos de caidas o para soportar la carga normal entre las dos maquinas?
Re: Alta disponibilidad WEB
Una consulta... El proveedor para los 2 Datacenters es el Mismo? Lo digo por el tema de IPs, sino entra al campo de juego nuestro querido amigo BGP Ernesto del Campo escribió: Estimada Lista, El gerente de la empresa me a pedido ver si es posible implementar un servicio web de alta disponibilidad. El escenario es el siguiente. Tengo un servidor en el datacenter A de stgo con la IP 10.10.10.1 Tengo un segundo servidor en datacenter B de punta arenas con la IP 10.20.20.1 Hacer de alguna forma que cuando un cliente vea en su navegador www.dominio.cl vaya a uno de estos nodos y si uno de estos dos se cae atienda el que esta arriba. Según he buscado en san google, esto se hace un con balanceador de carga + estos dos equipos, pero que pasa si se cae el balanceador de carga?. Espero me puedan orientar en donde buscar lo que necesito. Agradeciendo. Ernesto del Campo.
Alta disponibilidad WEB
Estimada Lista, El gerente de la empresa me a pedido ver si es posible implementar un servicio web de alta disponibilidad. El escenario es el siguiente. Tengo un servidor en el datacenter A de stgo con la IP 10.10.10.1 Tengo un segundo servidor en datacenter B de punta arenas con la IP 10.20.20.1 Hacer de alguna forma que cuando un cliente vea en su navegador www.dominio.cl vaya a uno de estos nodos y si uno de estos dos se cae atienda el que esta arriba. Según he buscado en san google, esto se hace un con balanceador de carga + estos dos equipos, pero que pasa si se cae el balanceador de carga?. Espero me puedan orientar en donde buscar lo que necesito. Agradeciendo. Ernesto del Campo.
Re: Montar/configurar servidor vpn (openvpn)
Bueno, muchas gracias por la ayuda. Estoy haciendo pruebas y espero tener buenos resultados. Comentaré lo que haya conseguido. El 11 de agosto de 2009 09:05, Arturo Mardones escribió: > 2009/8/10 Andrés A. Ruz Salinas : > > Hola de nuevo, he tenido un montón de trabajo investigando algunas cosas > y > > me topado nuevamente con falta de conocimiento. Estoy intentando > configurar > > una VPN con OpenVPN con la cual sólo he logrado llegar hasta la > > autenticación de la VPN, me explico. Desde mi oficina he logrado conectar > al > > servidor VPN que esta afuera en otro lugar en internet, pero ocurre que > no > > me deja ver nada de la red. Sólo una vez que me logueo no me deja ver > nada > > más. > > > > Alguien tendrá algún ejemplo simple ??? > > Revisa tu configuracion con los ejemplos que trae OpenVPN, en linux tb > trae un directorio samples... ojo q si no estas bridge, tendras que > manipular rutas. > > Saludos! > > Arturo > > > > > Gracias, > > Saludos > > > > > > -- > http://animaldelared.blogspot.com > > Visita Un computador por niño http://www.ucpn.cl > >
Re: ataque ddos
El jue, 13-08-2009 a las 03:31 -0400, Felipe Román Márquez escribió: > Hola a todos tengo un problemita que me tiene cansadísimo, un amigo > tiene un sitio web con un foro, nada serio pero es su sitio y > obviamente lo quiere andando, el problema es que está bajo constante > ataque ddos, es de cientos de ips distintas (claro, ni que fueran > cientos de ips iguales xD ) > instalé ddos deflate (script que banea automáticamente las ips con > muchas conexiones) > instalé apache mod_evasive y se configuró muy agresivamente > puse reglas de iptables para botar peticiones si una ip tiene muchas > en un periodo de tiempo corto, sin estas reglas las conexiones activas > al servidor suben a más 10.000 en un segundo, con las reglas bajan a > aproximadamente 100, pero el ataque igual tiene efecto y apache no es > capaz de mostrar la página. > > el servidor tiene 8 nucleos de xeon E5430 > con 8gb ram > corriendo centos 5.3 64 bits > > corre: > mysql-5.0.45-7.el5 > httpd-2.2.3-11.el5_1.3 > php-5.1.6-23.2.el5_3 > parallels plesk panel 9.2 haz escuchado de la herramienta fail2ban? Saludos
ataque ddos
Hola a todos tengo un problemita que me tiene cansadísimo, un amigo tiene un sitio web con un foro, nada serio pero es su sitio y obviamente lo quiere andando, el problema es que está bajo constante ataque ddos, es de cientos de ips distintas (claro, ni que fueran cientos de ips iguales xD ) instalé ddos deflate (script que banea automáticamente las ips con muchas conexiones) instalé apache mod_evasive y se configuró muy agresivamente puse reglas de iptables para botar peticiones si una ip tiene muchas en un periodo de tiempo corto, sin estas reglas las conexiones activas al servidor suben a más 10.000 en un segundo, con las reglas bajan a aproximadamente 100, pero el ataque igual tiene efecto y apache no es capaz de mostrar la página. el servidor tiene 8 nucleos de xeon E5430 con 8gb ram corriendo centos 5.3 64 bits corre: mysql-5.0.45-7.el5 httpd-2.2.3-11.el5_1.3 php-5.1.6-23.2.el5_3 parallels plesk panel 9.2 alguien tiene alguna solución o algún tip para esto? de antemano gracias a todos.
