On Wed, Mar 10, 2010 at 01:46:14PM +0800, Nyoman [D] wrote: > Oh.. ok... berarti memang gak bisa dibuat seperti kita ngeblock sshd > attacking ya pak ? > Karena pernah kejadian salah 1 domain kena serangan (ga tahu apa ini > termasuk ddos), ada 1 IP dari china yang mengakses salah 1 link sampe 30 > koneksi hingga membuat webserver sibuk, sehingga pengunjung lainnya > disuguhi tampilan Server Error 5xx
Bisa dibatasi koneksinya per ip address pakai iptables. Seperti ini contohnya untuk membatasi 10 syn koneksi ke port 80: iptables -A INPUT -i eth1 -p TCP --syn --dport 80 -m connlimit \ --connlimit-above 10 -j REJECT Kernel 2.6.26-2 sudah support netfilter connlimit. Kalau kernelnya belum support atau males patch kernel ;) bisa pakai rule ini di firewall: # Syn flood # iptables -N SYN-FLOOD iptables -F SYN-FLOOD iptables -A SYN-FLOOD -m limit --limit 1/s --limit-burst 3 -j RETURN iptables -A SYN-FLOOD -j DROP ... iptables -A INPUT -m tcp -p tcp --dport 80 --syn -j SYN-FLOOD Atur saja berapa burst yang diinginkan. Baru2 ini webserver kantor kena serangan cara lain, ada aplikasi web yang jika error akan membuat log error yg besar sekali sehingga partisi /var tempat log web disimpan jadi penuh 100%. Sehari log error bisa bengkak jadi lebih dari 1 GB ! -- Arief Yudhawarman http://awarmanf.wordpress.com -- FAQ milis di http://wiki.linux.or.id/FAQ_milis_tanya-jawab Unsubscribe: kirim email ke [email protected] Arsip dan info milis selengkapnya di http://linux.or.id/milis
