»
遊客:
加入
|
登入
(帳號有問題請連絡TWed2k@gmail.com)
TWed2k
»
Linux交流
» [問題] 如何防止Apache被DDos
可打印版本
|
推薦給朋友
|
訂閱主題
|
收藏主題
|
純文字版
19
1/2
1
2
>
論壇跳轉 ...
主題: [問題] 如何防止Apache被DDos
字型大小:
小
|
中
|
大
|
巨
←
→
tpcat
銅驢友〔高級〕
今日心情
. 積分:
182
. 文章:
587
. 收花: 1370 支
. 送花: 433 支
. 比例: 0.32
. 在線: 1356 小時
. 瀏覽: 17072 頁
. 註冊:
7999
天
. 失蹤:
55
天
#1 : 2006-1-17 08:00 AM
只看本作者
送花
(0)
送出中...
小弟的Apache曾經被DDos過,情形就是Apache被一大堆的瀏覽需求給塞垮了,連帶著網路也給塞爆了。請問是從Apache,還是從另外一部Linux架設成的防火牆來阻絕這種無聊的行為會比較恰當呢?方法為何?謝謝。
[tpcat 在 2006-1-17 08:01 AM 作了最後編輯]
[如果你喜歡本文章,就按本文章之鮮花~送花給作者吧,你的支持就是別人的動力來源]
本文連接
快速回覆
送出中...
Moffatt
銅驢友〔高級〕
今日心情
. 積分:
176
. 文章:
205
. 收花: 1605 支
. 送花: 435 支
. 比例: 0.27
. 在線: 1088 小時
. 瀏覽: 4590 頁
. 註冊:
7106
天
. 失蹤:
1015
天
#2 : 2006-1-17 03:52 PM
只看本作者
送花
(3)
送出中...
基本上在你Apache那一台的Linux架firewall就可以了
有人用 bash script 寫成 firewall 的安裝套件
只要用選單進去設定一下就可以了:
Jay's Iptables Firewall
[如果你喜歡本文章,就按本文章之鮮花~送花給作者吧,你的支持就是別人的動力來源]
本文連接
快速回覆
送出中...
chaeung
版主
GOD
. 積分:
264
. 文章:
1337
. 收花: 1379 支
. 送花: 1 支
. 比例: 0
. 在線: 1321 小時
. 瀏覽: 16502 頁
. 註冊:
8001
天
. 失蹤:
885
天
#3 : 2006-1-18 12:48 AM
只看本作者
送花
(0)
送出中...
個人獨斷的偏見:
這要看DDoS的程度, script jail作用有限, 當封包都已經阻塞到門口時問題只在於頻寬而已.
小型DDoS, Firewall封包過濾機制可以防止server crash. server閒得很, Firewall忙得要命, 網站一樣失能.
中型DDoS, 聯絡ISP暫時阻絕這些IP送來的任何封包, 請ISP設法聯絡這些IP的ISP通知該IP的主機管理員檢查安全狀況.
大型DDoS, 至今尚無任何有效措施, 任何防火牆都只能"某種程度"而絕對無法"完全"防止.
以上
[如果你喜歡本文章,就按本文章之鮮花~送花給作者吧,你的支持就是別人的動力來源]
本文連接
快速回覆
送出中...
innova
銀驢友〔高級〕
今日心情
. 積分:
916
. 文章:
2714
. 收花: 7188 支
. 送花: 1461 支
. 比例: 0.2
. 在線: 2182 小時
. 瀏覽: 15142 頁
. 註冊:
6963
天
. 失蹤:
13
天
. 火星
#4 : 2006-1-19 10:42 PM
只看本作者
送花
(0)
送出中...
不太了耶?
Jay's Iptables Firewall
看起來 似乎 只有 iptables 設定
方便 管理者 做設定!?
降低了 管理者"k文件" 的工作
(但是 沒有一點基礎的 應該還是沒辦法設定吧?)
似乎 並沒有 即時偵測DOS/...etc.攻擊
即時封鎖 IP 等功能!??
甚至於 沒看到有 限制IP連線數/流量 等設定功能?
(指大概看了一下, 也許是我`目小` 沒看到...?)
跟我自己手動設定 iptables 有什麼不同?
有什麼功能 是我自己去設定 iptables 做不到的嗎??
[如果你喜歡本文章,就按本文章之鮮花~送花給作者吧,你的支持就是別人的動力來源]
本文連接
快速回覆
送出中...
chaeung
版主
GOD
. 積分:
264
. 文章:
1337
. 收花: 1379 支
. 送花: 1 支
. 比例: 0
. 在線: 1321 小時
. 瀏覽: 16502 頁
. 註冊:
8001
天
. 失蹤:
885
天
#5 : 2006-1-19 11:01 PM
只看本作者
送花
(0)
送出中...
個人獨斷的偏見:
我也沒力氣去看這script, 不過script能做到的, 應該是在cron中定時跑script, 每次去分析log, 單位時間內連線次數太多則判定為DDoS攻擊, 臨時性修改防火牆policy封IP幾小時並向管理員示警之類的. 和port nock原理一樣, 屬於script的變形高級技.
以上
[如果你喜歡本文章,就按本文章之鮮花~送花給作者吧,你的支持就是別人的動力來源]
本文連接
快速回覆
送出中...
innova
銀驢友〔高級〕
今日心情
. 積分:
916
. 文章:
2714
. 收花: 7188 支
. 送花: 1461 支
. 比例: 0.2
. 在線: 2182 小時
. 瀏覽: 15142 頁
. 註冊:
6963
天
. 失蹤:
13
天
. 火星
#6 : 2006-1-20 12:50 AM
只看本作者
送花
(0)
送出中...
嗯~ 主要程式: /usr/sbin/firewall-config.pl
設定檔:
/etc/firewall-jay/firewall.config
跟
/etc/firewall-jay/firewall-spy-update.config
剛 grep 了一下
似乎並沒有看到 "cron" 字樣!?
而且 要分析 log, 應該要先設定/讀取 /etc/syslog.conf 吧!?
要不然 他怎麼知道 該分析那一個log檔?
似乎也沒有找到 syslog.conf 字樣...
so...
[如果你喜歡本文章,就按本文章之鮮花~送花給作者吧,你的支持就是別人的動力來源]
本文連接
快速回覆
送出中...
tpcat
銅驢友〔高級〕
今日心情
. 積分:
182
. 文章:
587
. 收花: 1370 支
. 送花: 433 支
. 比例: 0.32
. 在線: 1356 小時
. 瀏覽: 17072 頁
. 註冊:
7999
天
. 失蹤:
55
天
#7 : 2006-3-23 06:56 PM
只看本作者
送花
(1)
送出中...
其實,我發現現在網路應該有工具可以輕易的讓那些無聊的人做DDOS攻擊。
因為小弟我的網頁屬於私人網頁,還有公司的,也不大,都被DDOS過。
症狀就是一大票不重複IP的封包大量的來瀏覽你的網站,而且需求只送一半。
所以,Apache會先掛,頻寬小的也會被塞爆。
與中華(我的ISP)聯絡,由於來源IP實在太多了,他們根本沒有辦法一個個與對方網管聯絡。
只能在短暫的一段時間內幫你提高頻寬而已。
現在我的處理方式是私人網站不用80 PORT,公司網站碰到了,關站個幾個小時,通常就可以解決了。
只是,覺得很煩,看看有沒有方法,降低需要人去處理的頻率而已。
[如果你喜歡本文章,就按本文章之鮮花~送花給作者吧,你的支持就是別人的動力來源]
本文連接
快速回覆
送出中...
innova
銀驢友〔高級〕
今日心情
. 積分:
916
. 文章:
2714
. 收花: 7188 支
. 送花: 1461 支
. 比例: 0.2
. 在線: 2182 小時
. 瀏覽: 15142 頁
. 註冊:
6963
天
. 失蹤:
13
天
. 火星
#8 : 2006-3-24 05:53 PM
只看本作者
送花
(0)
送出中...
我是直接 把 公司不太可能做生意的對象
(主要 只有兩岸三地 跟日本而已... 常還會有啥 .nl 的過來亂掃.. 討厭!)
整個封包拒絕掉
狠了點, 不過 看起來 蠻有效的!!
至少 廣告信至少少一半
try 我 web 是不是提供 proxy 服務的 也只剩下對岸少數幾個 IP範圍...
(對岸 IP沒法封鎖 感覺很討厭)
[如果你喜歡本文章,就按本文章之鮮花~送花給作者吧,你的支持就是別人的動力來源]
本文連接
快速回覆
送出中...
tpcat
銅驢友〔高級〕
今日心情
. 積分:
182
. 文章:
587
. 收花: 1370 支
. 送花: 433 支
. 比例: 0.32
. 在線: 1356 小時
. 瀏覽: 17072 頁
. 註冊:
7999
天
. 失蹤:
55
天
#9 : 2006-3-26 09:47 AM
只看本作者
送花
(0)
送出中...
現在防火牆應付掃描,應該是有解決方案的。
[如果你喜歡本文章,就按本文章之鮮花~送花給作者吧,你的支持就是別人的動力來源]
本文連接
快速回覆
送出中...
badcat
銀驢友〔初級〕
壞喵
. 積分:
541
. 精華:
3
. 文章:
837
. 收花: 3874 支
. 送花: 982 支
. 比例: 0.25
. 在線: 3330 小時
. 瀏覽: 62312 頁
. 註冊:
7240
天
. 失蹤:
173
天
#10 : 2006-3-27 09:03 AM
只看本作者
送花
(1)
送出中...
-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1
其實只要去買一個具有防 DDoS 的寬頻分享器來阻擋流量,這樣你的電腦系統就不用負擔阻擋 DDoS 流量的工作。寬頻分享器運作效能高,設定起來又輕鬆。
就小弟自己曾經用過的廠牌做的一說明:
我用的是 DrayTek「居易」 Vigor 2100VG 的 IP 分享器。
中小型公司就用 Draytek Vigor 2900,約可負擔公司 100 人以下的流量。這是經過美國 ICSA 實驗室 的防火牆認證,也提供 DDoS 防護,價位 NT$4500,不知道夠不夠你用。(2900 已經算是產品線內價位較高的了,其它的產品多在 NT$1500..3100 左右)
如果還是嫌 Vigor 2900 太貴 (我是窮學生),那就選其它系列的,居易 的產品大多有提供基礎的 DDoS 防護,只是功能較少,可負擔的流量較小而已。(個人使用 Vigor 2104 NT$1500, Vigor 2100VG 無線 G NT$3600)
其實不一定要找 DrakTek 「居易」的產品,你也可以找其它類似功能的同級硬體,只不過小弟「個人認為」 Vigor 的價位是比較划算的,有些廠牌同級產品的價位實在有點高。(哈!我好想買 3COM 的 Switch Hub)
不過小弟並不想廣告,我又沒賺到錢!小弟只是提供一個解決的方向,好不好用還是得要自己多上網查詢及多判斷才不會被騙。
所以上述資料請自己用 Google 找
Google: Draktek 居易
Google: Vigor
Google: 明誠科技有限公司
P.S. 若這樣還不妥,煩請版主說一聲。
如果大家有找到功能更強價位更合算的產品,或是找出其它更便宜好用的解決方案,倒是可以跟樓主說一聲。(小弟也想知道耶!)
-----BEGIN PGP SIGNATURE-----
Version: PGP 8.1
iQA/AwUBRCc/8Bl3yhBVZiD/EQKt4ACg9eiZAdyiZK7igS/QJ+mbZi8145sAoMaa
ygfDXL8qlWgsEYTSS1uonWU0
=tXxU
-----END PGP SIGNATURE-----
[badcat 在 2006-3-27 09:30 AM 作了最後編輯]
[如果你喜歡本文章,就按本文章之鮮花~送花給作者吧,你的支持就是別人的動力來源]
本文連接
快速回覆
送出中...
innova
銀驢友〔高級〕
今日心情
. 積分:
916
. 文章:
2714
. 收花: 7188 支
. 送花: 1461 支
. 比例: 0.2
. 在線: 2182 小時
. 瀏覽: 15142 頁
. 註冊:
6963
天
. 失蹤:
13
天
. 火星
#11 : 2006-3-27 05:31 PM
只看本作者
送花
(1)
送出中...
呵... PGP !? Cool.....
以價錢來說的話
我以前在網路上找到 最便宜的 IP分享
氣
大概就是友旺的
慘
品了
but...
http://twed2k.org/viewthread.php?tid=107977&fpage=1
我使用的慘品 雖然規格不太一樣
不過 下面這款 看起來 功能差不多
http://www.aboway.com.tw/product_detail.php?id=82
不過 網路上 查不到價格...
[如果你喜歡本文章,就按本文章之鮮花~送花給作者吧,你的支持就是別人的動力來源]
本文連接
快速回覆
送出中...
laster
銀驢友〔高級〕
ツッコミ上等!! 何でやねん >_<#
今日心情
. 積分:
1117
. 精華:
2
. 文章:
1144
. 收花: 9549 支
. 送花: 1139 支
. 比例: 0.12
. 在線: 2780 小時
. 瀏覽: 18841 頁
. 註冊:
8001
天
. 失蹤:
1018
天
. 灰色地帶
#12 : 2006-4-14 07:02 PM
只看本作者
送花
(0)
送出中...
引用:
innova
寫到:
以價錢來說的話
我以前在網路上找到 最便宜的 IP分享
氣
大概就是友旺的
慘
品了
友旺的
慘
品
沒錯!就是
慘
品
經過上次後,我絕對再也不買友旺的
慘
品了
慘痛的教訓
[如果你喜歡本文章,就按本文章之鮮花~送花給作者吧,你的支持就是別人的動力來源]
本文連接
快速回覆
送出中...
laikyo
銅驢友〔高級〕
今日心情
. 積分:
189
. 精華:
2
. 文章:
681
. 收花: 1186 支
. 送花: 697 支
. 比例: 0.59
. 在線: 626 小時
. 瀏覽: 2811 頁
. 註冊:
7239
天
. 失蹤:
1018
天
#13 : 2006-4-15 12:50 AM
只看本作者
送花
(0)
送出中...
是有pinger程式可以模擬簡單的ddos攻擊
小的也同意用防火牆來擋
癱瘓式的攻擊還真麻煩
[如果你喜歡本文章,就按本文章之鮮花~送花給作者吧,你的支持就是別人的動力來源]
本文連接
快速回覆
送出中...
tpcat
銅驢友〔高級〕
今日心情
. 積分:
182
. 文章:
587
. 收花: 1370 支
. 送花: 433 支
. 比例: 0.32
. 在線: 1356 小時
. 瀏覽: 17072 頁
. 註冊:
7999
天
. 失蹤:
55
天
#14 : 2006-5-23 10:44 PM
只看本作者
送花
(0)
送出中...
像友旺用的就是Linux核心。
如果從防火牆著手,那麼請問有任何的Linux防火牆套件可以做到防DDos呢?
iptable可以做到嗎?
[如果你喜歡本文章,就按本文章之鮮花~送花給作者吧,你的支持就是別人的動力來源]
本文連接
快速回覆
送出中...
coolhd
銅驢友〔高級〕
今日心情
. 積分:
161
. 文章:
340
. 收花: 266 支
. 送花: 96 支
. 比例: 0.36
. 在線: 2304 小時
. 瀏覽: 118221 頁
. 註冊:
8001
天
. 失蹤:
21
天
. Taiwan Taichung
#15 : 2006-5-28 01:10 PM
只看本作者
送花
(4)
送出中...
版主 MU : 謝謝您的寶貴資訊
評分:+1
我提供我個人的看法:
1.針對Apache來說,不管是好意或惡意的連線,都會留記錄在log檔,它有可能是有規則性的,這時候可以透過rewrite的寫法,來處理或重導這類的連線.關於rewrite的部分可以參考Apache的手冊說明.
http://httpd.apache.org/docs/2.0/mod/mod_rewrite.html
2.可以到
Apache的模組區
找找看,有幾套不錯的module可以試試.
mod_limitipconn
http://modules.apache.org/search?id=241
mod_security
http://www.modsecurity.org/
mod_evasive
http://www.nuclearelephant.com/projects/mod_evasive/
[如果你喜歡本文章,就按本文章之鮮花~送花給作者吧,你的支持就是別人的動力來源]
本文連接
快速回覆
送出中...
19
1/2
1
2
>
快速回覆
表情符號
更多 Smilies
字型大小 :
小
|
中
|
大
|
巨
[完成後可按 Ctrl+Enter 發佈]
溫馨提示:本區開放遊客瀏覽。
選項:
關閉 URL 識別
關閉
表情符號
關閉
Discuz! 代碼
使用個人簽名
接收新回覆信件通知
發表時自動複製內容
[立即複製]
(IE only)
論壇跳轉 ...
所在時區為 GMT+8, 現在時間是 2024-4-25 07:37 PM
清除 Cookies
-
連絡我們
-
TWed2k
© 2001-2046
-
純文字版
-
說明
Discuz!
0.1
| Processed in 0.027020 second(s), 7 queries , Qzip disabled
chaeung
