누가 ddos 공격을 하고 있는데요 ㅠㅠ 좋은 방어 방법이 없을까요 ? 정보
누가 ddos 공격을 하고 있는데요 ㅠㅠ 좋은 방어 방법이 없을까요 ?본문
현재 다량의 ip가 웹 한페이지만 집중 공략을 하고 있는 상항입니다.
그래서
iptables 해당 파일에
-A INPUT -p tcp --dport 80 -m recent --update --seconds 1 --hitcount 5 --name HTTP -j DROP
-A FORWARD -m recent --name badguy --rcheck --seconds 300 -j DROP
-A FORWARD -p tcp --syn --dport 80 -m connlimit --connlimit-above 5 -m recent --name badguy --set -j DROP
-A FORWARD -p tcp --syn --dport 80 -m connlimit --connlimit-above 5 -j DROP
추가 하였습니다.
방화벽 재시작도 하였구요.
1초당 5회 이상 왔을경우 차단 시키게 되어있는데요.
제대로 작동이 되지 않는거 같습니다.
혹시 더 좋은 방어책이 있나요 ㅠㅠ
아니면 저 추가한 내용이 잘못된 점이 있나요 ㅠㅠ
그래서
iptables 해당 파일에
-A INPUT -p tcp --dport 80 -m recent --update --seconds 1 --hitcount 5 --name HTTP -j DROP
-A FORWARD -m recent --name badguy --rcheck --seconds 300 -j DROP
-A FORWARD -p tcp --syn --dport 80 -m connlimit --connlimit-above 5 -m recent --name badguy --set -j DROP
-A FORWARD -p tcp --syn --dport 80 -m connlimit --connlimit-above 5 -j DROP
추가 하였습니다.
방화벽 재시작도 하였구요.
1초당 5회 이상 왔을경우 차단 시키게 되어있는데요.
제대로 작동이 되지 않는거 같습니다.
혹시 더 좋은 방어책이 있나요 ㅠㅠ
아니면 저 추가한 내용이 잘못된 점이 있나요 ㅠㅠ
추천
0
0
댓글 13개
/etc/init.d/iptables save
/etc/init.d/iptables restart
Denial Of Service 공격 방지
iptables -N syn-flood
iptables -A syn-flood -m limit --limit 12/second --limit-burst 24 -j RETURN
iptables -A syn-flood -j DROP
DDOS 공격 같은경우에는 별 다른방법이 없습니다 현재까지는
단 SSH 접속이 가능한 정도라면 들어오는부분만 drop 시키면 될것같네요
/etc/init.d/iptables restart
Denial Of Service 공격 방지
iptables -N syn-flood
iptables -A syn-flood -m limit --limit 12/second --limit-burst 24 -j RETURN
iptables -A syn-flood -j DROP
DDOS 공격 같은경우에는 별 다른방법이 없습니다 현재까지는
단 SSH 접속이 가능한 정도라면 들어오는부분만 drop 시키면 될것같네요
해당 방화벽에 추가해도 ㅠㅠ 제대로 작동이 안되고 있네요 ㅠㅠ
신큐키 실행이 되어 있나요??
]#sysctl -a|grep syncookie 엔터 해서 == 1 이면 실행중..인데
]#sysctl -a|grep syncookie 엔터 해서 == 1 이면 실행중..인데
네 현재 확인해보니 1이라 나오네요 ㅠㅠ
/var/log/messages 파일에
net kernel: possible SYN flooding on port 80. Sending cookies.
이런게 있나요 ???
net kernel: possible SYN flooding on port 80. Sending cookies.
이런게 있나요 ???
Mar 9 11:08:08 localhost kernel: TCPv6: Possible SYN flooding on port 80. Sending cookies.
Mar 9 11:08:09 localhost kernel: TCPv6: Possible SYN flooding on port 80. Sending cookies.
Mar 9 11:08:10 localhost kernel: TCPv6: Possible SYN flooding on port 80. Sending cookies.
Mar 9 11:08:11 localhost kernel: TCPv6: Possible SYN flooding on port 80. Sending cookies.
Mar 9 11:08:12 localhost kernel: TCPv6: Possible SYN flooding on port 80. Sending cookies.
Mar 9 11:08:17 localhost kernel: TCPv6: Possible SYN flooding on port 80. Sending cookies.
Mar 9 11:08:18 localhost kernel: TCPv6: Possible SYN flooding on port 80. Sending cookies.
Mar 9 11:08:21 localhost kernel: TCPv6: Possible SYN flooding on port 80. Sending cookies.
Mar 9 03:11:47 localhost kernel: possible SYN flooding on port 80. Sending cookies.
Mar 9 03:36:30 localhost kernel: possible SYN flooding on port 80. Sending cookies.
Mar 9 04:35:48 localhost kernel: possible SYN flooding on port 80. Sending cookies.
Mar 9 04:38:07 localhost kernel: possible SYN flooding on port 80. Sending cookies.
Mar 9 07:16:25 localhost kernel: possible SYN flooding on port 80. Sending cookies.
Mar 9 08:28:04 localhost kernel: possible SYN flooding on port 80. Sending cookies.
이런식으로 존재 해요 ㅠㅠ 혹시 제가 수정한 방화벽은
iptables 이거인데요. ip6tables 여기다가도 추구를 해야하나요 ?
Mar 9 11:08:09 localhost kernel: TCPv6: Possible SYN flooding on port 80. Sending cookies.
Mar 9 11:08:10 localhost kernel: TCPv6: Possible SYN flooding on port 80. Sending cookies.
Mar 9 11:08:11 localhost kernel: TCPv6: Possible SYN flooding on port 80. Sending cookies.
Mar 9 11:08:12 localhost kernel: TCPv6: Possible SYN flooding on port 80. Sending cookies.
Mar 9 11:08:17 localhost kernel: TCPv6: Possible SYN flooding on port 80. Sending cookies.
Mar 9 11:08:18 localhost kernel: TCPv6: Possible SYN flooding on port 80. Sending cookies.
Mar 9 11:08:21 localhost kernel: TCPv6: Possible SYN flooding on port 80. Sending cookies.
Mar 9 03:11:47 localhost kernel: possible SYN flooding on port 80. Sending cookies.
Mar 9 03:36:30 localhost kernel: possible SYN flooding on port 80. Sending cookies.
Mar 9 04:35:48 localhost kernel: possible SYN flooding on port 80. Sending cookies.
Mar 9 04:38:07 localhost kernel: possible SYN flooding on port 80. Sending cookies.
Mar 9 07:16:25 localhost kernel: possible SYN flooding on port 80. Sending cookies.
Mar 9 08:28:04 localhost kernel: possible SYN flooding on port 80. Sending cookies.
이런식으로 존재 해요 ㅠㅠ 혹시 제가 수정한 방화벽은
iptables 이거인데요. ip6tables 여기다가도 추구를 해야하나요 ?
저거요.. iptables 방화벽은 일단 넣으면 바로 작동되는거 아니에요.
리스타트하면 강제로 넣은건 다 지워지고 설정에 있는것만 적용되는 걸로 아는데요.
리스타트하면 강제로 넣은건 다 지워지고 설정에 있는것만 적용되는 걸로 아는데요.
리스타트 해서 iptables -L 쳐봐도 남아 있더라구요 ㅠㅠ
근데 제대로 작동이 안되네요
근데 제대로 작동이 안되네요
DDOS공격이라 보기는 좀 모하네요..
3-4번 당해보니 손쓸방법두 없던데요
그져 호스팅회사 DDOS존 서비스 이용하는방법 이외는.... 돈이 무지 들어가지만 그방법 이외는
없더군요
3-4번 당해보니 손쓸방법두 없던데요
그져 호스팅회사 DDOS존 서비스 이용하는방법 이외는.... 돈이 무지 들어가지만 그방법 이외는
없더군요
좋은 정보 감사합니다 ㅠㅠ 계속 80번 포트 한주소만 집중 공격을 하고있네요 ㅠㅠ
헐...;;
이런상황 난감하겠군요..ㅠㅠ
시러
