Kirill Shatalaev wrote: > Приветствую. > > У меня VPS на Debian Etch, ядро 2.6.18-028stab059.5-ent > > Собственно, DoS-ят VDS, причём достаточно примитивно: > > Первая мысль: > # iptables -A INPUT -p tcp --dport 80 -m connlimit --connlimit-above 5 > -j DROP
Если уж на то пошло, то лучше использовать hashlimit, поскольку он ограничивает число соединений не для всех IP, а для каждого в отдельности. Иначе DoS-атака окажется успешной, т.к. все разрешенные соединения будут идти только с IP атакующего. > > В ответ отлуп: > iptables: No chain/target/match by that name > > Поддержка в iptables есть: > #iptables -m connlimit -h > > connlimit v1.3.6 options: > [!] --connlimit-above n match if the number of existing tcp > connections is (not) above n > --connlimit-mask n group hosts using mask Это означает только то, что управляющая программа iptables поддерживает синтаксис для этого модуля. Без предварительного modprobe ipt_connlimit ничего работать не будет. > > Обратился в техподдержку хостера - в ответ отлуп: бла-бла-бла невозможно > добавить в ВПС данные модули. > > В общем, очаровательно, и чего же мне делать теперь? Какие есть > альтернативы? Прошу помощи. > Настраивайте в Apache количество соединений с одного IP с помощью модуля mod_limitipconn. Обращайтесь к хостеру, чтобы он предоставил какие-то средства для бана по IP, хотя бы tcp_wrapper какой-нибудь. -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org
