Скрыть объявление

Уважаемые Коллеги.

Данный форум является дополнительной, публичной площадкой для поддержки клиентов хостинга ДатаБор, но также и для всех желающих. Все сообщения (вопросы, ответы и тд) будут видны публично и будут индексироваться поисковыми системами. Если вы хотите спрятать сообщение, используйте хайды по разным параметрам. Время ответа на форуме поддержки может составлять от 1 часа - до 5 часов в зависимости от загруженности дежурного администратора.

Для оперативного решения вопросов в закрытом формате, пользуйтесь пожалуйста нашим биллингом - тикет система.

Мы также всегда рады ответить на ваши вопросы по Скайпу: databor и по email: info@databor.ru

С уважением, администрация ДатаБор.

Блокировка флуд-атак с помощью IPTables

Тема в разделе "Настройки сервера", создана пользователем root, 31 янв 2017.

Метки:
  1. root

    root root Команда форума

    Если в случае флуда на сервер, атака происходит с одного IP-адреса, его можно заблокировать средствами IPTables:
    # iptables -A INPUT -s ip.ad.d.r -j DROP
    где ip.ad.d.r - IP-адрес нарушителя.

    В случае, если таких адресов много, то блокировать их по одному затруднительно.
    Поэтому для блокировки таких адресов необходимо проанализировать access-лог веб-сервера.
    Как правило, атаки происходят по шаблону и на одни и те же страницы.
    # tail -f /var/log/nginx/access.log
    1.2.3.4 - - [01/Jan/2017:00:00:00 +0300] site.ru GET / HTTP/1.1 200 25 "http://site.ru/" "Mozilla/5.0 (compatible; somebot/2.0; +http://somebot.com/" "-" 0.017-0.017
    1.2.3.5 - - [01/Jan/2017:00:00:00 +0300] site.ru GET / HTTP/1.1 200 25 "http://site.ru/" "Mozilla/5.0 (compatible; somebot/2.0; +http://somebot.com/" "-" 0.017-0.017
    1.2.3.6 - - [01/Jan/2017:00:00:00 +0300] site.ru GET / HTTP/1.1 200 25 "http://site.ru/" "Mozilla/5.0 (compatible; somebot/2.0; +http://somebot.com/" "-" 0.017-0.017
    1.2.3.7 - - [01/Jan/2017:00:00:00 +0300] site.ru GET / HTTP/1.1 200 25 "http://site.ru/" "Mozilla/5.0 (compatible; somebot/2.0; +http://somebot.com/" "-" 0.017-0.017
    1.2.3.8 - - [01/Jan/2017:00:00:00 +0300] site.ru GET / HTTP/1.1 200 25 "http://site.ru/" "Mozilla/5.0 (compatible; somebot/2.0; +http://somebot.com/" "-" 0.017-0.017
    1.2.3.9 - - [01/Jan/2017:00:00:00 +0300] site.ru GET / HTTP/1.1 200 25 "http://site.ru/" "Mozilla/5.0 (compatible; somebot/2.0; +http://somebot.com/" "-" 0.017-0.017
    1.2.3.10 - - [01/Jan/2017:00:00:00 +0300] site.ru GET / HTTP/1.1 200 25 "http://site.ru/" "Mozilla/5.0 (compatible; somebot/2.0; +http://somebot.com/" "-" 0.017-0.017
    1.2.3.11 - - [01/Jan/2017:00:00:00 +0300] site.ru GET / HTTP/1.1 200 25 "http://site.ru/" "Mozilla/5.0 (compatible; somebot/2.0; +http://somebot.com/" "-" 0.017-0.017


    Блокируем все соединения на 80 и 443 порты, в которых есть совпадения с нужным User Agent:
    # iptables -A INPUT -p tcp --dport 80 -m string --algo bm --string "compatible; somebot" -j DROP
    # iptables -A INPUT -p tcp --dport 443 -m string --algo bm --string "compatible; somebot" -j DROP