The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка  RSS
"squid+http flood от пользователей"
Вариант для распечатки  
Пред. тема | След. тема 
Форумы Настройка Squid и других прокси серверов (Public)
Изначальное сообщение [Проследить за развитием треда]

"squid+http flood от пользователей"  
Сообщение от TriCK (ok) on 03-Дек-07, 19:42 
Итак, система FreeBSD 6.2 + Squid 2.5.14Stable + ipfw
Настроено прозрачное проксирование.
Недавно обнаружил, что прокся пытается съесть чуть ли не всё wcpu time. Стал разбираться в чём дело, и в логах обнаружил вот такое.

1196690889.104  59129 172.16.2.64 TCP_MISS/500 1405 GET http://august4u.ru/secretdesires - DIRECT/84.19.185.16 text/html
1196690889.104  59233 172.16.2.64 TCP_MISS/500 1405 GET http://august4u.ru/secretdesires - DIRECT/84.19.185.16 text/html
1196690889.104  59233 172.16.2.64 TCP_MISS/500 1405 GET http://august4u.ru/secretdesires - DIRECT/84.19.185.16 text/html

Сообщения запросов от одного юзера повторяются бесконечное множество раз. Ясно, что у пользователя вирус, делающий dos атаку на сервак, а сквид видать forkает каждую новую сессию. Вопрос, как можно решить эту проблему средствами самого сквида или же файрвола?
Способ отключать пользователей вручную до выяснения обстоятельств не представляется возможным.

Не хватает знаний определить тип этой атаки...является ли она SYN или ещё чем-то. Буду очень признателен, если кто-то хотя б даст направление куда копать.
Можно ли как-то ограничивать колличество сессий на ip?

Высказать мнение | Ответить | Правка | Cообщить модератору

 Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "squid+http flood от пользователей"  
Сообщение от Vaso Petrovich on 03-Дек-07, 20:18 
hashlimit ищи аналог в фряхе...
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

2. "squid+http flood от пользователей"  
Сообщение от ipmanyak (??) on 03-Дек-07, 23:06 
>Можно ли как-то ограничивать колличество сессий на ip?

В сквиде да можно, читай тэг maxconn http://www.visolve.com/squid/squid24s1/access_controls.php


Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

3. "squid+http flood от пользователей"  
Сообщение от TriCK (ok) on 04-Дек-07, 10:34 
>В сквиде да можно, читай тэг maxconn

Сделал вот такое

acl students src 172.16.0.0/255.255.0.0
acl limit maxconn 20
http_reply_access deny students limit
http_reply_access allow students


Запросы флудера теперь выглядят вот так

4 172.16.2.4 TCP_NEGATIVE_HIT/404 353 GET http://august4u.ru/secretdesires -NONE/ -text/html

Но что странно, во фремя флуда процессорное время всё также жрётся сквидом чрезмерно. К тому же подозрительно упала загрузка канала в то время, когда обычно она близка к 100%(конфигурацию пулов не менял).

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Индекс форумов | Темы | Пред. тема | След. тема
Оцените тред (1=ужас, 5=супер)? [ 1 | 2 | 3 | 4 | 5 ] [Рекомендовать для помещения в FAQ]




Спонсоры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2023 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру