(Scusate l'OT) ottavio tu te ne intendi di tc, traffic shaping? puoi passarmi il tuo msn o la tua email? forse tu mi potresti aiutare!

oddio, alla fine fa le stesse cose. Snort fa tante cose, non lo conosce bene e non mi fido ad usarlo prima di conoscerlo bene.

Tra parentesi, il dos procede ancora. A questo punto è possibile farsi cambiare l'ip? o qualcosa del genere? Insomma, è fastidioso...

ovvero come?

invece di creare migliaia di regole cercando di droppare i clients con iptables, puoi più semplicemente filtrare direttamente le richieste usando snort inline.

aggiungi al set web le tue rules con gli url da filtrare e buona notte.

ah beh, per una roba fatta bevendo una birra alle undici di sera, capirai cosa devo nascondere... Non è html come dice, è bash.


le righe commentate servono se vuoi flushare e reinizializzare il firewall. io lo eseguo, senza il flush, ogni 5 minuti.

mi interessa più che altro il tuo script. se possibile ....

Si questi potrebbero interessare

se vi interessa io vi pubblico la lista degli ip della botnet che sta attaccando il server. sono un bel pò di ip....

io ho fatto uno script che ogni tot minuti legge i log e mette delle regole mirate in iptables. Adesso ci sono oltre 3000 host filtrati

Su questo concordo ma deve avvenire non nel momento di massimo attacco e comunque non attraverso forum pubblici

cosi', a naso, senza avere un firewall hardware puoi solo usare snort e iptables (o altro firewall, ipfw o pf per i sistemi bsd per esempio) per bloccare chi cerca di attaccarti.
bisogna tener presente che in ogni caso quei pacchetti devono essere processati dal kernel (per decidere se essere scartati o meno), quindi alla macchina arrivano e la rallentano aumentandone il carico.
d'altro canto, una macchina carica non e' una macchina irraggiungibile, quindi il servizio lo tieni in piedi, sebbene magari zoppicante.

su questa cosa non sono d'accordo, anzi si potrebbe fare qualcosa per tutti: infatti, se chi subisce un dDoS pubblicasse tutti gli indirizzi ip che l'hanno attaccato, tutti gli altri potrebbero iniziare col filtrarli sui firewall dei loro server e magari OVH potrebbe agire sia per vie legali (solitamente con poche speranze, ma almeno le mail ai gestori dei network incriminati si possono mandare) che filtrandoli sui loro firewall hardware.
tutto questo per migliorare il servizio a tutti.

my 2 cents

comunque se uno sta subendo un DDoS è meglio non scriverlo pubblicamente almeno sino a quando la situazione non si è normalizzata altrimenti si rischia di subire la botta finale

per filtrare e rendere cmq raggiungibili porte come la 411 e 4111, cosa consigli ottavio?

scusa.. apri un ticket è chiedi di filtrare sta roba!

Visto che OVH vanta proprio di un alta tecnologia per filtrare scan maz e pazzielle varie.. è un modo per farlo vedere che qualcosa non va.

Anche perchè se tel'ha fatto da subito appena comprato l'RPS, sarà sicuramente qualcosa rimasto li appeso e non ne devi pagare tu le conseguenze, al max.. ti cambiassero ip.

con snort-inline, ad esempio

con l'unica roba che posso fare: iptables: almeno così le connessioni non arrivano all'apache e non mi inchiodano la macchina. All'attuale stato delle cose ho dovuto mettere i drop tutti i pacchetti vero la porta 80 da oltre 1500 ip e le cose funzionicchiano.

La banda la consumo lo stesso, anche se in quantità inferiore. E almeno apache risponde...

Se tolgo il firewall, le richieste del browser verso il sito vanno in timeout.

PS: giusto per dare un'idea della portata della cosa se non filtrata. Per la sola giornata di ieri ci siamo ritrovati con il file access.log di apache grande 500 mb...

scusa, con cosa "filtri" una botnet??? .....

Ho consigliato ovh ad un mio amico per un rps per il suo sito.

Da quando gli è stato consegnato pochi giorni fa è costantemente sotto DOS. Io gli ho fatto uno script che gli aggiorna il firewall, ma nei log di apache c'è un mare di roba del tipo

66.168.46.182 - - [03/Dec/2008:14:40:21 +0100] "GET /kkk/pliki/ HTTP/1.1" 404 370 "-" "AutoHotkey"
66.168.46.182 - - [03/Dec/2008:14:40:21 +0100] "GET /kkk/pliki/ HTTP/1.1" 404 328 "-" "AutoHotkey"
66.168.46.182 - - [03/Dec/2008:14:40:21 +0100] "GET /kkk/pliki/ HTTP/1.1" 404 344 "-" "AutoHotkey"
66.168.46.182 - - [03/Dec/2008:14:40:22 +0100] "GET /kkk/pliki/ HTTP/1.1" 404 329 "-" "AutoHotkey"
66.168.46.182 - - [03/Dec/2008:14:40:22 +0100] "GET /kkk/pliki/

Not%20Found

HTTP/1.1" 404 334 "-" "AutoHotkey"
66.168.46.182 - - [03/Dec/2008:14:40:22 +0100] "GET /kkk/pliki/

The%20requested%20URL%20/kkk/listaplikowwazne.txt%20was%20not%20found%20on%20th is%20server.

HTTP/1.1" 404 396 "-" "AutoHotkey"
66.168.46.182 - - [03/Dec/2008:14:40:22 +0100] "GET /kkk/pliki/

---

HTTP/1.1" 404 314 "-" "AutoHotkey"
66.168.46.182 - - [03/Dec/2008:14:40:22 +0100] "GET /kkk/pliki/

Apache/2.2.3%20(Debian)%20PHP/4.4.4-8+etch6%20Server%20at%2087.98.140.132%20Port%2080

HTTP/1.1" 404 406 "-" "AutoHotkey"
66.168.46.182 - - [03/Dec/2008:14:40:23 +0100] "GET /kkk/pliki/ HTTP/1.1" 404 330 "-" "AutoHotkey"
66.168.46.182 - - [03/Dec/2008:14:40:25 +0100] "GET /kkk/listaplikow.txt HTTP/1.1" 404 313 "-" "AutoHotkey"
66.168.46.182 - - [03/Dec/2008:14:40:25 +0100] "GET /kkk/pliki/ HTTP/1.1" 404 370 "-" "AutoHotkey"
66.168.46.182 - - [03/Dec/2008:14:40:25 +0100] "GET /kkk/pliki/ HTTP/1.1" 404 328 "-" "AutoHotkey"
66.168.46.182 - - [03/Dec/2008:14:40:25 +0100] "GET /kkk/pliki/ HTTP/1.1" 404 344 "-" "AutoHotkey"
66.168.46.182 - - [03/Dec/2008:14:40:26 +0100] "GET /kkk/pliki/ HTTP/1.1" 404 329 "-" "AutoHotkey"
66.168.46.182 - - [03/Dec/2008:14:40:26 +0100] "GET /kkk/pliki/

Not%20Found

HTTP/1.1" 404 334 "-" "AutoHotkey"

Adesso l'ip è uno solo perché ormai quasi tutta la botnet è stata filtrata, però, cavolo, è possibile che sia l'unico server sotto attacco?