LINUX.ORG.RU

1 2
Ответ на: комментарий от MrSullex

Опишите дистрибутив и его версию, каким образом проверяете что ignore list не работает? Либо тут, либо создайте issue на гитхабе.

Amet13 ★★★★★
()
Ответ на: комментарий от Amet13

Проверил на чистой CentOS 7 на всякий случай, все ок. 

[root@wordpress-162 tmp]# netstat -tulpan | grep 192.168.0.91 -c
8304
[root@wordpress-162 tmp]# cat /usr/local/ddos-deflate/ignoreip.list 
127.0.0.1
192.168.0.1
192.168.0.91
[root@wordpress-162 tmp]# iptables -L -vn
Chain INPUT (policy ACCEPT 743K packets, 50M bytes)
 pkts bytes target     prot opt in     out     source               destination         

Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination         

Chain OUTPUT (policy ACCEPT 743K packets, 679M bytes)
 pkts bytes target     prot opt in     out     source               destination

NO_OF_CONNECTIONS=300

Amet13 ★★★★★
()
Последнее исправление: Amet13 (всего исправлений: 1)
Ответ на: комментарий от MrSullex

Вот знаете, до сего дня не знал что это такое, но не поленился почитать что же там написано в почитай_меня, ручками его правят.

anc ★★★★★
()
Ответ на: комментарий от MrSullex

readme читайте, из ignoreip.list читают, а не «Он туда сам вписывает нужные ип». Не вписывает Он. Так понятнее?

anc ★★★★★
()
Ответ на: комментарий от snaf

Не, я тоже такое замечал, правда давно. Кастанули в теме которая была интересна, но сам каст не прилетел.

anc ★★★★★
()
Ответ на: комментарий от MrSullex

Ок, задам вопрос по другому и какие адреса он туда автоматом вписывет?
И уже как написал автор, покажите iptables -L -vn и ignoreip.list

anc ★★★★★
()
Последнее исправление: anc (всего исправлений: 2)
Ответ на: комментарий от MrSullex

Вот здесь iptables -L -vn оно есть?
ЗЫ Что такое «ип лицензии» я даже боюсь представить, но все-таки спрошу. А что такое «ип лицензии»? И какое оно отношение к сабжу имеет?

anc ★★★★★
()
Ответ на: комментарий от anc

У меня лицензионная панель управления. Если заблокировать ип лицензии, то сайт не грузит. В iptables блокируется этот ip. А иногда он каким то образом и ип машины блокирует.

MrSullex
() автор топика
Ответ на: комментарий от MrSullex

В iptables блокируется этот ip. А иногда он каким то образом и ип машины блокирует.

Мальчик ты д, хочешь помощи так показывай что у тебя там в iptables когда «заблокировано», или разбирайся сам.

Вот честно, мне представляется такой одинокий мальчик, который стоит на улице и плачет «В iptables блокируется этот ip. А иногда он каким то образом и ип машины блокирует.»
Особенно меня трогает «А иногда он каким то образом и ип машины блокирует».
Очень хочется помочь этому мальчику и сделать так, что бы «он» никогда «каким то образом» эти «ип машины» не блокировал.

anc ★★★★★
()
Ответ на: комментарий от MrSullex

Да, дорогой, именно. И еще тот факт что они есть в ignoreip.list который лежит по правильному пути (ведь у тебя он точно лежит где нужно, и ты в этом уверен). И еще вывод iptables -L -vn ДО запуска сабжа, что бы мы убедились, что Вы дорогой не гоните.

anc ★★★★★
()
Ответ на: комментарий от anc

iptables -L -vn до запуска выдает

Chain INPUT (policy ACCEPT 47M packets, 7413M bytes)
 pkts bytes target     prot opt in     out     source               destination 

Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination 

Chain OUTPUT (policy ACCEPT 47M packets, 7856M bytes)
 pkts bytes target     prot opt in     out     source               destination

ignoreip.list содержит

cat /usr/local/ddos-deflate/ignoreip.list
127.0.0.1
192.168.0.1
5.135.111.152
85.175.218.160

После запуска скрипта

Chain INPUT (policy ACCEPT 74363 packets, 5577K bytes)                                                                                                        
 pkts bytes target     prot opt in     out     source               destination                                                                               
   66  6343 DROP       all  --  *      *       93.171.21.247        0.0.0.0/0                                                                                 
   18   720 DROP       all  --  *      *       91.229.216.8         0.0.0.0/0                                                                                 
   32  1920 DROP       all  --  *      *       40.117.225.55        0.0.0.0/0                                                                                 
  409 21867 DROP       all  --  *      *       178.17.139.59        0.0.0.0/0                                                                                 
    0     0 DROP       all  --  *      *       5.254.65.4           0.0.0.0/0                                                                                 
   42  2480 DROP       all  --  *      *       85.175.218.160       0.0.0.0/0                                                                                 
  398  124K DROP       all  --  *      *       5.135.111.152        0.0.0.0/0                                                                                 
                                                                                                                                                              
Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)                                                                                                              
 pkts bytes target     prot opt in     out     source               destination                                                                               
                                                                                                                                                              
Chain OUTPUT (policy ACCEPT 73856 packets, 11M bytes)                                                                                                         
 pkts bytes target     prot opt in     out     source               destination
MrSullex
() автор топика
Ответ на: комментарий от MrSullex

Протестировал в виртуалке с debian8, атаковал с трех адресов одновременно. 

root@ubuntu14:/# hostname -i
192.168.0.152
root@ubuntu14:/# ab -n 200000 -c 100 http://192.168.0.153/
...
 100%   7526 (longest request)

root@ubuntu13:/# hostname -i
192.168.0.91
root@ubuntu13:/# ab -n 200000 -c 100 http://192.168.0.153/
...
 100%  15245 (longest request)

CT-9b6f5b41 /# hostname -i
192.168.0.161
CT-9b6f5b41 /# ab -n 200000 -c 100 http://192.168.0.153/
Completed 20000 requests
...
apr_pollset_poll: The timeout specified has expired (70007)
Total of 24569 requests completed

Два адреса были в игнор-листе, они не заблочились, как видите, адрес которого не было в игноре заблочился: 

root@debian8:/tmp# iptables -L INPUT -vn
Chain INPUT (policy ACCEPT 20653 packets, 1409K bytes)
 pkts bytes target     prot opt in     out     source               destination         
  489 28261 DROP       all  --  *      *       192.168.0.161        0.0.0.0/0           
root@debian8:/tmp# cat /usr/local/ddos-deflate/ignoreip.list 
127.0.0.1
192.168.0.1
192.168.0.152
192.168.0.91
root@debian8:/tmp# cat /var/log/ddos-deflate.log 
21/03/2016 [16:52:01] -- 192.168.0.161 blocked on 60 seconds

Что-то значит Вы не так делаете.

Amet13 ★★★★★
() 
sudo -i
cd /tmp
wget -q -O - https://raw.githubusercontent.com/Amet13/ddos-deflate/master/install.sh | bash

Обожаю такие установщики.

entefeed ☆☆☆
()
Ответ на: комментарий от Amet13

Может и я, но раньше у меня работало. А теперь перестает работать сайт, ssh и ftp. Приходится конектится с сайта провайдера чтобы сбросить правила машины. Может вк с вами свяжемся?

MrSullex
() автор топика
Ответ на: комментарий от Amet13

CUSTOM_PORTS=":80|:443:|:53|:21" ломятся на 80, бывает и на рандомные..

MrSullex
() автор топика
Ответ на: комментарий от Amet13 
netstat -na | grep :80 | sort | uniq -c | sort -nr | more
      1 tcp        0      0 5.135.111.152:80        95.110.127.238:13818    ESTABLISHED
      1 tcp        0      0 5.135.111.152:80        91.207.67.219:50522     ESTABLISHED
      1 tcp        0      0 5.135.111.152:80        5.135.111.152:44735     ESTABLISHED
      1 tcp        0      0 5.135.111.152:80        178.17.139.59:53519     ESTABLISHED
      1 tcp        0      0 5.135.111.152:80        178.17.139.59:53518     ESTABLISHED
      1 tcp        0      0 5.135.111.152:60126     82.192.84.121:80        TIME_WAIT
      1 tcp        0      0 5.135.111.152:58003     82.192.84.121:80        TIME_WAIT
      1 tcp        0      0 5.135.111.152:54399     82.192.84.121:80        TIME_WAIT
      1 tcp        0      0 5.135.111.152:52460     85.175.218.160:80       TIME_WAIT
      1 tcp        0      0 5.135.111.152:52373     85.175.218.160:80       TIME_WAIT
      1 tcp        0      0 5.135.111.152:52250     85.175.218.160:80       TIME_WAIT
      1 tcp        0      0 5.135.111.152:52112     85.175.218.160:80       TIME_WAIT
      1 tcp        0      0 5.135.111.152:51824     85.175.218.160:80       TIME_WAIT
      1 tcp        0      0 5.135.111.152:51782     85.175.218.160:80       TIME_WAIT
      1 tcp        0      0 5.135.111.152:51656     85.175.218.160:80       TIME_WAIT
      1 tcp        0      0 5.135.111.152:51599     85.175.218.160:80       TIME_WAIT
      1 tcp        0      0 5.135.111.152:51533     85.175.218.160:80       TIME_WAIT
      1 tcp        0      0 5.135.111.152:51469     85.175.218.160:80       TIME_WAIT
      1 tcp        0      0 5.135.111.152:51185     85.175.218.160:80       TIME_WAIT
      1 tcp        0      0 5.135.111.152:51145     85.175.218.160:80       TIME_WAIT
      1 tcp        0      0 5.135.111.152:50905     85.175.218.160:80       TIME_WAIT
      1 tcp        0      0 5.135.111.152:50836     85.175.218.160:80       TIME_WAIT
      1 tcp        0      0 5.135.111.152:50773     85.175.218.160:80       TIME_WAIT
      1 tcp        0      0 5.135.111.152:50640     85.175.218.160:80       TIME_WAIT
      1 tcp        0      0 5.135.111.152:50070     85.175.218.160:80       TIME_WAIT
      1 tcp        0      0 5.135.111.152:50067     85.175.218.160:80       TIME_WAIT
      1 tcp        0      0 5.135.111.152:49965     85.175.218.160:80       TIME_WAIT
      1 tcp        0      0 5.135.111.152:49882     85.175.218.160:80       TIME_WAIT
      1 tcp        0      0 5.135.111.152:49178     85.175.218.160:80       TIME_WAIT
      1 tcp        0      0 5.135.111.152:49177     85.175.218.160:80       TIME_WAIT
      1 tcp        0      0 5.135.111.152:49176     85.175.218.160:80       TIME_WAIT
      1 tcp        0      0 5.135.111.152:49170     85.175.218.160:80       TIME_WAIT
      1 tcp        0      0 5.135.111.152:49160     85.175.218.160:80       TIME_WAIT
      1 tcp        0      0 5.135.111.152:48975     85.175.218.160:80       TIME_WAIT
      1 tcp        0      0 5.135.111.152:48920     85.175.218.160:80       TIME_WAIT
      1 tcp        0      0 5.135.111.152:48826     85.175.218.160:80       TIME_WAIT
      1 tcp        0      0 5.135.111.152:48745     85.175.218.160:80       TIME_WAIT
      1 tcp        0      0 5.135.111.152:48470     85.175.218.160:80       TIME_WAIT
      1 tcp        0      0 5.135.111.152:47690     85.175.218.160:80       TIME_WAIT
      1 tcp        0      0 5.135.111.152:47155     85.175.218.160:80       TIME_WAIT
      1 tcp        0      0 5.135.111.152:46459     85.175.218.160:80       TIME_WAIT
      1 tcp        0      0 5.135.111.152:46193     40.117.225.55:80        TIME_WAIT
      1 tcp        0      0 5.135.111.152:46189     40.117.225.55:80        TIME_WAIT
      1 tcp        0      0 5.135.111.152:46186     40.117.225.55:80        TIME_WAIT
      1 tcp        0      0 5.135.111.152:46056     85.175.218.160:80       TIME_WAIT
      1 tcp        0      0 5.135.111.152:45984     85.175.218.160:80       TIME_WAIT
      1 tcp        0      0 5.135.111.152:45767     85.175.218.160:80       TIME_WAIT
      1 tcp        0      0 5.135.111.152:45673     85.175.218.160:80       TIME_WAIT
      1 tcp        0      0 5.135.111.152:45202     85.175.218.160:80       TIME_WAIT
      1 tcp        0      0 5.135.111.152:45155     85.175.218.160:80       TIME_WAIT
      1 tcp        0      0 5.135.111.152:45099     85.175.218.160:80       TIME_WAIT
      1 tcp        0      0 5.135.111.152:44746     5.135.111.152:80        TIME_WAIT
      1 tcp        0      0 5.135.111.152:44740     5.135.111.152:80        TIME_WAIT
      1 tcp        0      0 5.135.111.152:44739     5.135.111.152:80        TIME_WAIT
      1 tcp        0      0 5.135.111.152:44736     5.135.111.152:80        TIME_WAIT
      1 tcp        0      0 5.135.111.152:44735     5.135.111.152:80        ESTABLISHED
      1 tcp        0      0 5.135.111.152:44729     5.135.111.152:80        TIME_WAIT
      1 tcp        0      0 5.135.111.152:44728     5.135.111.152:80        TIME_WAIT
      1 tcp        0      0 5.135.111.152:44723     5.135.111.152:80        TIME_WAIT
      1 tcp        0      0 5.135.111.152:39594     5.135.111.152:80        TIME_WAIT
      1 tcp        0      0 0.0.0.0:80              0.0.0.0:*               LISTEN
MrSullex
() автор топика
Ответ на: комментарий от MrSullex

Что тут посоветовать скрипт до ужаса простой, хз даже в чем тут может быть проблема. Я потестил - все ок. Может у вас старая версия скрипта стоит, удалите все и заново поставьте.

Amet13 ★★★★★
()
Ответ на: комментарий от Amet13

ну я с github все ставил. просто раньше такого не было у меня.

MrSullex
() автор топика
Ответ на: комментарий от Amet13

Эх, если бы это чудо скрестить с conntrackd ( для подсчета коннектов на заданные порты/адреса), с ipset (нефиг дергать iptables по всяким пустякам), да еще в документации указать, что дропать нужно в raw-таблице, а не где-то дальше, когда уже поздно, да еще про SYNPROXY рассказать - цены бы небыло этому велосипеду.

vel ★★★★★
()
Ответ на: комментарий от vel

Спасибо. Ознакомлюсь, если получится займусь тюнингом велосипеда.

Напоминалку себе черканул, чтобы точно не забыть.

https://github.com/Amet13/ddos-deflate/issues/1

Amet13 ★★★★★
()
Последнее исправление: Amet13 (всего исправлений: 1)
Ответ на: комментарий от Amet13

Странно очень, уже поставил 30 запросов до блокировки, все равно все айпишники блокирует. какую же мне ддос защиту использовать

MrSullex
() автор топика
Ответ на: комментарий от Amet13

Только что заметил, машина выдает 

iptables: Bad rule (does a matching rule exist in that chain?).
iptables: Bad rule (does a matching rule exist in that chain?).
Сама по себе.

MrSullex
() автор топика
Ответ на: комментарий от MrSullex

Разблокировать нужно так: 

ipables -D INPUT -s 85.175.218.160 -j DROP

Откуда вы взяли этот восклицательный знак и loopback интерфейс?

Amet13 ★★★★★
()
Последнее исправление: Amet13 (всего исправлений: 1)
Ответ на: комментарий от Amet13 
Chain INPUT (policy ACCEPT 37M packets, 5656M bytes)
 pkts bytes target     prot opt in     out     source               destination

Но я сбрасывал правила после удаления ddos deflate.

MrSullex
() автор топика
Ответ на: комментарий от Amet13

Ну вот снова. Он тупо почему то не разблокирует ип из игнор листа. 

iptables -L INPUT -vn
Chain INPUT (policy ACCEPT 52388 packets, 38M bytes)
 pkts bytes target     prot opt in     out     source               destination
   24  1440 DROP       all  --  *      *       40.117.225.55        0.0.0.0/0
  125  6380 DROP       all  --  *      *       85.175.218.160       0.0.0.0/0
  315 19674 DROP       all  --  *      *       5.135.111.152        0.0.0.0/0

MrSullex
() автор топика
Ответ на: комментарий от Amet13

файлы unban тупо добавляются в temp, но с ними ничего не происходит.

MrSullex
() автор топика
Ответ на: комментарий от vel

Не могли бы вы раскрыть мысль насчет synproxy и conntrackd? Я так понимаю их использование должно быть заранее подготовлено? Как это можно скрестить с обычным добавлением/удалением правил в цепочку?

Добавление правил в raw-таблицу я сделал и потестил. А вот насчет ipset, у меня виртуалки virtuozzo 7, на овзшках насколько мне известно модуля для ipset нет, поэтому эту возможность тестить буду когда доберусь до kvm'ных виртуалок.

Amet13 ★★★★★
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.
1 2
Admin