Летят пакеты с TTL gt 245 пытаюсь блокировать их на cisco 7604, ICMP трафик нормально слушает, но вот udp как-то странно блокирует, такое ощущение что блокируется весь трафик и рывками. Сталкивался может кто с такой проблемой?
Столкнулся с проблемой модуля GEOIP. Скачал свежие базы, скомпилировал их, ну и запустил правило -m geoip ! --src-cc PL,BG,GB,BY,MD,LV,KZ,UA,RU -j LOG Большинство захваченных пакетов пришли с UA,RU, хотя их по идеи не должно быть вовсе. Проверил csv файл на наличие данных ip, там все в порядке, страны правильно размечены. OC debian 6
Куда копать?
Вот пример, поймало 176.108.15.211 (UA), но в csv с которого я компилировал запись есть «176.108.0.0»,«176.108.31.255»,«2959867904»,«2959876095»,«UA»,«Ukraine»
Установил ядро 3.0.0-ub, пытаюсь скомпилировать модуль geoip, выдает кучу ошибок. http://rghost.ru/7bzL84ZVf на ядре 2.6 было подобное, указал просто headers и все запустилось, тут никак не вяжется
Установил ядро 3.0.0-ub, пытаюсь скомпилировать модуль geoip, выдает кучу ошибок. http://rghost.ru/7bzL84ZVf на ядре 2.6 было подобное, указал просто headers и все запустилось, тут никак не вяжется
Что за полтергейст, первым правилом логирую весь трафик, далее рандомно раставил значения хешлимита но разници по сути нету в результате. Имена таблицам разные задавал.
http://rghost.ru/7Km7ShDYC/image.png
Хотя вот выше правло стоит такое же, там нормально отлавливает
http://rghost.ru/6BDJtyhm4/image.png
В конечном итоге необходимо блокировать трафик который рвется на dstip,dstport в обьеме свыше 50 тыс пакетов в секунду. Какие я только значения не подставлял, никакие не дают желаемого эфекта. Нид хелп
Собираю в логе nginx, адреса которые сделали более 200 запросов, но нужно еще добавить количество считываемых строк с конца файла (например как tail -10000), иначе читает весь лог. Подскажите как это сделать?
awk 'GET / HTTP/1.1 { split($1, a, ":"); N[a[1]]++; } END { for (i in N) if (N[i] > 200) print i }'/var/log/nginx/access.logСварганил правило, но вот не знаю правильно ли)
Как вижу это правило я: ловлю udp пакеты по содержимому, и разрешаю 500 новых пакетов в минуту с этим же содержимым, остальные пакеты не принимать. Верно ли сделал?
-p udp -m u32 --u32 "0x0&0xffff=0x0035 && 30&0xFFFF=0x5453" -m state --state NEW -m hashlimit --hashlimit-above 500/min --hashlimit-burst 500 --hashlimit-mode dstip,dstport --hashlimit-name test -j DROP
Так же интересует по дефолту как часто очищается таблица
Столкнулся с головняком перевода сайта на бесплатный ssl от cloudflare.
Собственно на стороне CF настроек по сути нету, в разделе Crypto перевести ssl в режим flexible и в разделе Page Rules включить принудительно юзать https.
Теперь на стороне сервера в nginx вставил
if ($http_cf_visitor ~ '{"scheme":"http"}') {
return 301 https://$server_name$request_uri;
}
~# wget https://site.ua
--2015-11-29 15:15:20-- https://site.ua/
Resolving site.ua... 104.24.235.17, 104.24.234.17
Connecting to site.ua|104.24.235.17|:443... connected.
OpenSSL: error:14077438:SSL routines:SSL23_GET_SERVER_HELLO:tlsv1 alert internal error
Unable to establish SSL conncention.
На одном сервере распределил по такому приципу прерывания на ядра
echo 1 >/proc/irq/62/smp_affinity; echo 2 >/proc/irq/63/smp_affinity....cat /proc/interrupts
CPU0 CPU1 CPU2 CPU3 CPU4 CPU5 CPU6 CPU7
0: 7846 0 0 0 0 0 0 0 IO-APIC-edge timer
1: 2 0 0 0 0 0 0 0 IO-APIC-edge i8042
5: 0 0 0 0 0 0 0 0 IO-APIC-edge parport0
8: 1 0 0 0 0 0 0 0 IO-APIC-edge rtc0
9: 0 0 0 0 0 0 0 0 IO-APIC-fasteoi acpi
12: 4 0 0 0 0 0 0 0 IO-APIC-edge i8042
16: 1 0 0 0 0 0 0 0 IO-APIC-fasteoi HDA Intel
20: 26 0 0 0 0 0 0 0 IO-APIC-fasteoi ehci_hcd:usb2
21: 0 0 0 0 0 0 0 0 IO-APIC-fasteoi xhci_hcd:usb1
22: 201 0 0 0 0 0 0 0 IO-APIC-fasteoi HDA Intel
23: 75 0 0 0 0 0 0 0 IO-APIC-fasteoi ehci_hcd:usb3
27: 427442082 0 0 0 0 0 0 0 PCI-MSI-edge eth0
28: 37012523 0 0 0 0 0 0 0 PCI-MSI-edge ahci
NMI: 0 0 0 0 0 0 0 0 Non-maskable interrupts
LOC: 3418284291 2877933733 3503619235 498684185 549481108 3993604076 412501870 1118987992 Local timer interrupts
SPU: 0 0 0 0 0 0 0 0 Spurious interrupts
PMI: 0 0 0 0 0 0 0 0 Performance monitoring interrupts
PND: 0 0 0 0 0 0 0 0 Performance pending work
RES: 106547195 89519984 70213352 48242019 105152666 88440173 71097477 49290422 Rescheduling interrupts
CAL: 75 145 151 144 142 144 144 148 Function call interrupts
TLB: 770231 1163294 1757250 1762578 1617709 3735111 3374366 3189695 TLB shootdowns
TRM: 0 0 0 0 0 0 0 0 Thermal event interrupts
THR: 0 0 0 0 0 0 0 0 Threshold APIC interrupts
MCE: 0 0 0 0 0 0 0 0 Machine check exceptions
MCP: 7803 7803 7803 7803 7803 7803 7803 7803 Machine check polls
ERR: 0
MIS: 0
Приветствую. Зацепился за вопрос с блокировкой трафика по флагам. Смутил меня мануал, в котором говорится --tcp-flags FIN,SYN,RST,ACK SYN первая строка, это какие флаги исследовать, вторые это какие должны быть установлены. Как это понимать и зачем это сделано? какой смысл в первой ставить несколько флагов, если всеравно проверять будет только syn
Ловлю дамп вот так.
tcpdump -v -p -n -w file.log -c 1000Наблюдаю такой полтергейст, не могу понять почему он происходит. Что-то удаляет файл скрина, с рандомной периодичностью, но при этом процесс работает нормально, но уже скрина его в списке нету http://rghost.ru/7MJQDkMmZ/image.png
screen -L -c scr.rc -dmS server_...Помогите составить правило u32. Вот содержимое http://rghost.ru/8VDB2HZ6q/image.png Пробую вот так
6&0xFF=0x11 && 20&0xFFFF=0xaa69 && 24&0xFFFF=0x699aПомогите пожалуйста составить команду для заноса в iptables флудеров. В syslog часто встречаю подобное
Oct 30 12:03:20 s10 kernel: [1016924.147765] UDP: short packet: From 91.235.225.115:1513 314/38 to 192.61.153.127:27024
Oct 30 12:03:20 s10 kernel: [1016924.167677] UDP: short packet: From 91.235.225.115:1513 314/38 to 192.61.153.127:27024
Oct 30 12:03:20 s10 kernel: [1016924.187761] UDP: short packet: From 91.235.225.115:1513 314/38 to 192.61.153.127:27024
Oct 30 12:03:20 s10 kernel: [1016924.457101] UDP: short packet: From 91.235.225.115:1513 314/38 to 192.61.153.127:27024
Oct 30 12:03:21 s10 kernel: [1016925.436571] UDP: short packet: From 91.235.225.115:1513 314/38 to 192.61.153.127:27024
Oct 30 12:03:23 s10 kernel: [1016927.352862] UDP: short packet: From 91.235.225.115:1513 314/38 to 192.61.153.127:27024
Oct 30 12:03:26 s10 kernel: [1016929.864060] UDP: short packet: From 91.235.225.115:1513 314/38 to 192.61.153.127:27024
Oct 30 12:03:27 s10 kernel: [1016931.050687] UDP: short packet: From 91.235.225.115:1513 314/38 to 192.61.153.127:27024
Пытаюсь отловить вот так
grep 'short packet' /var/log/syslog | awk '{print $11}' |sort |uniq -c |sort -nk 1 | xargs -i iptables -A INPUT -s {} -j LOGвыводит вот такое
1 81.177.126.214:36502
1 From
1263 91.235.225.29:2991
1276 91.235.225.29:5313
1575 91.235.225.29:4005
2644 91.235.225.29:2010
4295 91.235.225.115:1513
4666 91.235.225.29:2663
Заметил подвисания сервера на 1-3 минуты, доступ к серверу пропадает и Load average подымается с нуля до ~70. В syslog вот такое увидел. Что это значит ?
Oct 29 14:01:38 srv2 kernel: [2848724.960039] ata3.00: exception Emask 0x0 SAct 0x0 SErr 0x0 action 0x6 frozen
Oct 29 14:01:38 srv2 kernel: [2848724.961233] ata3.00: failed command: FLUSH CACHE EXT
Oct 29 14:01:38 srv2 kernel: [2848724.962354] ata3.00: cmd ea/00:00:00:00:00/00:00:00:00:00/a0 tag 0
Oct 29 14:01:38 srv2 kernel: [2848724.962355] res 40/00:01:00:00:00/00:00:00:00:00/00 Emask 0x4 (timeout)
Oct 29 14:01:38 srv2 kernel: [2848724.964615] ata3.00: status: { DRDY }
Oct 29 14:01:43 srv2 kernel: [2848730.004012] ata3: link is slow to respond, please be patient (ready=0)
Oct 29 14:01:48 srv2 kernel: [2848734.988012] ata3: device not ready (errno=-16), forcing hardreset
Oct 29 14:01:48 srv2 kernel: [2848734.988020] ata3: soft resetting link
Oct 29 14:01:53 srv2 kernel: [2848740.184014] ata3: link is slow to respond, please be patient (ready=0)
Oct 29 14:01:55 srv2 kernel: [2848742.040342] ata3.00: configured for UDMA/133
Oct 29 14:01:55 srv2 kernel: [2848742.040347] ata3.00: retrying FLUSH 0xea Emask 0x4
Oct 29 14:01:55 srv2 kernel: [2848742.040572] ata3.00: device reported invalid CHS sector 0
Oct 29 14:01:55 srv2 kernel: [2848742.040581] ata3: EH complete
Доброй ночи. Прошу помощи, возникла проблемка при создании крона для юзеров. Создал файл с именем юзера в директории /var/spool/cron/crontabs/ прописал команду, но она отказывается выполняться. В кроне который находится /etc/ нормально работает
Доброй ночи. Залетел ddos, в iptables он блокировался, но как только начал писать дамп, сервер завис, ситуация иногда повторяется. Вот лог поведения трафика
17-10-2015 21:30:34 | DL: 664750 | P: 5799 | UP: 1826889 | P: 6574 Conntrack: 15313
17-10-2015 21:30:50 | DL: 658618 | P: 5850 | UP: 1823692 | P: 6753 Conntrack: 15408
17-10-2015 21:31:01 | DL: 691276 | P: 6072 | UP: 2336856 | P: 7051 Conntrack: 15392
17-10-2015 21:31:17 | DL: 9374382 | P: 135460 | UP: 2255168 | P: 6699 Conntrack: 15318
17-10-2015 21:31:35 | DL: 9292898 | P: 133648 | UP: 1959057 | P: 7126 Conntrack: 15241
17-10-2015 21:31:51 | DL: 0 | P: 0 | UP: 391972 | P: 3484 Conntrack: 15182
17-10-2015 21:32:01 | DL: 0 | P: 0 | UP: 391216 | P: 3498 Conntrack: 14789
17-10-2015 21:32:17 | DL: 0 | P: 0 | UP: 388084 | P: 3458 Conntrack: 14043
17-10-2015 21:32:34 | DL: 0 | P: 0 | UP: 0 | P: 0 Conntrack: 14830
17-10-2015 21:32:50 | DL: 0 | P: 0 | UP: 42 | P: 1 Conntrack: 15629
17-10-2015 21:33:01 | DL: 0 | P: 0 | UP: 0 | P: 0 Conntrack: 15769
17-10-2015 21:33:17 | DL: 0 | P: 0 | UP: 42 | P: 1 Conntrack: 15624
17-10-2015 21:33:33 | DL: 0 | P: 0 | UP: 42 | P: 1 Conntrack: 15024
17-10-2015 21:33:49 | DL: 0 | P: 0 | UP: 42 | P: 1 Conntrack: 14724
17-10-2015 21:34:01 | DL: 0 | P: 0 | UP: 42 | P: 1 Conntrack: 14826
17-10-2015 21:34:17 | DL: 0 | P: 0 | UP: 42 | P: 1 Conntrack: 14912
17-10-2015 21:34:33 | DL: 0 | P: 0 | UP: 42 | P: 1 Conntrack: 14798
Oct 17 21:31:18 s10 kernel: [1104965.705414] device eth0 entered promiscuous mode
Oct 17 21:31:18 s10 kernel: [1104965.741586] device eth0 left promiscuous mode
Oct 17 21:31:45 s10 kernel: [1104992.945213] r8169 0000:03:00.0: eth0: link up
Oct 17 21:31:45 s10 kernel: [1104992.989095] r8169 0000:03:00.0: eth0: link up
Oct 17 21:31:45 s10 kernel: [1104993.013024] r8169 0000:03:00.0: eth0: link up
Oct 17 21:31:45 s10 kernel: [1104993.056934] r8169 0000:03:00.0: eth0: link up
Oct 17 21:31:45 s10 kernel: [1104993.100828] r8169 0000:03:00.0: eth0: link up
Oct 17 21:31:45 s10 kernel: [1104993.120784] r8169 0000:03:00.0: eth0: link up
Oct 17 21:31:45 s10 kernel: [1104993.152695] r8169 0000:03:00.0: eth0: link up
Oct 17 21:31:45 s10 kernel: [1104993.188610] r8169 0000:03:00.0: eth0: link up
Oct 17 21:31:45 s10 kernel: [1104993.220952] r8169 0000:03:00.0: eth0: link up
Oct 17 21:31:45 s10 kernel: [1104993.252459] r8169 0000:03:00.0: eth0: link up
Oct 17 21:31:50 s10 kernel: [1104997.990717] __ratelimit: 140 callbacks suppressed
Oct 17 21:31:50 s10 kernel: [1104997.990719] r8169 0000:03:00.0: eth0: link up
Oct 17 21:31:50 s10 kernel: [1104998.021959] r8169 0000:03:00.0: eth0: link up
Oct 17 21:31:50 s10 kernel: [1104998.061114] r8169 0000:03:00.0: eth0: link up
Oct 17 21:31:50 s10 kernel: [1104998.089080] r8169 0000:03:00.0: eth0: link up
Oct 17 21:31:50 s10 kernel: [1104998.121159] r8169 0000:03:00.0: eth0: link up
Oct 17 21:31:50 s10 kernel: [1104998.157018] r8169 0000:03:00.0: eth0: link up
Oct 17 21:31:50 s10 kernel: [1104998.189363] r8169 0000:03:00.0: eth0: link up
Oct 17 21:31:50 s10 kernel: [1104998.224963] r8169 0000:03:00.0: eth0: link up
Возникла проблема, перекачиваю по нескольку раз на день папку весом в 15G, но при этом сильно подымается Load average, бывало до 25. По Rsync скорость ограничил на 200 мегабит, ситуацию это решило, но как быть с таким же копированием через ssh командой «cp» нужно тоже ограничить копирование.
В логах nginx вижу
173.245.54.234 - - [12/Oct/2015:10:38:40 +0300] "GET / HTTP/1.1" 403 142 "-" "-"
162.158.95.173 - - [12/Oct/2015:10:38:40 +0300] "GET / HTTP/1.1" 403 142 "-" "-"
173.245.54.234 - - [12/Oct/2015:10:38:40 +0300] "GET / HTTP/1.1" 403 142 "-" "-"
173.245.53.138 - - [12/Oct/2015:10:38:40 +0300] "GET / HTTP/1.1" 403 142 "-" "-"
if ($http_user_agent = "") { return 403; }
if ($http_user_agent = "-") { return 403; }
Сегодня заметил что ложится сайт стоящий за CF. В логах увидел что летит «WordPress», запилил правило -A PREROUTING -p tcp -m string --string «WordPress» --algo kmp --to 65535 -j DROP трафик начало дропать этот, но всеравно падает nginx, даже по прямому входу на ip не работал сайт. Как понять это, ведь трафик до nginx не доходит же
| ← назад | следующие → |