Toon posts:

Dynamisch blocken ip adres

Pagina: 1
Acties:

Verwijderd

Topicstarter
Ik heb een bekend probleem. Op mijn server proberen vele verschillende mensen steeds DOS attacks uit te voeren d.m.v scriptjes die telkens inloggen op een bepaalde poort. (Daar draait chatsoftware). Ik wil graag het aantal nieuwe inkomende verbindingen per IP adres kunnen knijpen.
Dus dat iemand maar 2 keer per minuut kan inloggen en anders gewoon geen gehoor krijgt.

Het lijkt me dat dit mogelijk is met IP tables, mischien met een patch. Weet iemand hier iets op?

Geert

  • _Squatt_
  • Registratie: Oktober 2000
  • Niet online
Met de 'limit' module van iptables moet dit kunnen.

[google=iptables limit rate] geeft wat voorbeelden. Meeste zijn gericht op verminderen van log regels, maar bepaalde ip's maximaal 2 maal per minuut laten verbinden met een bepaalde port moet volgens mij wel kunnen.

"He took a duck in the face at two hundred and fifty knots."


  • Kees
  • Registratie: Juni 1999
  • Laatst online: 12:43

Kees

Serveradmin / BOFH / DoC
limit en state inderdaad.

Maximaal 2 'state NEW' toestaan per minuut

"Een serveradmin, voluit een serveradministrator, is dan weer een slavenbeheerder oftewel een slavendrijver" - Rataplan


Verwijderd

Topicstarter
Bedankt voor de tips!

Het grootste deel van het probleem kan ik oplossen hiermee, behalve dat per IP adres blocken. Hij moet limiten per IP, dat lukt steeds niet.

Weet iemand dit?

[ Voor 14% gewijzigd door Verwijderd op 09-09-2004 20:48 ]


  • Wilke
  • Registratie: December 2000
  • Nu online
Op deze manier is het trouwens wel heel makkelijk om je server te dossen, want als je gewoon continu verbindingen probeert te maken (3 per minuut zeg maar) komt er verder niemand meer bij - effectief een DoS dus.

  • Seth4Chaos
  • Registratie: Maart 2001
  • Niet online

Seth4Chaos

that's me...

Wilke schreef op 09 september 2004 @ 22:04:
Op deze manier is het trouwens wel heel makkelijk om je server te dossen, want als je gewoon continu verbindingen probeert te maken (3 per minuut zeg maar) komt er verder niemand meer bij - effectief een DoS dus.
Ik neem aan dat je iptables wel kan vertellen dat je maar 2 verbindingen per ip adres mag maken (dus dat het geen invloed heeft op andere adressen).

Nou kan je door ip-spoofing natuurlijk nog wel specifieke adressen blocken van zijn server.

Mistakes are proof that you are trying...


Verwijderd

Topicstarter
Ja het moet kunnen met iptables, maar hoe.

Dat mensen adressen gaan spoofen ben ik niet bang voor, en de block geld ook maar voor bepaalde tijd.

Verwijderd

Mja, het hoe is beschreven in man iptables of de iptables howto. Gewoon alle NEW connecties limiten. Overigens is het vrij triviaal om dmv spoofing jouw machine te dossen zo, met een paar simpelele for loopjes en wat extra software is het binnen no-time mogelijk om half het internet van die bak af te houden....

Verwijderd

Topicstarter
Het gebruik van snort levert al een aardige verbetering op. Snort kijkt ook naar wat de verbindingen voor data versturen en reageert hier op door een block te plaatsen als dit binnen een bepaalde tijd gebeurd. Deze block geld dan voor bijvoorbeeld 10 min.
Pagina: 1