Dynamisch blocken ip adres - Linux en overige clients

donderdag 9 september 2004 20:01

Acties:

Verwijderd

Topicstarter

Ik heb een bekend probleem. Op mijn server proberen vele verschillende mensen steeds DOS attacks uit te voeren d.m.v scriptjes die telkens inloggen op een bepaalde poort. (Daar draait chatsoftware). Ik wil graag het aantal nieuwe inkomende verbindingen per IP adres kunnen knijpen.
Dus dat iemand maar 2 keer per minuut kan inloggen en anders gewoon geen gehoor krijgt.

Het lijkt me dat dit mogelijk is met IP tables, mischien met een patch. Weet iemand hier iets op?

Geert

donderdag 9 september 2004 20:16

Acties:

_Squatt_

Met de 'limit' module van iptables moet dit kunnen.

[google=iptables limit rate] geeft wat voorbeelden. Meeste zijn gericht op verminderen van log regels, maar bepaalde ip's maximaal 2 maal per minuut laten verbinden met een bepaalde port moet volgens mij wel kunnen.

"He took a duck in the face at two hundred and fifty knots."

donderdag 9 september 2004 20:21

Acties:

Kees

Serveradmin / BOFH / DoC

limit en state inderdaad.

Maximaal 2 'state NEW' toestaan per minuut

"Een serveradmin, voluit een serveradministrator, is dan weer een slavenbeheerder oftewel een slavendrijver" - Rataplan

donderdag 9 september 2004 20:27

Acties:

Verwijderd

Topicstarter

Bedankt voor de tips!

Het grootste deel van het probleem kan ik oplossen hiermee, behalve dat per IP adres blocken. Hij moet limiten per IP, dat lukt steeds niet.

Weet iemand dit?

[ Voor 14% gewijzigd door Verwijderd op 09-09-2004 20:48 ]

donderdag 9 september 2004 22:04

Acties:

Wilke

Op deze manier is het trouwens wel heel makkelijk om je server te dossen, want als je gewoon continu verbindingen probeert te maken (3 per minuut zeg maar) komt er verder niemand meer bij - effectief een DoS dus.

vrijdag 10 september 2004 09:16

Acties:

Seth4Chaos

that's me...

Wilke schreef op 09 september 2004 @ 22:04:
Op deze manier is het trouwens wel heel makkelijk om je server te dossen, want als je gewoon continu verbindingen probeert te maken (3 per minuut zeg maar) komt er verder niemand meer bij - effectief een DoS dus.

Ik neem aan dat je iptables wel kan vertellen dat je maar 2 verbindingen per ip adres mag maken (dus dat het geen invloed heeft op andere adressen).

Nou kan je door ip-spoofing natuurlijk nog wel specifieke adressen blocken van zijn server.

Mistakes are proof that you are trying...

vrijdag 10 september 2004 10:37

Acties:

Verwijderd

Topicstarter

Ja het moet kunnen met iptables, maar hoe.

Dat mensen adressen gaan spoofen ben ik niet bang voor, en de block geld ook maar voor bepaalde tijd.

vrijdag 10 september 2004 13:12

Acties:

Verwijderd

Mja, het hoe is beschreven in man iptables of de iptables howto. Gewoon alle NEW connecties limiten. Overigens is het vrij triviaal om dmv spoofing jouw machine te dossen zo, met een paar simpelele for loopjes en wat extra software is het binnen no-time mogelijk om half het internet van die bak af te houden....

vrijdag 10 september 2004 16:38

Acties:

Verwijderd

Topicstarter

Het gebruik van snort levert al een aardige verbetering op. Snort kijkt ook naar wat de verbindingen voor data versturen en reageert hier op door een block te plaatsen als dit binnen een bepaalde tijd gebeurd. Deze block geld dan voor bijvoorbeeld 10 min.