[Linux] Ip specifiek traffic rate limiteren - Linux en overige clients

dinsdag 16 november 2004 08:57

Acties:

Topicstarter

He allemaal, omdat het nogal eens voor wil komen dat eoa. mongool er een kick van krijgt mijn server te ddosen ben ik op zoek naar een manier om het verkeer met als bestemming een specifiek lokaal ip te limiteren. Tot bijvoorbeeld 500kB/s incoming. De systemen waar het om gaat draaien allemaal RH9 en één systeem draait op RH7. Ik heb al wel op google gezocht maar geen echt complete oplossingen gevonden, weet iemand misschien een niet al te ingewikkelde manier om dit voor elkaar te krijgen?

[ Voor 3% gewijzigd door JasperE op 16-11-2004 09:29 ]

dinsdag 16 november 2004 09:08

Acties:

Zwerver

Dat heeft weinig zin he

Want dan loopt de boel alsnog helemaal vol

Waarom denk je dat ze dit niet toepassen hier op T.net als er een DDOS is? Omdat het gewoon niet werk

Verder denk ik dat je met een beetje zoekwerk en met de --limit opties in iptables wel een stuk moet kunnen komen.

Woonachtig Down Under. Ik negeer je insults niet, maar tegen de tijd dat ik ze lees zijn ze meestal niet relevant meer

dinsdag 16 november 2004 09:17

Acties:

jurri@n

Wat dacht je er van om gewoon even een mailtje te sturen naar abuse@zijnprovider

Bij een beetje goede provider ben je dan zo van het probleem af.

dinsdag 16 november 2004 09:20

Acties:

JasperE

Topicstarter

Zwerver schreef op dinsdag 16 november 2004 @ 09:08:
Dat heeft weinig zin he Want dan loopt de boel alsnog helemaal vol Waarom denk je dat ze dit niet toepassen hier op T.net als er een DDOS is? Omdat het gewoon niet werk Verder denk ik dat je met een beetje zoekwerk en met de --limit opties in iptables wel een stuk moet kunnen komen.

Het heeft wel zeker zin, het systeem heeft namelijk meerdere ip adressen, wanneer het ene ip adres aangevallen wordt kan ik dit ipadres nog uitschakelen door op het andere adres in te loggen. Op het moment kan ik tijdens een behoorlijke aanval niet inloggen op dit 2e adres omdat het systeem met zo'n 8mB/s bestwel overbelast wordt

Bovendien wordt het dataverkeer met een max van 500kB/s binnen de perken gehouden.

jurri@n schreef op dinsdag 16 november 2004 @ 09:17:
Wat dacht je er van om gewoon even een mailtje te sturen naar abuse@zijnprovider Bij een beetje goede provider ben je dan zo van het probleem af.

Als ik jou was zou ik je eerst eens wat beter inlezen in het verschijnsel ddos, (distributed denial of service) voor te reageren.

[ Voor 4% gewijzigd door JasperE op 16-11-2004 09:21 ]

dinsdag 16 november 2004 09:25

Acties:

jurri@n

OD-Frozen schreef op dinsdag 16 november 2004 @ 09:20:
Als ik jou was zou ik je eerst eens wat beter inlezen in het verschijnsel ddos, (distributed denial of service) voor te reageren.

Ik weet wel wat een ddos is... maar jij beweert dat het van een specifiek ip afkomstig is... Volgens mij stond die eerste D toch voor Distributed...

[ Voor 8% gewijzigd door jurri@n op 16-11-2004 09:26 ]

dinsdag 16 november 2004 09:28

Acties:

JasperE

Topicstarter

Nee, ik wil het inkomende verkeer op mijn systeem op een specifiek lokaal ip limiteren. Ik bedoel dus al het verkeer met als bestemming mijn ip.
De aanval is nmlk van vele honderden/duizenden ips afkomstig.

Ik heb te topicstart ff aangepast zodat dat nu duidelijk is

[ Voor 33% gewijzigd door JasperE op 16-11-2004 09:32 ]

dinsdag 16 november 2004 09:37

Acties:

leuk_he

1. Controleer de kabel!

OD-Frozen schreef op dinsdag 16 november 2004 @ 09:28:
Nee, ik wil het inkomende verkeer op mijn systeem op een specifiek lokaal ip

Wil je je eigen verkeer limiteren? Ik denk juist dat je je eigen verkeer helemaal open wilt zetten en al het andere verkeer wilt limiteren?

Echter bij een DDOS op netwerk niveau heeft dat niet zoveel zin omdat je upstream helemaal vol zit. Of wordt de DDOS op applicatie niveau uitgevoerd?(scripts die iets inserten).

/Edit: ik snap wel dat jij weet wat je wilt

, maar je drukt het zo onhandig uit.

Staat wat je wilt niet gewoon onder traffic shaping... ( [google=traffic shaping] )
b.v.: http://lartc.org/howto/lartc.qdisc.classless.html en dan het voorbeeld onder 9.2.2 ?

[ Voor 22% gewijzigd door leuk_he op 16-11-2004 10:16 ]

Need more data. We want your specs. Ik ben ook maar dom. anders: forum, ff reggen, ff topic maken
En als je een oplossing hebt gevonden laat het ook ujb ff in dit topic horen.

dinsdag 16 november 2004 09:39

Acties:

JasperE

Topicstarter

Pffft, kunnen we niet gewoon antwoord geven op mijn vraag

!! Ik weet heel goed wat ik wil en dat is al het verkeer op 1 specifiek ip van mijn eigen systeem limiteren tot een maximum van 500kB/s

Moet toch mogelijk zijn lijkt me....

(En mijn upstream zit overigens helemaal niet helemaal vol, er is alleen een flinke spike te zien op de downstream)

[ Voor 39% gewijzigd door JasperE op 16-11-2004 09:42 ]

dinsdag 16 november 2004 10:22

Acties:

blaataaps

OD-Frozen schreef op dinsdag 16 november 2004 @ 09:39:
Pffft, kunnen we niet gewoon antwoord geven op mijn vraag !! Ik weet heel goed wat ik wil en dat is al het verkeer op 1 specifiek ip van mijn eigen systeem limiteren tot een maximum van 500kB/s

Moet toch mogelijk zijn lijkt me....

En hoe had je dan precies voor je gezien dat de rest van de wereld jou niet meer dan die 500kBps stuurt? Je kunt het verkeer weigeren, droppen of accepteren wat je wil, zonder hulp van voorliggende routers gaat dat echt geen klap helpen, wat de rest van de mensen die hier post je ook al tevergeefs duidelijken proberen te maken.

dinsdag 16 november 2004 10:30

Acties:

Verwijderd

Klopt als je wilt limiteren op jouw machine ben je al te laat want hij MOET er op dat moment al iets mee doen al is het droppen hij krijgt de data voor zijn kiezen en je lijn zit dan al vol

dinsdag 16 november 2004 10:46

Acties:

JasperE

Topicstarter

nou kijk eindelijk een antwoord waar ik wat aan heb

Hoe kan ik dat verkeer dan droppen?

Btw, moet het echt gedropt worden? In windows kan je een 100kB/s download met netlimiter toch ook limiteren tot 5kB/s ?

dinsdag 16 november 2004 10:51

Acties:

Verwijderd

Misschien dat deze uitleg wat helpt:

je hebt een gebouw.. in dat gebouw zitten 2 personen (de servers) aan wie mensen vragen kunnen stellen. In dat gebouw zit een opening waardoor vraagstellers naar binnen kunnen. Jijzelf kunt ook door die opening, als je nieuwe informatie aan die 2 personen wilt geven.

Nu staan er ineens 100.000 man voor dat gebouw, die allemaal naar binnen willen. De opening is hiervoor te klein, file dus. Jijzelf staat ook in de file, je komt er niet meer bij.

Wat jij nu voorstelt is het kleiner maken van de opening. Als het zo uitgelegd wordt, begrijp je denk ik wel dat dat niet helpt.

dinsdag 16 november 2004 10:55

Acties:

Zwerver

OD-Frozen, je hebt niks aan die oplossing die je zoekt. Lees nou gewoon eens wat de anderen in deze post zeggen. Je komt je netwerk sowieso al niet meer op doordat deze toch al overloaded wordt en niet alleen specifiek je ip adres maar je halve subnet

Zo slim zijn die gasten wel dat ze niet specifiek 1 ip adres pakken. Verder is wat jij zoekt gewoon traffic shaping, iets wat imho best zelf op te zoeken is. Nogmaals, niet dat je er wat aan hebt want je blijft toch onbereikbaar, maar eigenwijze mensen hebben de wereld zeggen ze, dus probeer het uit en zie dat het gewoon niet werkt.

Woonachtig Down Under. Ik negeer je insults niet, maar tegen de tijd dat ik ze lees zijn ze meestal niet relevant meer