OpenVZ Forum


Home » International » Russian » Борьба с SYN flooding на виртуалках
Борьба с SYN flooding на виртуалках [message #38814] Wed, 03 February 2010 10:23 Go to next message
sen-doc is currently offline  sen-doc
Messages: 4
Registered: September 2009
Junior Member
From: *82.209.219.179.grodno.by
Есть вуртуальная машина с проброшенным в нее сетевым интерфейсом eth0 (в HN он не виден, как и в других виртуалках) и смотрящая через этот интерфейс в интернет. Столкнулся с SYN flooding на DNS сервер. Почитал в инете, что с этим можно бороться посредством iptables так:
# Отслеживаем атаку и все запросы которых более 15 за 60 сек  отправляем в цепочку для логирования и скидывания.
#Для отслеживания атак оправляем на проверку в цепочку flooding  все открытые и смотрящие в инет порты.
-A flooding -m state --state NEW -m recent --set
-A flooding -m state --state NEW -m recent --update --seconds 60 --hitcount 15 -j log_flooding

# Логим атаку и вторым правилом скидываем все запросы дабы не плодить очереди
-A log_flooding -m limit --limit 5/s -j LOG --log-prefix "FLOODING: "
-A log_flooding -j DROP

Что имеем. При заходе на виртуальныю машину идет ругань
Warning: Unknown iptable module: ipt_recent, skipped

При выполнении команды для добавления правила тоже ошибка выскакивает.
iptables -A flooding -m state --state NEW -m recent --set      iptables: Unknown error 18446744073709551615

ВЫВОД нет модуля recent.
Мое ядро 2.6.18-128.2.1.el5.028stab064.7
Буду обновляться до 2.6.18-164.10.1.el5.028stab067.4.x86_64, но есть ли в этом ядре возможность подгрузки модуля recent в виртуалку?
Если нет, то какой выход предложите для защиты сервисов смотрящих в инет?
Re: Борьба с SYN flooding на виртуалках [message #38857 is a reply to message #38814] Sat, 13 February 2010 09:45 Go to previous message
maratrus is currently offline  maratrus
Messages: 1495
Registered: August 2007
Location: Moscow
Senior Member
From: *sw.ru
Здравствуйте, возможность должна быть.
Необходимо загружать модуль iptables до старта CT.
Попробуйте следующую последовательность действий.

# vzctl stop CTID
# modprobe ipt_recent
# modprobext_state
# vzctl start CTID
Previous Topic: Две сетевые. разные VE на разных интерфейсах. Как ?
Next Topic: Нода видна не через свой IP, а через IP HN.
Goto Forum:
  


Current Time: Sat Aug 24 14:17:55 GMT 2019