banner

[Rule] Rules  [Home] Main Forum  [Portal] Portal  
[Members] Member Listing  [Statistics] Statistics  [Search] Search  [Reading Room] Reading Room 
[Register] Register  
[Login] Loginhttp  | https  ]
 
Forum Index Thảo luận bảo mật Linux - Hỏi về ấn định số lượng http requests thích hợp  XML
  [Question]   Linux - Hỏi về ấn định số lượng http requests thích hợp 30/12/2011 15:08:46 (+0700) | #1 | 251683
[Avatar]
jerrykun
Member

[Minus]    0    [Plus]
Joined: 25/02/2011 18:01:09
Messages: 41
Location: error_log
Offline
[Profile] [PM]
Chào mọi người,

mình có chút thắc mắc về việc ấn định số lượng http requests cho phép trong 1 khoảng thời gian xác định.
Ghi nhận theo mod_security rule của anh Conmale về giải pháp chống DDoS:

SecAction initcol:ip=%{REMOTE_ADDR},nolog
SecRule REQUEST_URI "^/$" "nolog,phase:1,setvar:ip.ddos=+1,deprecatevar:ip.ddos=5/60,expirevar:ip.ddos=600"
SecRule IPsmilieDOS "@gt 5" "phase:1,log,drop,msg:'DDoS'"

Với việc ấn định trên cho phép 5 http requests cho phép gửi trong thời gian 1 phút. Nhưng điều này lại ảnh hưởng nếu 1 tổ chức sử dụng địa chỉ IP Internet public shared, giả sử có 6 người trong 1 phút cùng truy cập đến website hoặc nhiều kết nối truy cập thông qua ip proxy của ISP đến website.

Cho mình hỏi cần ấn định cho phép gửi bao nhiêu requests là thích hợp ?


Cám ơn.

Reference
[1] #8 "hva /hvaonline/posts/list/36593.html"
[Up] [Print Copy]
  [Question]   Linux - Hỏi về ấn định số lượng http requests thích hợp 03/01/2012 05:08:08 (+0700) | #2 | 251778
[Avatar]
conmale
Administrator

Joined: 07/05/2004 23:43:15
Messages: 9353
Location: down under
Offline
[Profile] [PM]

jerrykun wrote:
Chào mọi người,

mình có chút thắc mắc về việc ấn định số lượng http requests cho phép trong 1 khoảng thời gian xác định.
Ghi nhận theo mod_security rule của anh Conmale về giải pháp chống DDoS:

SecAction initcol:ip=%{REMOTE_ADDR},nolog
SecRule REQUEST_URI "^/$" "nolog,phase:1,setvar:ip.ddos=+1,deprecatevar:ip.ddos=5/60,expirevar:ip.ddos=600"
SecRule IPsmilieDOS "@gt 5" "phase:1,log,drop,msg:'DDoS'"

Với việc ấn định trên cho phép 5 http requests cho phép gửi trong thời gian 1 phút. Nhưng điều này lại ảnh hưởng nếu 1 tổ chức sử dụng địa chỉ IP Internet public shared, giả sử có 6 người trong 1 phút cùng truy cập đến website hoặc nhiều kết nối truy cập thông qua ip proxy của ISP đến website.

Cho mình hỏi cần ấn định cho phép gửi bao nhiêu requests là thích hợp ?


Cám ơn.

Reference
[1] #8 "hva /hvaonline/posts/list/36593.html"
 


Để theo dõi "ip.ddos" cho chính xác và cụ thể hơn, có thể đổi:
SecAction "phase:1,t:none,pass,nolog,initcol:global=global,initcol:ip=%{remote_addr}"

thành:
SecAction "phase:1,nolog,pass,initcol:global=global,initcol:IP=%{REMOTE_ADDR}_%{TX.ua_hash}"

Luật mới kèm theo giá trị băm của User-Agent chớ không chỉ IP address cho nên một mạng share chung 1 IP address sẽ không ảnh hưởng tất cả mọi người.

Việc ấn định cụ thể bao nhiêu request trong bao lâu là tuỳ nhu cầu và tình trạng website của mình. Không nên áp dụng luật một cách cứng nhắc mà phải xét và điều chỉnh cho thích hơp.
[Up] [Print Copy]
  [Question]   Linux - Hỏi về ấn định số lượng http requests thích hợp 03/01/2012 14:54:10 (+0700) | #3 | 251798
[Avatar]
jerrykun
Member

[Minus]    0    [Plus]
Joined: 25/02/2011 18:01:09
Messages: 41
Location: error_log
Offline
[Profile] [PM]
Em cám ơn anh Conmale đã chia sẽ kinh nghiệm quý báu.

Em thử với rule của anh viết thì nhận thấy với ấn định này thì chỉ làm giảm ảnh hưởng đến tất cả mọi người share chung 1 public ip, nói cách khác là tăng khả năng truy cập cho người dùng sử dụng các loại trình duyệt khác nhau thôi.

Hiện em đang hình giải pháp phòng chống (auto timing block/unblock ip vi phạm dựa trên các dấu hiệu nhận biết bởi mod_security) .Vô tình search lại thì thấy anh đã chia sẽ trong topic "Hỏi về cơ chế anti DDoS của HVA - #2, Line 2 "rồi ,thế mà em đọc không kĩ..hì hì.

Reference
/hvaonline/posts/list/40202.html
Health, Knowledge, Family has the same value !
[Up] [Print Copy]
[digg] [delicious] [google] [yahoo] [technorati] [reddit] [stumbleupon]
Go to: 
 Users currently in here 
1 Anonymous

Powered by JForum - Extended by HVAOnline
 hvaonline.net  |  hvaforum.net  |  hvazone.net  |  hvanews.net  |  vnhacker.org
1999 - 2013 © v2012|0504|218|