From mboxrd@z Thu Jan 1 00:00:00 1970 Return-Path: From: Sergey To: ALT Linux sysadmin discuss Date: Tue, 10 Apr 2007 11:49:54 +0500 User-Agent: KMail/1.9.6 References: <461B2FFD.9020601@tangramltd.com> In-Reply-To: <461B2FFD.9020601@tangramltd.com> MIME-Version: 1.0 Content-Type: text/plain; charset="koi8-r" Content-Transfer-Encoding: 8bit Content-Disposition: inline Message-Id: <200704101149.54117.a_s_y@sama.ru> X-Virus-Scanned: ClamAV version 0.90.1, clamav-milter version 0.90.1 on relay1.hippo.ru X-Virus-Status: Clean Subject: Re: [Sysadmins] =?koi8-r?b?+sHdydTBIM/UIERET1M=?= X-BeenThere: sysadmins@lists.altlinux.org X-Mailman-Version: 2.1.9rc1 Precedence: list Reply-To: ALT Linux sysadmin discuss List-Id: ALT Linux sysadmin discuss List-Unsubscribe: , List-Archive: List-Post: List-Help: List-Subscribe: , X-List-Received-Date: Tue, 10 Apr 2007 06:50:40 -0000 Archived-At: List-Archive: On Tuesday 10 April 2007, Slava Dubrovskiy wrote: > Вот и нас накрыло :-) . > В связи с этим задумались про защиту. Расскажите, кто как защищается? > Вот пока выбираю между: > 1. mod_evasive > 2. mod_security > 3. snort Я, в похожей ситуации, поступил просто: for RULE in `netstat -an|grep -v unix| \ sed -e "s/^.*:80 *\(.*\):\(.*\)/-A INPUT -s \1 -j DROP/"| \ sort|uniq -c|sort -n|egrep "[0-9]{3,7} -A"|sed -e "s/ /_/g"`; do echo $RULE RULE_R=`echo $RULE|sed -e "s/_/ /g"|sed -e "s/^.*\(-A .*\)/iptables \1/"` echo $RULE_R `$RULE_R` done То есть, если число коннектов трёхзначное, IP в drop. И в крон. А, вообще, http://lists.altlinux.org/pipermail/devel-kernel/2007-January/006308.html Но ни я сам не занялся, не поддержал никто. -- С уважением, Сергей a_s_y@sama.ru