Защита от DoS атак

@alex2131 · Регистрация: 09.09.2013

Студворк — интернет-сервис помощи студентам

Надеюсь пишу сюда. И так. Так как я не шарю в iptables, прошу у вас помощи. Кто может написать защиту под iptables от DoS атак типа SYN-Flood. Досят из под Linux и perl'ом. Если чего-то не хватает какой-либо информации, пишите, добавлю. Жду ваших ответов. Досят TCP. Или написать так, чтобы было ограничение на порт.

Dmitry · 24.02.2014, 18:26

iptables + connlimit - все это в гугл, а потом - обчитаться до потери сознания, ибо описаний, хавтушек, статеек об этом - просто море....

@alex2131 · 24.02.2014, 18:30 **[ТС]**

Боюсь не так всё хорошо. Есть роутер. На нём iptables.Вот на него как раз и нужно. Linux и роутер, у них iptables одинаковый?

Dmitry · 24.02.2014, 18:33

Сообщение от alex2131

Боюсь не так всё хорошо. Есть роутер. На нём iptables

а если яй...а в тиски зажать, то может мы сразу услышим ВСЕ условия задачи?
или так и будем "играть в гестапо" и вытягивать по слову клещами?

@alex2131 · 24.02.2014, 18:39 **[ТС]**

Смотри. Есть роутер. На нём iptables версии "iptables v1.3.8", сам роутер Zyxel Keenetic Lite.
Нужно сделать так, чтобы не досили его. Порт 29000. Либо стояло ограничение на скорость. Порт TCP. Ещё что-то нужно?

Dmitry · 24.02.2014, 18:57

Сообщение от alex2131

Ещё что-то нужно?

проверить, есть ли в нем модуль ядра connlimit, если есть, использовать команду, как например показана тут (ближе к финалу заметки)
http://flance.onego.ru/2008/05/21/12

@alex2131 · 24.02.2014, 19:22 **[ТС]**

connlimit нету. Стоит роутер. Их сборка Linux. apt-get там нету.

Добавлено через 1 минуту
и wget тоже

Dmitry · 24.02.2014, 19:24

Сообщение от alex2131

connlimit нету. Стоит роутер. Их сборка Linux.

тогда гуглить про tc и его возможности нарезки скоростей

@alex2131 · 24.02.2014, 19:29 **[ТС]**

Вот правила:
iptables -A INPUT -p tcp -m tcp --dport 29001 -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -A INPUT -p tcp --dport 29001 -m state --state NEW -m hashlimit --hashlimit 50/s --hashlimit-burst 50 --hashlimit-mode srcip --hashlimit-name TF -j ACCEPT
iptables -A INPUT -p tcp --dport 29001 -j DROP

Верны?

@Amet13 · 25.02.2014, 00:53

Сообщение от alex2131

защиту под iptables от DoS атак типа SYN-Flood

Code
1
iptables -A INPUT -p tcp --syn -m limit --limit 1/s --limit-burst 3 -j RETURN

http://www.cyberciti.biz/tips/... tacks.html

@alex2131 · 25.02.2014, 02:07 **[ТС]**

Спасибо. Может вам показать сам скрипт DoS'а?

Новые блоги и статьи Все статьи Все блоги /
Установка Android SDK, NDK, JDK, CMake и т.д. 8Observer8 25.01.2026 Содержание блога Перейдите по ссылке: https:/ / developer. android. com/ studio и в самом низу страницы кликните по архиву "commandlinetools-win-xxxxxx_latest. zip" Извлеките архив и вы увидите. . .	Вывод текста со шрифтом TTF на Android с помощью библиотеки SDL3_ttf 8Observer8 25.01.2026 Содержание блога Если у вас не установлены Android SDK, NDK, JDK, и т. д. то сделайте это по следующей инструкции: Установка Android SDK, NDK, JDK, CMake и т. д. Сборка примера Скачайте. . .	Использование SDL3-callbacks вместо функции main() на Android, Desktop и WebAssembly 8Observer8 24.01.2026 Содержание блога Если вы откроете примеры для начинающих на официальном репозитории SDL3 в папке: examples, то вы увидите, что все примеры используют следующие четыре обязательные функции, а. . .	моя боль iceja 24.01.2026 Выложила интерполяцию кубическими сплайнами www. iceja. net REST сервисы временно не работают, только через Web. Написала за 56 рабочих часов этот сайт с нуля. При помощи perplexity. ai PRO , при. . .
Модель сукцессии микоризы anaschu 24.01.2026 Решили писать научную статью с неким РОманом	http://iceja.net/ математические сервисы iceja 20.01.2026 Обновила свой сайт http:/ / iceja. net/ , приделала Fast Fourier Transform экстраполяцию сигналов. Однако предсказывает далеко не каждый сигнал (см ограничения http:/ / iceja. net/ fourier/ docs ). Также. . .	http://iceja.net/ сервер решения полиномов iceja 18.01.2026 Выкатила http:/ / iceja. net/ сервер решения полиномов (находит действительные корни полиномов методом Штурма). На сайте документация по API, но скажу прямо VPS слабенький и 200 000 полиномов. . .	Расчёт переходных процессов в цепи постоянного тока igorrr37 16.01.2026 / * Дана цепь(не выше 3-го порядка) постоянного тока с элементами R, L, C, k(ключ), U, E, J. Программа находит переходные токи и напряжения на элементах схемы классическим методом(1 и 2 з-ны. . .

@alex2131 3 / 3 / 1 Регистрация: 09.09.2013 Сообщений: 116

	Защита от DoS атак 24.02.2014, 18:12. Показов 1582. Ответов 10 Метки нет (Все метки) Надеюсь пишу сюда. И так. Так как я не шарю в iptables, прошу у вас помощи. Кто может написать защиту под iptables от DoS атак типа SYN-Flood. Досят из под Linux и perl'ом. Если чего-то не хватает какой-либо информации, пишите, добавлю. Жду ваших ответов. Досят TCP. Или написать так, чтобы было ограничение на порт. 0

Dmitry 13440 / 7534 / 830 Регистрация: 09.09.2009 Сообщений: 29,554
	24.02.2014, 18:26
	iptables + connlimit - все это в гугл, а потом - обчитаться до потери сознания, ибо описаний, хавтушек, статеек об этом - просто море.... 0

@alex2131 3 / 3 / 1 Регистрация: 09.09.2013 Сообщений: 116
	24.02.2014, 18:30 [ТС]
	Боюсь не так всё хорошо. Есть роутер. На нём iptables.Вот на него как раз и нужно. Linux и роутер, у них iptables одинаковый? 0

@alex2131 3 / 3 / 1 Регистрация: 09.09.2013 Сообщений: 116
	24.02.2014, 18:39 [ТС]
	Смотри. Есть роутер. На нём iptables версии "iptables v1.3.8", сам роутер Zyxel Keenetic Lite. Нужно сделать так, чтобы не досили его. Порт 29000. Либо стояло ограничение на скорость. Порт TCP. Ещё что-то нужно? 0

@alex2131 3 / 3 / 1 Регистрация: 09.09.2013 Сообщений: 116
	24.02.2014, 19:22 [ТС]
	connlimit нету. Стоит роутер. Их сборка Linux. apt-get там нету. Добавлено через 1 минуту и wget тоже 0

@alex2131 3 / 3 / 1 Регистрация: 09.09.2013 Сообщений: 116
	24.02.2014, 19:29 [ТС]
	Вот правила: iptables -A INPUT -p tcp -m tcp --dport 29001 -m state --state RELATED,ESTABLISHED -j ACCEPT iptables -A INPUT -p tcp --dport 29001 -m state --state NEW -m hashlimit --hashlimit 50/s --hashlimit-burst 50 --hashlimit-mode srcip --hashlimit-name TF -j ACCEPT iptables -A INPUT -p tcp --dport 29001 -j DROP Верны? 0

@alex2131 3 / 3 / 1 Регистрация: 09.09.2013 Сообщений: 116
	25.02.2014, 02:07 [ТС]
	Спасибо. Может вам показать сам скрипт DoS'а? 0