โดน IP Spoof + Http request แรมเต็ม เวปล่ม
เข้าไปดูใน log เจอ
1.มีการ เข้ามาที่ โดเมนที่ไม่ได้ตั้งไว้ในเครื่อง แต่ยังคงชี้ DNS มาที่เครื่องอยู่ เป็นจำนวนมาก
2.ผมตั้ง iptable ไว้ให้ เข้ามาได้แค่ ip ละ 20 มันก็ Spoof IP มา ประมาณ 7-10 ต่อ 1 IP แต่ Spoof มาเป็น 100+ IP
อยากจะขอความช่วยเลยหน่อยอะครับ เครื่องเป็น CentOS 6 แรม 32
ไปเจอเวปมาเค้าให้ตั้งค่า ไฟล์ /etc/sysctl.conf มันกัน IP Spoof ได้จริงไหม ครับ
ถ้าถึงขั้นขึ้นใน log ของ apache นี่ต้องเป็น ip ที่มีตัวตนจริงๆ ละครับ มัน spoof ทั้ง connection ไม่ได้ครับ
ถ้าแบบนี้แก้ไขยังไง ครับ ต้องการ log message ไหมครับ
ผมลองไปไล่ ping ดูก็ติดทุก IP เลย ไม่เข้าใจ ถ้าปรับให้ httpd รองรับได้มากขึ้น จะได้ไหมอะครับ
ที่ apache log มีขึ้นแบบนี้ ก่อนไปด้วยอะครับ
server reached MaxClients setting, consider raising the MaxClients setting
ลิ้งโหลด log
http://www.upload-thai.com/download.php?id=9fb2426dbffee1591602cca214eb254a
ถ้าโดนขนาดนั้นแนะนำให้กรอง user agent แล้วแบนเลยครับ
ส่วนใหญ่จะเป็นบอตเน็ตแห่มาถล่ม
ไม่ก็ Tune ระบบให้รับการยิงได้ครับ แต่น่าจะใช้ทรัพยากรหนักอยู่
ตอนนี้ IPtarf ดู มีการ IPSpoof เข้ามาที่ Port 53 เป็น UDP รัวๆ เหมือนมาถามหา โดเมน แต่ว่าเข้ามาเยอะมากกกกก
ใช้อะไรแก้ไขดีครับ
โดนถล่มมาแล้วมีปัญหารึเปล่าล่ะครับ?
iptraf ตรง udp อย่าไปสนเลยครับ มันดูไม่ชัด ถ้าจะดูแบบนั้นต้อง tcpdump
ก่อนหน้านี้มีแลคๆ ครับ แล้วก็ httpd แรมเต็ม เวปล่มแค่นั้น ครับ
มีเครื่องมือ monitor พวก mrtg / munin / cacti / … อะไรพวกนี้บ้างมั้ยครับ
ยังไม่มีเลยครับ
ตามนั้นฮะ ลงก่อนครับ ซักตัวตัวไหนก็ได้ เอามาดูสถานะเครื่องจริงๆ
ได้ครับเดียวลงแล้วใช้งาน ตอนโดนยิงเข้ามา แล้วจะเอารูปมาให้นะครับ