OpenForum RSS: Раздел полезных советов: Поддержка TARPIT для RHEL 5/CentOS 5 https://opennet.ru/openforum/vsluhforumID3/49054.html Для RHEL 5 / CentOS 5 исходники модуля TARPIT можно загрузить здесь:<br> http://enterprise.bih.harvard.edu/pub/tarpit-updates/old-patch-o-matic<br><br>TARPIT позволяет организовать коннект в пустоту (соединение не закрывается, но ничего не происходит).<br><br>Я скачал 2.6.19 версию, собирается без проблем при наличии пакета kernel-devel и простого makefile:<br><br> obj-m += ipt_TARPIT.o<br> KDIR := /lib/modules/$(shell uname -r)/build<br> PWD := $(shell pwd)<br> all:<br> make -C $(KDIR) M=$(PWD) modules<br> clean:<br> make -C $(KDIR) M=$(PWD) clean<br><br>Чтобы при обновлении ядра модуль автоматом подхватывался, нужно зарегистрировать модуль через<br><br> /sbin/weak-modules<br><br>Пример использования:<br><br> iptables -A INPUT -p tcp -m tcp -dport 80 -j TARPIT<br><br><br>URL: <br>Обсуждается: http://www.opennet.ru/tips/info/1935.shtml<br> Поддержка TARPIT для RHEL 5/CentOS 5 (Slava) https://opennet.ru/openforum/vsluhforumID3/49054.html#22 Sat, 20 Feb 2010 14:15:33 GMT А можно подробней о процессе :)<br>Я на ядре 2.6.26 ASP Linux никак немогу разобраться с установкой :(<br> Раздел полезных советов: Поддержка TARPIT для RHEL 5/CentOS ... (Руслан) https://opennet.ru/openforum/vsluhforumID3/49054.html#21 Thu, 12 Feb 2009 22:36:59 GMT Честно не понял.<br>Это намек на то, что:<br>а) им пофигу, ибо ответит шлюз<br>б) им пофигу, ибо никто не ответит за это<br><br>Другой вариант?<br> Раздел полезных советов: Поддержка TARPIT для RHEL 5/CentOS ... (ihanick) https://opennet.ru/openforum/vsluhforumID3/49054.html#20 Thu, 12 Feb 2009 21:13:27 GMT есть проблема.<br>Большие сети за nat. Они могут легко 50 раз в секунду запрашивать главную при посещаемости вашего сайта больше миллиона.<br> Поддержка TARPIT для Debian (Anonymous) https://opennet.ru/openforum/vsluhforumID3/49054.html#19 Thu, 12 Feb 2009 07:18:19 GMT &gt;--dport 666<br><br>Может все дело в номере порта? xD<br> Раздел полезных советов: Поддержка TARPIT для RHEL 5/CentOS ... (Руслан) https://opennet.ru/openforum/vsluhforumID3/49054.html#18 Tue, 10 Feb 2009 19:58:57 GMT Я бы, работай TARPIT из коробки, на всех серверах делал так:<br>1) на всех портах сервисов, которые я не собираюсь у себя включать, за исключением тех, которые легальные кравлеры моего провайдера осматривают, вешал бы TARPIT<br>2) На всех приватных сервисах, которые нужны лишь мне одному и никому более, делал бы так называемый port-knocking средствами recent.<br>В прошлых заметках был совет, как ipt_recent пользоваться.<br><br>В итоге, брутфорсерство серверу угрожать перестанет совсем.<br>А если хорошо почитать документацию, можно умников, которые толпой у сервера 50 раз/сек каждый запрашивает главную страницу, рубить с плеча. В итоге, машины в ботнетах начнут чахнуть. :-)<br> Раздел полезных советов: Поддержка TARPIT для RHEL 5/CentOS ... (rusty_angel) https://opennet.ru/openforum/vsluhforumID3/49054.html#17 Tue, 10 Feb 2009 06:35:44 GMT &gt;спасибочки конечно не только тебе но и всем ! молодцы <br>&gt;<br>&gt;вот пожалуйста ответьте еще на один вопрос можно тоже самое сделать для <br>&gt;http, pop3, imap, pptp и т.д. но с разумным подходом исходя <br>&gt;из ситуации <br>&gt;<br>&gt;в целом ситуация такая организация в которой на шлюзе стоит linux т.е. <br>&gt;нет как кто-то заметил (помоему ниже) многих доменов и т.п. <br>&gt;<br>&gt;другими словами чтобы весь флуд логировался и "тарпитился" <br><br>Можно, но с этим осторожно надо, можно заблокировать и вполне нормальных клиентов. На публичные сервисы не стоит такое вешать, а на ssh и pptp и imap правда можно.<br><br>Если вы не провайдер - то вряд ли вас как-то особенно массированно флудят, и можно обойтись DROPом.<br> Раздел полезных советов: Поддержка TARPIT для RHEL 5/CentOS ... (netc) https://opennet.ru/openforum/vsluhforumID3/49054.html#16 Tue, 10 Feb 2009 06:24:53 GMT спасибочки конечно не только тебе но и всем ! молодцы<br><br>вот пожалуйста ответьте еще на один вопрос можно тоже самое сделать для http, pop3, imap, pptp и т.д. но с разумным подходом исходя из ситуации <br><br>в целом ситуация такая организация в которой на шлюзе стоит linux т.е. нет как кто-то заметил (помоему ниже) многих доменов и т.п.<br><br>другими словами чтобы весь флуд логировался и "тарпитился"<br> Раздел полезных советов: Поддержка TARPIT для RHEL 5/CentOS ... (rusty_angel) https://opennet.ru/openforum/vsluhforumID3/49054.html#15 Tue, 10 Feb 2009 06:19:01 GMT &gt;обычно в dmesg <br><br>В сислог, так что /var/log/messages<br>&gt;&gt;4. и в TARPIT их, паршивцев. <br>&gt;&gt;<br>&gt;&gt;Только как-то это радикально больно. <br>&gt;<br>&gt;читай dmesg, увидишь кто они, сколько их.. <br><br>Читаю (см. выше), вижу. Но с почтой, когда доменов сотни, а ящиков тысячи, надо осторожно, и тарпит тут совсем не в тему.<br> Раздел полезных советов: Поддержка TARPIT для RHEL 5/CentOS ... (Andrey) https://opennet.ru/openforum/vsluhforumID3/49054.html#14 Tue, 10 Feb 2009 00:13:46 GMT &gt;2. новые не более одного в секунду с пиками не более двух <br>&gt;<br>&gt;3. остальное в лог как флуд <br><br>обычно в dmesg<br><br>&gt;4. и в TARPIT их, паршивцев. <br>&gt;<br>&gt;Только как-то это радикально больно. <br><br>читай dmesg, увидишь кто они, сколько их..<br>