Iptables সহ আমার প্যাকেটগুলি রেট-সীমাবদ্ধ করা উচিত?

8

আমি উবুন্টু সার্ভারে iptables ব্যবহার করছি। এটি একটি ভিপিএসে একটি ওয়েব সার্ভার।
আমি জানতে চাই যে আমার প্যাকেটগুলি রেট-সীমাবদ্ধ করা উচিত কিনা। যদি তাই হয় তবে আমার রেট-সীমা কী করা উচিত? এবং আমি কি বিশ্বব্যাপী বা প্রতি আইপি ঠিকানায় তাই করব?

রেফারেন্সটি
আমি লোকেরা এটির পরামর্শ দিতে দেখেছি: 

# Limit packet traffic on a TCP or UDP port:
iptables -A INPUT -p $proto --destination-port $port --syn -m state --state NEW -m limit --limit $lim/s --limit-burst $lb -j ACCEPT

# Limit established/related packet traffic:
iptables -A INPUT -m state --state RELATED,ESTABLISHED -m limit --limit $lim/s --limit-burst $lb -j ACCEPT

উপরোক্ত, একটি বৈশ্বিক হার-সীমা খুব কার্যকর বলে মনে হচ্ছে না, কমপক্ষে আমি যে কল্পনা করতে পারি তার জন্য। বিশ্বব্যাপী আমার রেট-সীমা থাকা উচিত এমন কোনও মামলা আছে কি?
আমি বিশ্বাস করি যে প্রতি আইপি রেট-সীমা সাধারণত আরও ভাল:

# Add the IP to the list:
iptables -A INPUT -p $proto --destination-port $port --syn -m state --state NEW -m recent --set --name RATELIMITED
# Drop if exceeded limit:
iptables -A INPUT -p $proto --destination-port $port --syn -m state --state NEW -m recent --update --seconds $sec --hitcount $hc --rttl --name RATELIMITED -j DROP
# Accept if inside limit:
iptables -A INPUT -p $proto --destination-port $port --syn -m state --state NEW -j ACCEPT

অতিরিক্ত প্রশ্ন: দূরবর্তী আইপিগুলি ছদ্মবেশী হতে পারে। কিভাবে তাদের সঠিকভাবে সীমাবদ্ধ?
এর জন্য আরও একটি প্রশ্ন যুক্ত করা হয়েছে:
/server/340258/how-to-rate-limit-spoofed-ips-with-iptables

লক্ষ্যটি
আমি কিছু ডি / ডস আক্রমণ এবং সাধারণ নির্যাতনের ঝুঁকি হ্রাস করার চেষ্টা করছি।

সম্পর্কিত
আমি কীভাবে আইপটিবলের সাথে সীমাবদ্ধ এসএসএইচ সংযোগগুলি রেট করতে পারি?

পিএস : আমি কেবলমাত্র আইসিএমপি- জন্য একটি সম্পর্কিত প্রশ্ন খুলেছি এবং এটিতে এই প্রোটোকলের জন্য রেট-সীমাবদ্ধকরণ অন্তর্ভুক্ত রয়েছে: iptables | আইসিএমপির প্রকার: কোনটি (সম্ভাব্য) ক্ষতিকারক?

linux  networking  firewall  iptables  rate-limiting 
ML--
সূত্র

উত্তর:

6

হারের সীমাটি প্রতিরোধ নয় বরং ডস-এর আমন্ত্রণ - বিশেষত উপরে উপস্থাপন করা স্বাদে যেখানে প্যাকেটগুলি বাদ পড়তে চলেছে যদি রাষ্ট্রের তথ্য ব্যতীত অযৌক্তিক প্যাকেটের একটি নির্দিষ্ট হার অতিক্রম করা হয়। যেহেতু প্রত্যেকে এই সংযোগ স্থানে বৃহত্তর প্রচেষ্টা ছাড়াই প্যাকেটগুলি (উত্স আইপি ঠিকানা সহ) জালিয়াতি করতে পারে, তাই আপনার রেট সীমা সুবিধার জন্য একটি নতুন ডস আক্রমণকারী ভেক্টর উত্থাপিত হবে।

আপনার কাছে হারের সীমাটি কেবল তখনই বোধগম্য হয়

  1. আপনার কনফিগারেশনে অনুমানযোগ্য হার্ড বা নরম সংযোগ সীমা
  2. লোড নির্বিশেষে অগ্রাধিকার বা প্রশাসনিক ট্র্যাফিকের জন্য সংযোগ স্থাপন করতে সক্ষম হতে এই সীমার নীচে সাধারণ ট্র্যাফিকের জন্য হারের সীমাটি নির্ধারণ করুন

যদিও ১. প্রায়শই বিরক্ত করার পক্ষে তা নির্ধারণ করার পক্ষেও যথেষ্ট শক্তিশালী, ২. স্পষ্টত কেবল তখনই কাজ করবে যদি আপনি সংযোগ সেটআপের পরে বাকী অংশ থেকে "অগ্রাধিকার বা প্রশাসনিক" ট্র্যাফিকের নির্ভরযোগ্যতার সাথে পার্থক্য করতে সক্ষম হন - যেমন যদি এটি কোনও ভিন্ন নেটওয়ার্ক ইন্টারফেসের মাধ্যমে আসে।

অন্যান্য ক্ষেত্রে এটি আপনার সিস্টেমে যুক্ত হওয়ার চেয়ে স্থিতিস্থাপকতা হ্রাস করবে।

-wabbit
সূত্র
হাই সিনেটিকন-ডিজে। আমি আনস্ট্যান্ড্যান্ড্যান্ড এবং সম্মত হই যে একটি ভুল কনফিগার্ড ফায়ারওয়াল একটি ডস আক্রমণের জন্য অন্য সরঞ্জাম is সতর্ক থাকুন জন্য ধন্যবাদ!
এমএল--
প্রতি-আইপি বা প্রতি-আইপি-পোর্ট হার সীমাবদ্ধ করা বৈধ ট্র্যাফিক থেকে রক্ষা করার সময়ও বোধগম্য মনে হয় যা কারওর সার্ভারের জন্য খুব বিশাল কিন্তু যার উদ্ভাবক আপনার উল্লিখিত সমস্যাটি কাজে লাগাতে পারে না, বলুন, বিংবোট বা অবমাননাকর আচরণ ফেসবুক বট।
জান লালিনস্কে
3

-M সীমাতে সমস্যাটি হ'ল সোর্স আইপি ঠিকানা যা-ই হোক না কেন সমস্ত টিসিপি প্যাকেটের সীমাবদ্ধতা। সুতরাং, যদি আপনার মতো সিন প্যাকেটের জন্য কম সীমাবদ্ধতা থাকে

-A INPUT -p tcp  --syn -m limit --limit 30/s --limit-burst 30 -j ACCEPT
-A INPUT -p tcp --syn -j DROP

এইচপি কমান্ড লাইনের সাথে কেবল একটি ক্লায়েন্ট এসআইএন পতাকা সহ অনেকগুলি টিসিপি প্যাকেট প্রেরণ করে আপনার সার্ভারটি নামিয়ে আনতে পারে কারণ সীমাটির নিয়ম মেলে এবং এটি উত্সের আইপি ঠিকানা যাই হোক না কেন এটি অনেকগুলি প্যাকেট ফেলে দেবে। সীমা ভাল ট্র্যাফিক এবং খারাপ ট্র্যাফিকের মধ্যে পার্থক্য তৈরি করে না। এটি খুব ভাল আগত ট্র্যাফিক নিচে নেবে।

হিপিং এর মতো কিছু হতে পারে:

hping thetargetedhostip -p 80 -S -c 1000 -i u20000

প্রতিটি আইপি ঠিকানায় আগত টিসিপি সংযোগ সীমাবদ্ধ করতে হ্যাশলিট ব্যবহার করা ভাল । সেকেন্ডে 30 টি প্যাকেট প্রতি আইপি প্রতি অনুমোদিত প্যাকেটের সংখ্যা হ্রাস করে 15 প্যাকেট প্রতি সেকেন্ডে প্রাপ্ত হলে নিম্নলিখিত বিধিটি কেবলমাত্র মিলবে । 

-A INPUT -p tcp --syn -m hashlimit --hashlimit 15/s --hashlimit-burst 30 --hashlimit-mode srcip --hashlimit-srcmask 32 --hashlimit-name synattack -j ACCEPT 
-A INPUT -p tcp --syn -j DROP

প্রকৃতপক্ষে, আমি স্বীকার করেছি যে বর্তমানে অনেকগুলি সার্ভার নেমেছে যা আক্রমণের সময় সংস্থান থেকে বেরিয়ে নেওয়া হয় নি তবে সীমিত মডিউল থেকে সমস্ত আগত ট্র্যাফিক বাদ পড়েছে।

নিকোলাস গুরিনেট
সূত্র
1

আমি সাধারণত সার্ভারগুলিতে রেট সীমাবদ্ধ করার নিয়ম সীমাবদ্ধ করি যা আমি আশা করি:

  • প্রত্যাশিত ট্রাফিক কম পরিমাণে
  • প্রমাণীকরণ পরিষেবা

উদাহরণস্বরূপ, একটি হোস্টিং কন্ট্রোল প্যানেলের লগইন পৃষ্ঠা, পিওপি 3, আইএমএপি, এসএসএইচ, ইত্যাদি I

আপনি ভাল ওয়েব ট্র্যাফিক ছেড়ে দিতে চান না। স্ল্যাশডোটের একটি লিঙ্ক আপনাকে প্রচুর ট্র্যাফিক পাঠাতে পারে এবং বিশ্বব্যাপী নিয়ম সহ, আপনি কোনও সমস্যা বুঝতে পারেন না।

স্পুফড আইপি সম্পর্কিত ক্ষেত্রে এগুলি ব্যবহার করে এগুলি অবরুদ্ধ করা যাবে না এবং সাধারণত এটি উদ্বেগের বিষয় নয় যেহেতু এই নিয়মগুলি মূলত প্রতিষ্ঠিত টিসিপি সংযোগগুলি সীমাবদ্ধ করার উপর জোর দেয়। একটি স্পুফ আইপি দিয়ে টিসিপি সংযোগটি কখনই প্রতিষ্ঠিত হতে পারে না।

jeffatrackaid
সূত্র
হাই জেফাত্রকাইদ, আপনার উত্তরের জন্য ধন্যবাদ! আমি এই ধরণের পরিষেবাগুলি (এসএসএইচ ইত্যাদি) রেট-সীমাতে (বিশ্বব্যাপী) ঝুঁকির মধ্যে আছি। এইচটিটিপি ট্র্যাফিক সম্পর্কে, সে কারণেই আমি বিশ্বব্যাপী সীমা প্রয়োগ করার ইচ্ছা করি না। এই প্রশ্নে আমি দেখতে পাব যে আইপি প্রতি সীমাটি আকর্ষণীয় হতে পারে এমন কোনও মামলা আছে কিনা। স্পোফড আইপি সম্পর্কিত (আমি এটির উপর একটি পৃথক প্রশ্ন খুলেছি) যদিও সংযোগ স্থাপন করা যায় না, এসআইএন বন্যা ব্যবহার করে ডস হওয়ার সম্ভাবনা রয়েছে। এটি কীভাবে হ্রাস করা যায় তা শুনতে আমি আগ্রহী।
এমএল--
আমাদের সাইট ব্যবহার করে, আপনি স্বীকার করেছেন যে আপনি আমাদের কুকি নীতি এবং গোপনীয়তা নীতিটি পড়েছেন এবং বুঝতে পেরেছেন ।
Licensed under cc by-sa 3.0 with attribution required.