このスレッドは解決済です(未解決に戻す場合はこちら)
<<戻る

iptablesで1秒間に○回のアクセスは拒否したい このメッセージに返信する
日時: 2009/04/09 14:41
名前: 翔太
URL:
ファイアウォール構築(iptables)
http://centossrv.com/iptables.shtml

上記にて
# 1秒間に4回を超えるpingはログを記録して破棄
# ※Ping of Death攻撃対策
iptables -N LOG_PINGDEATH
iptables -A LOG_PINGDEATH -m limit --limit 1/s --limit-burst 4 -j ACCEPT
iptables -A LOG_PINGDEATH -j LOG --log-prefix '[IPTABLES PINGDEATH] : '
iptables -A LOG_PINGDEATH -j DROP
iptables -A INPUT -p icmp --icmp-type echo-request -j LOG_PINGDEATH
を設定していますが、これを80番へ代用するにはどうすればいいのでしょうか?
記事編集 編集
Re: iptablesで1秒間に○回のアクセスは拒否したい このメッセージに返信する
日時: 2009/04/09 15:04
名前: stranger
URL: http://ja.528p.com/
>ファイアウォール構築(iptables)
>http://centossrv.com/iptables.shtml
>
>上記にて
># 1秒間に4回を超えるpingはログを記録して破棄
># ※Ping of Death攻撃対策
>iptables -N LOG_PINGDEATH
>iptables -A LOG_PINGDEATH -m limit --limit 1/s --limit-burst 4 -j ACCEPT
>iptables -A LOG_PINGDEATH -j LOG --log-prefix '[IPTABLES PINGDEATH] : '
>iptables -A LOG_PINGDEATH -j DROP
>iptables -A INPUT -p icmp --icmp-type echo-request -j LOG_PINGDEATH
>を設定していますが、これを80番へ代用するにはどうすればいいのでしょうか?

iptables -A INPUT -p tcp --dport 80 --syn -m limit --limit 1/s --limit-burst 4 -j ACCEPT
iptables -A INPUT -p tcp --dport 80 --syn -j DROP
回線が高速であればあるほど、httpにlimitをかけると表示がおかしくなると思うよ
やってみてください
記事編集 編集
Re: iptablesで1秒間に○回のアクセスは拒否したい このメッセージに返信する
日時: 2009/04/09 16:39
名前: 翔太
URL:
strangerさん

早速のご回答ありがとうございます。
試してみます。

>回線が高速であればあるほど、httpにlimitをかけると表示がおかしくなると思うよ
う〜ん・・・連続アクセスツール(DLツール)対策になるかなぁ〜と安易に思ったのですが、
微調整しながら試すことにします。
記事編集 編集
Re: iptablesで1秒間に○回のアクセスは拒否したい このメッセージに返信する
日時: 2009/04/09 17:06
名前: ぼぼのけ姫
URL:
まあ、対象がパケットなので、その方法では致し方ないですね。
視点を変えて目的のほうから見てみれば、ウェブ アプリケーション レベルで容易に解決可能かと思います。
記事編集 編集
Re: iptablesで1秒間に○回のアクセスは拒否したい このメッセージに返信する
日時: 2009/04/09 19:51
名前: 翔太
URL:
ぼぼのけ姫さん

mod_limitipconn入れたりもしてるのですがどうも駄目っぽくて・・・。
いろいろと試してあがいてみます。
記事編集 編集
Re: iptablesで1秒間に○回のアクセスは拒否したい このメッセージに返信する
日時: 2009/04/11 01:01
名前: 中学生管理者
URL:
webのアクセスログを見ると分かりますが、webページって
ページの中に例えば画像があるとその度にアクセスしますよね。

例えば一つのページに10の画像があってその画像が同じサイトに
置いてあり、ブラウザーのキャッシュに残ってなければ、
1ページを表示するのに10回以上はアクセスすることに
なります。したがって1秒間に4回のアクセス制限などすると
ほとんどひっかかります。

ブラウザーによってはリンク先も先読みしたりするだろうから
さらに制限にひっかかり安くなるかも。

微調整も微妙に難しいかも。
でもやってみる価値はあるかもです。
(実は結果を知りたかったりして…w)
記事編集 編集
Re: iptablesで1秒間に○回のアクセスは拒否したい このメッセージに返信する
日時: 2009/04/11 04:14
名前: 翔太
URL:
結果〜。

内部画像(画像は直リンク)を使ってない鯖だと4回の制限にひっかからないのでこの方法でいけますが、
中学生管理者さんご指摘のように内部画像が1ページあたりに複数あるHPだと無理ですね。
#はじめから気づけよって突っ込みはご容赦をw

最近まで内部画像(画像は直リンク)を使ってないHPだったので問題ないと思ってたら
Blogを書き出したの忘れてて、中学生管理者さんご指摘でそっちのログを確認したら
見事にひっかかってました(笑)
#まぁ調整は可能なのですがそうすると本来制限したいほうがザルにw

ってことで鯖分離検討します。
色々とありがとうございました。
記事編集 編集
Re: iptablesで1秒間に○回のアクセスは拒否したい このメッセージに返信する
日時: 2009/04/11 10:07
名前: 中学生管理者
URL:

翔太様、わざわざレポートをありがとうございます。
同じサイトと言っても中身はいろいろですから、
こちら良ければあちらダメという感じですか。
セキュリティーって本当にケースバイケースという感じで
なかなか大変ですね。
ありがとうございました。
記事編集 編集
件名※必須
名前※必須
URL
任意のパスワード (投稿後のコメント修正・削除時に使用)
画像認証※必須 投稿キー(画像で表示されている数字を入力)
コメント※必須

※質問を投稿後に自己解決された場合は、原因と行った対処を具体的に書き込み下さるよう、よろしくお願いします。

- WEB PATIO -