Limitar paquetes por segundo

Navega tus respuestas
2

Desde la semana pasada he estado viendo algo sospechoso y parece estar empeorando. Probé muchos cortafuegos y parecen ser inútiles. Bloqueé todos los puertos no deseados y solo algunos puertos están abiertos, así que descubrí que mi VPS se congela cuando los Paquetes por segundo se superan a los 20k. Quiero saber si hay alguna manera de limitar los pps en los puertos abiertos y rechazar todas las demás conexiones al puerto hasta que los pps se reduzcan a 10k.

Tal vez esto haya sido discutido, o esté disponible en Google, pero no puedo encontrarlo (si este tipo existe) y solo encontré esto: 

iptables -I INPUT -p tcp --dport 1234 -m hashlimit --hashlimit-mode srcip,srcport --hashlimit-name HASHNAME --hashlimit-htable-max 5000 --hashlimit-htable-expire 10000 --hashlimit-above 5/sec -j DROP

Pero no sé qué significa esta regla.

    
pregunta WMax 16.12.2014 - 17:59
fuente

2 respuestas

2

Puedes limitar las conexiones por bloques de red, por ejemplo, elija un tamaño como una clase C (256 IP) y luego limite cada clase C que se conecta a usted para decir 10 conexiones por bloque de IP. A menos que un atacante esté en la misma clase C que tú (poco probable), entonces podrás conectarte. Para hacer esto use la opción "--connlimit-mask", explicada en:

enlace

Un ejemplo para limitar el acceso a su puerto de servidor SSH sería: 

iptables -p tcp --syn --dport 22 \
-m connlimit \ 
--connlimit-above 10 \
--connlimit-mask 24 \
-j REJECT

Entonces, primero especificamos el protocolo TCP, luego los paquetes SYN (inicio de conexión) y un puerto de destino de 22. Luego usamos el módulo de límite de conexión, lo limitamos a 10 conexiones por cada bloque de red con una máscara de red de / 24 ( una clase C con 256 IPs).

    
respondido por el Kurt 26.10.2015 - 21:58
fuente
2

Soy un poco sospechoso de su diagnóstico de la causa de las congelaciones, sin embargo, si este es el caso, entonces la pregunta está fuera de tema y mi primera opción para una acción correctiva sería buscar un servicio de alojamiento diferente (o preguntar las personas que proporcionan el servicio actual para resolver el problema).

Sí, Linux tiene facilidades de administración de tasa limitada dentro de iptables, y también tiene facilidades de administración de tráfico basadas en QOS muy sofisticadas (no se pueden conectar las dos) pero esto no tiene efecto en la tasa a la que llegan los paquetes a su host, Solo la tarifa que dejan en.

    
respondido por el symcbean 26.12.2015 - 21:06
fuente

Lea otras preguntas en las etiquetas

¿Quién puede ver la contraseña cuando accidentalmente usé ftp en lugar de sftp? ¿Por qué Google no auth2 proporciona un token de actualización para las aplicaciones del lado del cliente?