Защита vps WEB server (centos 6)

Здравствуйте, уважаемый клиент!
Информируем Вас о том, что один из Ваших VDS (виртуальный сервер) заблокирован. На Ваш сервер идет много трафика, это нарушает работу сети и мешает вашим "соседям" по услуге. На момент блокировки зафиксировано 2976 подключений со средним размером пакета 114 B. Скорее всего на Ваш сервер осуществляется DDoS-атака. К сожалению, защиту от атак мы не предоставляем, но Вы можете использовать сторонние сервисы на Ваш выбор. На данный момент Ваш IP-адрес 82.146.42.154 зафильтрован на 12 часов, но если за это время нагрузка не прекратилась, в течение следующих 10 минут IP-адрес сервера вновь будет заблокирован. Фильтр снимется автоматически. Для того чтобы получить доступ к Вашим данным на зафильтрованном сервере на момент атаки Вы можете заказав к нему дополнительный IP-адрес. Мы готовы оказать информационное содействие по всем вопросам."

Top 10 Dst Port ordered by bytes:
Date first seen Duration Proto Dst Port Flows(%) Packets(%) Bytes(%) pps bps bpp
2012-12-25 14:31:53.857 405.865 any 60767 3( 0.1) 555( 4.5) 812326(12.3) 1 16011 1463
2012-12-25 14:29:00.137 593.639 any 80 1952(38.4) 5184(42.3) 583396( 8.8) 8 7861 112
2012-12-25 14:31:30.804 279.835 any 54591 7( 0.1) 15( 0.1) 16994( 0.3) 0 485 1132
2012-12-25 14:29:41.355 486.478 any 56031 6( 0.1) 15( 0.1) 16994( 0.3) 0 279 1132
2012-12-25 14:31:34.736 369.060 any 54905 6( 0.1) 16( 0.1) 16189( 0.2) 0 350 1011
2012-12-25 14:31:19.217 164.196 any 3885 5( 0.1) 14( 0.1) 16104( 0.2) 0 784 1150
2012-12-25 14:29:49.342 425.451 any 50354 5( 0.1) 14( 0.1) 16073( 0.2) 0 302 1148
2012-12-25 14:32:48.281 171.517 any 48344 4( 0.1) 11( 0.1) 15052( 0.2) 0 702 1368
2012-12-25 14:32:47.251 344.434 any 48341 6( 0.1) 13( 0.1) 14581( 0.2) 0 338 1121
2012-12-25 14:34:47.417 148.934 any 54890 5( 0.1) 12( 0.1) 14521( 0.2) 0 779 1210

Summary: total flows: 5083, total bytes: 6.6 M, total packets: 12243, avg bps: 88985, avg pps: 20, avg bpp: 539
Time window: 2012-12-25 14:29:00 - 2012-12-25 14:38:53
Total flows processed: 45150130, Blocks skipped: 0, Bytes read: 2167206576
Sys: 6.864s flows/second: 6577346.6 Wall: 6.848s flows/second: 6593034.7


Top 10 Src IP Addr ordered by bytes:
Date first seen Duration Proto Src IP Addr Flows(%) Packets(%) Bytes(%) pps bps bpp
2012-12-25 14:29:03.551 590.225 any 176.9.91.186 1452(74.2) 3705(71.4) 325629(55.8) 6 4413 87
2012-12-25 14:32:47.461 351.041 any 128.124.9.68 5( 0.3) 30( 0.6) 15532( 2.7) 0 353 517
2012-12-25 14:31:03.721 289.490 any 88.155.205.216 17( 0.9) 46( 0.9) 11830( 2.0) 0 326 257
2012-12-25 14:38:15.472 24.059 any 178.89.80.234 2( 0.1) 278( 5.4) 11305( 1.9) 11 3759 40
2012-12-25 14:33:17.337 316.096 any 217.212.231.204 19( 1.0) 41( 0.8) 9551( 1.6) 0 241 232
2012-12-25 14:32:39.270 199.087 any 82.145.217.47 11( 0.6) 33( 0.6) 8806( 1.5) 0 353 266
2012-12-25 14:29:42.045 530.356 any 77.88.28.246 25( 1.3) 62( 1.2) 8596( 1.5) 0 129 138
2012-12-25 14:29:01.188 284.714 any 82.145.216.51 22( 1.1) 45( 0.9) 8469( 1.5) 0 237 188
2012-12-25 14:29:21.617 551.262 any 217.212.231.37 11( 0.6) 36( 0.7) 8160( 1.4) 0 118 226
2012-12-25 14:36:19.809 126.073 any 212.58.162.57 4( 0.2) 21( 0.4) 7651( 1.3) 0 485 364

Summary: total flows: 1957, total bytes: 583720, total packets: 5190, avg bps: 7866, avg pps: 8, avg bpp: 112
Time window: 2012-12-25 14:29:00 - 2012-12-25 14:38:53
Total flows processed: 45150130, Blocks skipped: 0, Bytes read: 2167206576
Sys: 7.032s flows/second: 6420337.4 Wall: 7.054s flows/second: 6399842.0

Pavel A.
Сотрудник 25/12/2012 15:51
Честно говоря, выше приведены какие-то несуразные данные.

Если проблема в "На момент блокировки зафиксировано 2976 подключений со средним размером пакета 114 B", то это ничтожное значение и непонятно в чем проблема.

waifon.ru

top - 00:56:51 up 6:31, 1 user, load average: 1.84, 1.39, 1.40
Tasks: 100 total, 1 running, 99 sleeping, 0 stopped, 0 zombie
Cpu(s): 11.5%us, 3.5%sy, 0.0%ni, 59.1%id, 24.0%wa, 0.0%hi, 0.1%si, 1.8%st
Mem: 509592k total, 503548k used, 6044k free, 1552k buffers
Swap: 524280k total, 135492k used, 388788k free, 51388k cached

PID USER PR NI VIRT RES SHR S %CPU %MEM TIME+ COMMAND
959 mysql 20 0 135m 7000 2732 S 6.9 1.4 53:31.81 mysqld
20403 apache 20 0 69168 28m 4424 S 3.4 5.7 1:53.21 httpd
24 root 20 0 0 0 0 S 1.7 0.0 0:14.85 kblockd/0
14575 apache 20 0 56732 23m 3964 S 1.7 4.6 0:27.97 httpd
25790 root 20 0 2560 1000 780 R 1.7 0.2 0:00.01 top
1 root 20 0 2888 392 296 S 0.0 0.1 0:00.25 init
2 root 20 0 0 0 0 S 0.0 0.0 0:00.00 kthreadd
3 root RT 0 0 0 0 S 0.0 0.0 0:00.01 migration/0
4 root 20 0 0 0 0 S 0.0 0.0 0:00.23 ksoftirqd/0
5 root RT 0 0 0 0 S 0.0 0.0 0:00.00 migration/0
6 root RT 0 0 0 0 S 0.0 0.0 0:00.28 watchdog/0
7 root RT 0 0 0 0 S 0.0 0.0 0:00.03 migration/1
8 root RT 0 0 0 0 S 0.0 0.0 0:00.00 migration/1
9 root 20 0 0 0 0 S 0.0 0.0 0:00.14 ksoftirqd/1
10 root RT 0 0 0 0 S 0.0 0.0 0:00.15 watchdog/1
11 root 20 0 0 0 0 S 0.0 0.0 0:01.27 events/0
12 root 20 0 0 0 0 S 0.0 0.0 0:01.46 events/1

#!/bin/sh
### Скрипт конфигурации IPTables ###
# Очищаем предыдущие записи
iptables -F
# Установка политик по умолчанию
iptables -P INPUT DROP
iptables -P FORWARD ACCEPT
iptables -P OUTPUT ACCEPT
# Разрешаем локальный интерфейс
iptables -A INPUT -i lo -j ACCEPT
# Простая защита от DoS-атаки
iptables -A INPUT -p tcp -m tcp --tcp-flags SYN,ACK,FIN,RST RST -m limit --limit 1/s -j ACCEPT
# Защита от спуфинга
iptables -I INPUT -m conntrack --ctstate NEW,INVALID -p tcp --tcp-flags SYN,ACK SYN,ACK -j REJECT --reject-with tcp-reset
# Защита от попытки открыть входящее соединение TCP не через SYN
iptables -I INPUT -m conntrack --ctstate NEW -p tcp ! --syn -j DROP
# Закрываемся от кривого icmp
iptables -I INPUT -p icmp -f -j DROP
# REL, ESTB allow
iptables -A INPUT -p tcp -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -A INPUT -p udp -m state --state RELATED,ESTABLISHED -j ACCEPT
# Разрешаем рабочие порты
iptables -A INPUT -p tcp --dport 20 -j ACCEPT
iptables -A INPUT -p tcp --dport 21 -j ACCEPT
iptables -A INPUT -p tcp --dport 22 -j ACCEPT
iptables -A INPUT -p tcp --dport 25 -j ACCEPT
iptables -A INPUT -p udp --sport 53 -j ACCEPT
iptables -A INPUT -p tcp --dport 80 -j ACCEPT
iptables -A INPUT -p tcp --dport 110 -j ACCEPT
iptables -A INPUT -p tcp --dport 143 -j ACCEPT
iptables -A INPUT -p tcp --dport 443 -j ACCEPT
# Разрешение главных типов протокола ICMP
iptables -A INPUT -p icmp --icmp-type 3 -j ACCEPT
iptables -A INPUT -p icmp --icmp-type 11 -j ACCEPT
iptables -A INPUT -p icmp --icmp-type 12 -j ACCEPT
# Защита сервера SSH от брутфорса
iptables -A INPUT -p tcp –syn –dport 22 -m recent –name dmitro –set
iptables -A INPUT -p tcp –syn –dport 22 -m recent –name dmitro –update –seconds 30 –hitcount 3 -j DROP
iptables -A INPUT -p tcp –dport 22 -j ACCEPT
# Просмотр
iptables -L --line-number
echo
echo "Adding DONE, maybe OK"
echo "Saving to rc, PSE wait!"
service iptables save
echo
service iptables restart
echo "Done"