1

Тема: Чем защищаться?

В общем я тут развлекаюсь с поднятием собственного интернет-потока. Количество слушателей у меня 30-50 человек.
Сегодня час назад произошел такой казус - заметил что айскаст на ретрансляторе перестал отдавать поток по какой-то причине, полез смотреть всякие графики у хостера и обнаружил что количество сетевых соединений резко возрасло аж до ~1300. нагрузка на CPU как видно по картинке не поднялась.
http://s019.radikal.ru/i625/1307/ba/d4a344294c00.jpg

Собственно вопрос, что это за атака? И как с этим бороться? Как и где можно зафиксировать по логам подключения, откуда они шли?

Re: Чем защищаться?

пишет Infin1ty:

Как и где можно зафиксировать по логам подключения, откуда они шли?

access.log & error.log   айскаста
не?

Windows 2003 Server --> Digispot Djin --> CDDXP(TuneInSender) --> Edcast --> IceCast

3

Re: Чем защищаться?

iptables запретили?

Лучшая музыка за 15 лет! www.radiopassazh.ru
Лучшая русская популярная музыка! www.rusongs.ru

4

Re: Чем защищаться?

залез в access.log, там нашел лишь записи о подключениях за 2 часа, глянул поверхностно, не вдаваясь в разборы.

В каком-то из соседних топиков прочитал, что можно ограничить количество одновременных подключений до 5 (я так понял для 1 клиента). Подскажите как и где такое можно провернуть? В случае если я буду банить по 1 айпишнику - это не разумное решение проблемы, в любой момент может прилететь новое с другого адреса.

Re: Чем защищаться?

пишет Infin1ty:

В случае если я буду банить по 1 айпишнику - это не разумное решение проблемы, в любой момент может прилететь новое с другого адреса.

Вы что, руками собрались банить?
Гугл в руки и читайте про правила IPTABLES (как вам выше подсказали) для защиты от ДОС / ДДОС

Windows 2003 Server --> Digispot Djin --> CDDXP(TuneInSender) --> Edcast --> IceCast

6

Re: Чем защищаться?

Глянул error.log, сегодня был такой же сбой. Мой косяк? При этом количество соединений так же было большим, порядка 600
Вот такое вот дало:

[2013-07-31  12:30:08] INFO source/get_next_buffer End of Stream /rfm
[2013-07-31  12:30:08] INFO source/source_shutdown Source "/rfm" exiting
[2013-07-31  12:30:08] INFO fserve/fserve_client_create checking for file /rfm (/usr/share/icecast2/web/rfm)
[2013-07-31  12:30:08] WARN fserve/fserve_client_create req for file "/usr/share/icecast2/web/rfm" No such file or directory
[2013-07-31  12:30:09] INFO fserve/fserve_client_create checking for file /crossdomain.xml (/usr/share/icecast2/web/crossdomain.xml)
[2013-07-31  12:30:09] WARN fserve/fserve_client_create req for file "/usr/share/icecast2/web/crossdomain.xml" No such file or directory
[2013-07-31  12:30:09] INFO fserve/fserve_client_create checking for file /crossdomain.xml (/usr/share/icecast2/web/crossdomain.xml)
[2013-07-31  12:30:09] WARN fserve/fserve_client_create req for file "/usr/share/icecast2/web/crossdomain.xml" No such file or directory
[2013-07-31  12:30:09] INFO fserve/fserve_client_create checking for file /rfm (/usr/share/icecast2/web/rfm)
[2013-07-31  12:30:09] WARN fserve/fserve_client_create req for file "/usr/share/icecast2/web/rfm" No such file or directory
[2013-07-31  12:30:10] INFO slave/start_relay_stream Starting relayed source at mountpoint "/rfm"
[2013-07-31  12:30:10] INFO slave/open_relay_connection connecting to адрес.потока:8000
[2013-07-31  12:30:10] INFO fserve/fserve_client_create checking for file /rfm (/usr/share/icecast2/web/rfm)...

В течение отключки (мин 5) выдавало вот такие 2 строки:

[2013-07-31  12:30:17] INFO fserve/fserve_client_create checking for file /rfm (/usr/share/icecast2/web/rfm)
[2013-07-31  12:30:17] WARN fserve/fserve_client_create req for file "/usr/share/icecast2/web/rfm" No such file or directory

После отключки начал набирать слушателей

[2013-07-31  12:34:10] INFO source/source_main listener count on /rfm now 0
[2013-07-31  12:34:10] INFO source/source_main listener count on /rfm now 2
[2013-07-31  12:34:10] INFO source/source_main listener count on /rfm now 5
[2013-07-31  12:34:10] INFO source/source_main listener count on /rfm now 6
[2013-07-31  12:34:10] INFO source/source_main listener count on /rfm now 8
[2013-07-31  12:34:10] INFO source/source_main listener count on /rfm now 10

Хэлп! Отключка происходит в самое злачное на слушателей время!

Отредактировано Infin1ty (31-07-2013 17:13:48)

7

Re: Чем защищаться?

пишет ubuntu-studio:

Вы что, руками собрались банить?
Гугл в руки и читайте про правила IPTABLES (как вам выше подсказали) для защиты от ДОС / ДДОС

Вообще да, по одному) Ок, углублюсь в этот вопрос.

По логам выше, может это у меня что-то не так настроено?

8

Re: Чем защищаться?

[2013-07-31  12:30:09] INFO fserve/fserve_client_create checking for file /crossdomain.xml (/usr/share/icecast2/web/crossdomain.xml)
[2013-07-31  12:30:09] WARN fserve/fserve_client_create req for file "/usr/share/icecast2/web/crossdomain.xml" No such file or directory

определись, где лежит у тебя файл crossdomain.xml
web ?  rfm ?

как  создать crossdomain.xml

Отредактировано VapSite (31-07-2013 20:30:50)

9

Re: Чем защищаться?

пишет VapSite:

[2013-07-31  12:30:09] INFO fserve/fserve_client_create checking for file /crossdomain.xml (/usr/share/icecast2/web/crossdomain.xml)
[2013-07-31  12:30:09] WARN fserve/fserve_client_create req for file "/usr/share/icecast2/web/crossdomain.xml" No such file or directory

определись, где лежит у тебя файл crossdomain.xml
web ?  rfm ?

как  создать crossdomain.xml

Создал я crossdomain.xml в /usr/share/icecast2/web/crossdomain.xml с таким содержанием:

<cross-domain-policy>
<allow-access-from domain="*" to-ports="8000"/>
</cross-domain-policy>

Только зачем вообще такой зверь нужен?

10

Re: Чем защищаться?

1300 соединений = это атака? вы издеваетесь? Айскаст при 6-8 тысячах слушателй только порядка 50-80 тысяч пакетов в секунду обслуживает, и это рабочая ситуация, а не атака

Лучшая музыка за 15 лет! www.radiopassazh.ru
Лучшая русская популярная музыка! www.rusongs.ru

11

Re: Чем защищаться?

пишет Infin1ty:

Создал я crossdomain.xml в /usr/share/icecast2/web/crossdomain.xml с таким содержанием:
...
Только зачем вообще такой зверь нужен?

Опаньки!
Создал, а зачем он нужен не понял.
big_smile

Windows 2003 Server --> Digispot Djin --> CDDXP(TuneInSender) --> Edcast --> IceCast

12

Re: Чем защищаться?

пишет radiopassazh:

1300 соединений = это атака? вы издеваетесь? Айскаст при 6-8 тысячах слушателй только порядка 50-80 тысяч пакетов в секунду обслуживает, и это рабочая ситуация, а не атака

По каналу так прикинул, что рассчитано на ~700 слушателей.

13

Re: Чем защищаться?

пишет ubuntu-studio:

Опаньки!
Создал, а зачем он нужен не понял.
big_smile

Ну хватит издеваться roll

14

Re: Чем защищаться?

пишет Infin1ty:

пишет ubuntu-studio:

Опаньки!
Создал, а зачем он нужен не понял.
big_smile

Ну хватит издеваться roll

окай

Windows 2003 Server --> Digispot Djin --> CDDXP(TuneInSender) --> Edcast --> IceCast