Меня атакуют! :( DDOS

8oton · Сообщение **8oton** » 03.02.2007 17:35

Мой сервер в данный момент поддвергается DDOS Syn-Flood атаке.

1. Подскажите пожалуйста, как поддержать сервер, чтоб он не упал.
Заранее благодарю за дельные советы.

2.Нужно организовать проверку на коллчиствео соединений в netstat -lan | grep :80
и если ip встречается там больше чем 11 раз, то банить его командой:
iptables -A INPUT -s 195.x.x.x/32 -p tcp --dport 80 -j DROP

Буду очень признателен за помощь!

Liksys · Сообщение **Liksys** » 03.02.2007 17:43

1) Смотреть в лог, кто тебя флудит и банить. Автоматом или вручную командой, которую ты указал.

Crazy · Сообщение **Crazy** » 03.02.2007 17:44

Скрипты по борьбе с DDoS видел и в ][аскере, и в нете.
http://www.opennet.ru/search.shtml?exclude...&words=DDOS
При проверке на кол-во подключения, неизбежен бан пользователей с плохим нетом.
Если стоит Apach и логи пишет, то есть смысл обробатывать perl скриптом лог и ip забивать в черный список.

~S/E/r/G~ · Сообщение **~S/E/r/G~** » 03.02.2007 18:13

другие варианты:
1 апачевская авторизация на главной странице, не каждый ддос бот могёт это делать=)
2 настроить апач на макс число коннектов с 1 ипа
3 проверка клиентского браузера, если левак - выдавать пустую страницу
ну и iptables или route на 127.0.0.1 =))
4 юзайть https а не хттп, опять же не каждый бот...
+тип ддоса какой? я так понял тупые get запросы на апач, посмотри логи апача, обычно фигарят запросы на поиск, можно его временно оключить
ЗЫ: уже года 3 ддосят сцуки)

WarlorD · Сообщение **WarlorD** » 03.02.2007 18:33

От DDOS нет нормальных защит, так как даже если ты и дропаешь пакет, то он вначале должен на тебя попасть, то есть он создаст тебе трафик, нагрузку при его обработке и тп. Ежели DDOS направлен только на апач, то я думаю можно действительно что-то сделать средствами файровола, а ежели вообще, то только ставить между нетом и сервером отдельную железку, которая будет файрволить и брать эту нагрузку на себя.

8oton · Сообщение **8oton** » 03.02.2007 19:10

Атака именно на Apache. При чем сервер при этом не вылетает.
Забиваются лиш слоты апача и все сайты становятся не доступны.

Насчет железки, уже ведутся переговоры...
При том сейчас выходные, а с атакой нужно что-то делать!

Crazy · Сообщение **Crazy** » 03.02.2007 19:37

Ну и дропай пакеты по ip до понедельника.

mczim · Сообщение **mczim** » 05.02.2007 07:25

можно еще поставить snort, не сложный в настройке и работает хорошо!

INF[SZ] · Сообщение **INF[SZ]** » 08.02.2007 13:11

Используй mod_limitipconn, mod_cband, mod_evasive модули для apache.

Вполне должно хватить mod_limitipconn.

nyncuk · Сообщение **nyncuk** » 15.02.2007 00:18

оффтопик-
Не так давно встречал подобный вопрос. Некто присоветовал юзать akamai. Хохотал так что был наказан за чудовищный смех в позднее время.

unixforum.org

Меня атакуют! :( DDOS

Меня атакуют! :( DDOS

Re: Меня атакуют! :( DDOS

Re: Меня атакуют! :( DDOS

Re: Меня атакуют! :( DDOS

Re: Меня атакуют! :( DDOS

Re: Меня атакуют! :( DDOS

Re: Меня атакуют! :( DDOS

Re: Меня атакуют! :( DDOS

Re: Меня атакуют! :( DDOS

Re: Меня атакуют! :( DDOS