LINUX.ORG.RU
Ответ на: комментарий от Amet13

вот сейчас сработал,выхлоп

/usr/local/ddos-deflate/ddos-deflate.sh
     26 162.158.94.36
      8 141.101.81.35
      8 141.101.80.82
      6 162.158.102.4
      3 141.101.80.80
      2 95.54.68.108
      1 173.245.54.5
      1 173.245.54.39
      1 141.101.81.82
      1 141.101.81.73
      1 141.101.81.72
      1 141.101.81.30
      1 141.101.81.26
      1 141.101.81.24
      1 141.101.80.78
      1 141.101.80.28
      1 141.101.80.27
      1 141.101.80.25
      1 141.101.80.24
/usr/local/ddos-deflate/ddos-deflate.sh: line 77: [: !=: unary operator expected

MrSullex
() автор топика
Ответ на: комментарий от Amet13

когда уменьшил лимиты, скрипт стал срабатывать) уменьшил время блока до 60 сек,запросы до 20 и крон стал срабатывать. спасибо за скрипт) в предыдущем сообщении выхлоп гляньте,77 строка)

MrSullex
() автор топика
Ответ на: комментарий от MrSullex

Да вроде ок все в 77 строке, если указан корректный EMAIL_TO.

Amet13 ★★★★★
()

а ты уверен, что это школьники? посмотри, не на 53-й ли порт это валится. а то в последнее время в интернетах стало много паразитного трафика в DNS протоколе. адреса заспуфлены, но, судя по всему, прёт эта гадость откуда-то с китайских доменов. дальше всякие криво настроенные роутеры это всё умножают и по сети лавиной распространяется огромная масса гомна. я наблюдаю это уже довольно долго. у нас клиенты - провайдеры. сначала они начали жаловаться, что DNS проседает, а теперь я на тестовых серверах и на продакшене по всему миру вижу потоки говна на 53 порт. причём хрен их заблэкхолишь. для наших серверов это не существенная нагрузка. но для мелких провайдеров и частных серверов - порядочная.

Iron_Bug ★★★★★
()
Ответ на: комментарий от anc

не, не это. хотя я много всего видела в пакетах весёлого.
но вот в последний месяц (примерно так) валит какой-то DNS ddos на пару-тройку китайских доменов. валит везде, и в нашей стране, и за рубежом. идёт поток запросов, разрешающихся в NXDOMAIN (сгенерённый мусор в домене третьего уровня). исходные адреса заспуфлены. иногда неверная чексумма в DNS-пакете. долбят любые сервера, на которых 53-й порт открыт. причём сначала долбят редко, а если обнаруживают ответы, то начинают долбить гораздо шустрее. это всё создаёт нагрузку на авторитативные сервера. отловить источник пока не знаю как.

Iron_Bug ★★★★★
()
Ответ на: комментарий от anc

канал у нас большой, но hashlimit не годится. у нас DNS-сервер с фильтрацией. типа, клиенты платят деньги за такой DNS и хотят, чтобы он работал, причём быстро. а юзеров много. поэтому приходится фильтровать выборочно. мы пока два домена, на которые идут атаки, выявили. и фильтруем их. но доменов может быть сколько угодно, на самом деле. и вообще-то не дело банить домены (даже китайские), которые подверглись атаке, потому что они вообще могут не знать о том, что на них идёт атака ботов. и по идее любой домен так могут заддосить. так что вменяемого решения этой проблемы пока нет. разве что всем миром выискивать начальный источник этих сообщений по TTL и банить на уровне провайдера.

Iron_Bug ★★★★★
()

Чем хоть ddos'ят? udp? http? Трафик какой?

Собсно, если «школьники» означает, что входящий траффик меньше канала, то не очень понятна проблема.

AngryElf ★★★★★
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.