DDoS атака

0

0

Проблема такая. У друга крутится VDS сервер с его проектом, админить его он не умеет. Но вот сегодня на сервак началась DDoS атака, поэтому попросил меня помочь.
Запросы идут с различных IP (их очень много) на HTTP запрос /register.php. При этом apache полностью вешает систему и другие страницы становятся недоступны. Пока перенесли apache на другой порт (и сообщили его посетителям) - запросы на несуществующий 80й порт не тормозят.
Как можно резать запросы на /register.php? Желательно через iptables, если это возможно. Самого файла уже нет, но ответов 404 достаточно для DDoSа. Модуль mod_evasive не помогает
Спасибо

Ссылка

←	подскажите по WiFI

nginx не читает из юникс сокета

→

1) try snort inline

Valmont ★★★
(27.01.08 20:58:43 MSK)

Ответ на: комментарий от Valmont 27.01.08 20:58:43 MSK

правда я не знаю, что там за vds. Есть ли в нем такой доступ к сетевому интерфейсу.

Valmont ★★★
(27.01.08 21:36:28 MSK)

Ссылка

Пока сделал скриптом анализ логов apache на register.php и добавление их в iptables. Помогает. Какое нормальное кол-во правил iptables? Сейчас уже 500 и постоянно увеличивается, когда начнёт тормозить iptables?

snizovtsev ★★★★★
(27.01.08 21:38:39 MSK) автор топика

Ответ на: комментарий от snizovtsev 27.01.08 21:38:39 MSK

на древнем 200-м пне у меня когда-то было несколько тыщ правил. Так что несколько десятков тыщ осилит легко, думаю. Там ведь простые DROP...

AngryElf ★★★★★
(27.01.08 22:07:24 MSK)

Ссылка

А вообще, хостера стоит уведомить и вместе с ним бороться. У него и спецы есть, и железки-софт соответствующие.

AngryElf ★★★★★
(27.01.08 22:07:54 MSK)

Ссылка

хостер только может предложить переехать на дедик :) , если сервак справляться не будет, то могут предложить спец железо (но цены будут кусаться).

если оставаться на впс, то все равно нужно будет стучатся хостеру, для увеличения лимитов на количество правил в iptables (ничего безграничного не бывает:) )

anonymous
(28.01.08 06:40:44 MSK)

Ссылка

man iptables на предмет --limit (--limit-burst) ?

Vanilin ★★★★
(28.01.08 10:26:45 MSK)

Ответ на: комментарий от Vanilin 28.01.08 10:26:45 MSK

> man iptables на предмет --limit (--limit-burst) ?

Это не DoS, это DDoS. Лимит тут врядли поможет.

Deleted
(28.01.08 10:29:32 MSK)

Ответ на: комментарий от Deleted 28.01.08 10:29:32 MSK

на и на впс обычно урезанный iptables :)

anonymous
(28.01.08 15:07:56 MSK)

Ссылка

Всем спасибо, DDoS прекратился. Массовое добавление правил iptables помогло.
snort не пробовал, но взял на заметку
limit (как уже сказали) тут не помогает, т.к он для одного IP режет

snizovtsev ★★★★★
(28.01.08 21:35:55 MSK) автор топика

Ссылка

Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.

←	подскажите по WiFI

Admin

nginx не читает из юникс сокета

→

Похожие темы