DDOS по 80 порту, что делать?

А проблемма в том что веб-сервер не справляется или канал забивается? Если второе, то решить проблему на уровне софта AFAIK нельзя.

> Подскажите что делать и как быть?!

ничего не делать и никак не быть. мощный DDOS ты сам не отобьешь, этим спецовые конторы занимаются и это больших бабок стоит.

а серьезно, посмотри по логам user agent. часто у ботнетов он отсутствует либо ставится одинаковый. в таком случае ставишь nginx фронтендом и в конфиге nginx просто фильтруешь по юзер-агенту.
еще как вариант (для UA) - попросить провайдера закрыть мировой трафик и открыть UA-IX. у вас там может тоже есть какой-то RU-IX или че-то подобное.

если уже вообще ж0па - парсить лог того же nginx и заносить скриптом правила в фаервол. если ботнет не сильно большой - может помочь.

стоит бональный apache, а в логах всего три пути обращения, а именно

«GET /e-store/catalog/179/1893//bitrix/wizards/samiko/tabs/templates/.default/style.css

„GET /e-store/catalog/179/1893/ HTTP/1.0“ 200 62695

„GET /e-store/catalog/312/4207/ HTTP/1.0“ 200 59393

> стоит бональный apache

поставь nginx фронтендом и фильтруй эти запросы, апачем ты тоже можешь фильтровать только нагрузка на сервер будет огромная.

По порядку:

1. В конфиге Апача прописать mod_rewrite, чтобы эти три страницы (или даже все, если ботнет по User-Agent распознается надежно) подменял на статику, можно даже на пустой файл.

2. Попробовать поменять KeepAlive в конфиге Апача.

3. Ограничить количество одновременных подключений и частоту подключений с одного IP, вот так:

iptables -A INPUT -i lo -j ACCEPT
iptables -A INPUT -m state --state ESTABLISHED -j ACCEPT
iptables -A INPUT -p tcp -m connlimit --connlimit-above 50 --connlimit-mask 32 -j REJECT --reject-with tcp-reset
iptables -A INPUT -p tcp -m connlimit --connlimit-above 250 --connlimit-mask 24 -j REJECT --reject-with tcp-reset
iptables -A INPUT -p tcp -m hashlimit --hashlimit-above 50/second  --hashlimit-mode  srcip  --hashlimit-srcmask 24  --hashlimit-name ddos -j REJECT --reject-with tcp-reset

P.S. В User-Agent'е есть «Indy Library»?

большой ддос?
сколько пак/сек?
тупо флуд на порт или запросы GET к конкретному вхосту апача?

ок, пиши скрипт в три строчки, который по крону парсит лог (последние 1000 строк) и вносит в бан (iptables) ИПы, которые делают эти запросы больше 10-раз например.

Можно пример скрипта?

что нить типа:

tail -1000 /path/to/apache.log|grep «GET bla-bla»|awk '{print $2}'|sort|uniq|while read ip;do IPTABLES -A INPUT -p tcp -s $ip --dport 80 -j DROP;done

это примитив(нет подсчета частоты запросов от ИПа) но работать будет.

Про скрипт, парсящий логи уже сказали.

При помощи pf также можно автоматом резать особо наглых, например

table <dosers> persistent
block in quick from <dosers>

Из rdr убираешь pass, добавляешь правило
pass in on внешний_интерфейс proto tcp to 192.168.64.11 port www (max-src-conn 10, max-src-conn-rate 20/60, overload <dosers> flush)

Вот такие вот люди админят битрикс-хостенги. Ставят гейт на опенбзде и считают себя мегаЪ, хотя даже с ддосом справиться не могут без подсказок.