Фаервол у тебя iptables? Как именно «атакующие IP» твой сервер атаковали? Вывод netstat или логи фаервола\веб-сервера (ну или что у тебя там атаковали) выложил бы что ли, я не думаю, что есть какое-то нормально работающее универсальное решение «на все случаи жизни».

ostin ★★★★★
(12.02.11 21:52:05 MSK)

Ссылка

fail2ban

видимо

zolden ★★★★★
(12.02.11 22:27:36 MSK)

Ссылка

Ну зачем писать сюда, если можно быстрее набрать в гугле «защита от ddos linux»? Первая же ссылка дает кучу статей по защите от него.

~~rafister~~ ☆
(13.02.11 00:18:13 MSK)

могу поделиться анти-нуб однострочником на перле. надо? :3

anonymous
(13.02.11 00:35:20 MSK)

Ссылка

Я насколько понимаю ты не очень силен в iptables и в сети тоже ,так что можешь такой инструмент поставить
http://www.configserver.com/cp/csf.html
там уже все есть (хотя это просто оболочка)

pinachet ★★★★★
(13.02.11 00:48:47 MSK)

Ссылка

mod_evasive
mod_security

Frakhtan-teh ★★
(13.02.11 06:39:09 MSK)

Ссылка

Ответ на: комментарий от rafister 13.02.11 00:18:13 MSK

он хотел похвастаться, что у него есть сервер, который кто-то ещё и ддосит

anonymous
(13.02.11 07:40:30 MSK)

Ссылка

а как понять какие айпи атакующие, а какие - реальные посетители? =)

Komintern ★★★★★
(13.02.11 08:53:14 MSK)

Ответ на: комментарий от Komintern 13.02.11 08:53:14 MSK

Агрегируем N секунд входящих запросов, сортируем по IP + Request, если интенсивность повторяющихся запросов больше M - вносим IP в таблесы.

Правда, если запросов много, сервер скажет «кря» и на этом все кончится. Если до того «кря» не скажет канал до сервера.

Frakhtan-teh ★★
(13.02.11 14:21:30 MSK)

Ответ на: комментарий от Frakhtan-teh 13.02.11 14:21:30 MSK

> Агрегируем N секунд входящих запросов, сортируем по IP + Request, если интенсивность повторяющихся запросов больше M - вносим IP в таблесы.

дополнительная нагрузка на и так полуубитый сервер - это жесть как печально.

Правда, если запросов много, сервер скажет «кря» и на этом все кончится. Если до того «кря» не скажет канал до сервера.

зачастую ложится какраз канал, или провайдер/хостер/колокатор блочит тебя, чтобы ддос на твой несчастный ресурс не мешал работать остальному их железу.

Komintern ★★★★★
(13.02.11 14:25:47 MSK)

Ответ на: комментарий от Komintern 13.02.11 14:25:47 MSK

А я видел смешных людей, которые писали такой враппер на пхп, ставили перед сайтом на том же бекэнде и свято верили, что он защищает их от ддос, а хостер - козер и ничего не понимает.

Frakhtan-teh ★★
(13.02.11 14:37:15 MSK)

Ответ на: комментарий от Frakhtan-teh 13.02.11 14:37:15 MSK

Фаервол у тебя iptables? Как именно «атакующие IP» твой сервер атаковали? Вывод netstat или логи фаервола\веб-сервера

netstat -n | grep :80 |wc -l

netstat -n | grep :80 | grep SYN |wc -l

h0lder
(13.02.11 15:27:33 MSK) автор топика

Ответ на: комментарий от h0lder 13.02.11 15:27:33 MSK

netstat -anp |grep 'tcp\|udp' | awk '{print $5}' | cut -d: -f1 | sort | uniq -c | sort -n

(No info could be read for "-p": geteuid()=503 but you should be root.)
      1 109.230.213.34
      1 207.46.12.237
      1 207.46.199.42
      1 67.195.37.188
      1 93.73.23.116
      2 112.185.233.195
      2 115.118.111.119
      2 46.185.17.48
      2 78.27.129.139
      2 87.101.168.185
      2 91.201.66.116
      2 94.179.193.81
      2 94.59.87.96
      3 58.9.133.206
      3 95.132.238.127
      4 123.109.196.204
      4 95.132.205.133
      5 125.164.154.162
      5 197.224.113.230
      5 200.150.190.6
      5 59.92.46.136
      5 62.149.2.1
      6 195.29.157.86
      9
     13 0.0.0.0
     15 41.248.99.213
     23 151.56.42.103
     24 95.10.183.89
     34 41.199.176.60
     47 182.53.217.156
     50 41.218.234.109
     76 41.211.26.80
    103 41.232.70.152
    605 58.8.231.254

h0lder
(13.02.11 15:34:20 MSK) автор топика

Ответ на: комментарий от h0lder 13.02.11 15:34:20 MSK

netstat -n -p | grep SYN_REC | awk '{print $5}' | awk -F: '{print $1}'

(No info could be read for "-p": geteuid()=503 but you should be root.)
58.8.231.254
58.8.231.254
41.211.26.80
180.183.246.54
58.8.231.254
58.8.231.254
58.8.231.254
180.183.246.54
58.8.231.254
58.8.231.254
180.183.246.54
180.183.246.54
41.211.26.80
58.8.231.254
58.8.231.254
58.8.231.254
180.183.246.54
180.183.246.54
180.183.246.54
180.183.246.54
180.183.246.54
180.183.246.54
58.8.231.254
58.8.231.254
58.8.231.254
58.8.231.254
180.183.246.54
58.8.231.254
58.8.231.254
58.8.231.254
58.8.231.254
122.164.26.28
180.183.246.54
58.8.231.254
58.8.231.254
58.8.231.254
41.211.26.80
41.211.26.80
41.211.26.80
180.183.246.54
180.183.246.54
58.8.231.254
180.183.246.54
180.183.246.54
58.8.231.254
180.183.246.54
180.183.246.54
180.183.246.54
58.8.231.254
58.8.231.254
180.183.246.54
180.183.246.54
58.8.231.254
58.8.231.254
58.8.231.254
210.212.179.172
180.183.246.54
58.8.231.254
180.183.246.54
58.8.231.254
180.183.246.54
58.8.231.254
180.183.246.54
58.8.231.254
58.8.231.254
180.183.246.54
41.211.26.80
58.8.231.254
180.183.246.54
180.183.246.54
180.183.246.54
58.8.231.254
41.211.26.80
180.183.246.54
41.211.26.80
58.8.231.254
180.183.246.54
58.8.231.254
41.211.26.80
180.183.246.54
58.8.231.254
58.8.231.254
58.8.231.254
58.8.231.254
41.211.26.80
180.183.246.54
180.183.246.54
180.183.246.54
58.8.231.254
180.183.246.54
58.8.231.254
58.8.231.254
41.211.26.80
41.211.26.80
58.8.231.254
58.8.231.254
58.8.231.254
180.183.246.54
58.8.231.254
180.183.246.54
180.183.246.54
180.183.246.54
180.183.246.54
180.183.246.54
58.8.231.254
58.8.231.254
180.183.246.54
180.183.246.54
180.183.246.54
58.8.231.254
41.211.26.80
58.8.231.254
41.211.26.80
180.183.246.54
58.8.231.254
58.8.231.254
58.8.231.254
180.183.246.54
180.183.246.54
180.183.246.54
58.8.231.254
58.8.231.254
58.8.231.254
58.8.231.254
180.183.246.54
41.211.26.80
41.211.26.80
180.183.246.54
180.183.246.54
41.211.26.80
58.8.231.254
58.8.231.254
41.211.26.80
180.183.246.54
58.8.231.254
41.211.26.80
180.183.246.54
58.8.231.254
58.8.231.254
58.8.231.254
41.211.26.80
180.183.246.54
180.183.246.54
41.211.26.80
58.8.231.254
58.8.231.254
180.183.246.54
41.211.26.80
41.211.26.80
180.183.246.54
180.183.246.54
180.183.246.54
58.8.231.254
58.8.231.254
58.8.231.254
41.211.26.80
41.211.26.80
180.183.246.54
180.183.246.54
58.8.231.254
180.183.246.54
58.8.231.254
58.8.231.254
58.8.231.254
58.8.231.254
58.8.231.254
41.211.26.80
180.183.246.54
58.8.231.254
58.8.231.254
58.8.231.254
180.183.246.54
58.8.231.254
180.183.246.54
180.183.246.54
58.8.231.254
58.8.231.254
58.8.231.254
58.8.231.254
125.164.154.162
58.8.231.254
180.183.246.54
58.8.231.254
212.49.93.243
58.8.231.254
58.8.231.254
58.8.231.254
58.8.231.254
58.8.231.254
58.8.231.254
58.8.231.254
58.8.231.254
41.211.26.80
180.183.246.54
41.211.26.80
58.8.231.254
58.8.231.254
58.8.231.254
180.183.246.54
180.183.246.54
58.8.231.254
58.8.231.254
58.8.231.254
180.183.246.54
41.211.26.80
58.8.231.254
58.8.231.254
58.8.231.254
58.8.231.254
58.8.231.254
180.183.246.54
58.8.231.254
41.211.26.80
58.8.231.254
58.8.231.254
58.8.231.254
41.211.26.80
41.211.26.80
180.183.246.54
58.8.231.254
58.8.231.254
58.8.231.254
58.8.231.254
...
...

могу поделиться анти-нуб однострочником на перле. надо?

надо!

h0lder
(13.02.11 15:39:36 MSK) автор топика

Ответ на: комментарий от h0lder 13.02.11 15:39:36 MSK

> надо!

http://lurkmore.ru/%D0%9F%D1%80%D0%BE%D0%B3%D1%80%D0%B0%D0%BC%D0%BC%D0%B0_%D0...

Frakhtan-teh ★★
(13.02.11 16:10:28 MSK)

Ответ на: комментарий от Frakhtan-teh 13.02.11 16:10:28 MSK

ну зачем вы контору палите? -_-

anonymous
(13.02.11 16:13:04 MSK)

Ответ на: комментарий от anonymous 13.02.11 16:13:04 MSK

блин, у меня проблема, а кому-то весело

h0lder
(13.02.11 21:08:21 MSK) автор топика

Ответ на: комментарий от h0lder 13.02.11 21:08:21 MSK

> netstat -n | grep :80 |wc -l

648

Сколько запросов приходится на одну страничку сайта? Для всяких битриксов вполне обычная картина и совсем не DoS. Лечится установкой front-end с, например, nginx - для обслуживания медленных подключений и раздачи статики.

Сделать на сайтах статические обертки для главной страницы, если дергают именно главную страницу, с META Refresh редиректом, так:

http://www.shtogrin.com/library/web/meta/http_equiv_refresh/

Только придется пожертвовать поисковой оптимизацией - будет похерена, поисковики такого не любят.

На атакуемых сайтах включить агрессивное кеширование, где возможно.

Где возможно, на время атаки заменить сайты статическими копиями, сделанными, например, через HTTRACK, кошерный wget или виндузякий Teleport Pro.

У апача выключить к чертям кипалайв или по крайней мере зарезать до 5 секунд как минимум.

Frakhtan-teh ★★
(14.02.11 06:01:57 MSK)

Ответ на: комментарий от Frakhtan-teh 14.02.11 06:01:57 MSK

> На атакуемых сайтах включить агрессивное кеширование, где возможно.

А где невозможно - прикрутить и тоже включить:
http://php.russofile.ru/ru/translate/unsort/chachig_in_php

Если много свободной оперативки - перенести контент на ramdisk.
Поставить eAccelerator / APC / Memcached.

Frakhtan-teh ★★
(14.02.11 06:04:49 MSK)

Ссылка

Ответ на: комментарий от Frakhtan-teh 14.02.11 06:01:57 MSK

> На атакуемых сайтах включить агрессивное кеширование, где возможно.

А где невозможно - прикрутить и тоже включить:
http://php.russofile.ru/ru/translate/unsort/chachig_in_php

Если много свободной оперативки - перенести контент на ramdisk.
Поставить eAccelerator / APC / Memcached.

Ну и по сабжу, всякие извращения с таблесами и conntrack, хотя в случае ддос - это мертвому припарки:
* http://tinyurl.com/6ftwqft

Frakhtan-teh ★★
(14.02.11 06:07:57 MSK)

Ссылка

http://otland.net/blogs/don+daniello/linux-anti-ddos-iptables-rules-841/

Frakhtan-teh ★★
(14.02.11 06:09:16 MSK)

Ответ на: комментарий от Frakhtan-teh 14.02.11 06:09:16 MSK

спасибо! буду вникать

h0lder
(14.02.11 12:57:50 MSK) автор топика

Ссылка

fail2ban

Похожие темы