DDOS - что делать. Если сервер только один - Linux с Apache.

помойму ссылка не работает =(

помойму ссылка работает =(

Чтобы защититься от ддоса, достаточно не кидать ссылку на лор.

еще один вариант, который спасал меня - зачастую у ботнетов старые агенты - их можно перечислить в nginx и отбрывать коннект на них:

map  $http_user_agent   $forbidden {
   default   0;
   "Opera/9.02 (Windows NT 5.1; U; ru)"        1;
   "Mozilla/5.0 (Windows; U; Windows NT 5.1; ru; rv:1.8.1.1) Gecko/20061204 Firefox/2.0.0.1"   1;
   "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; .NET CLR 1.1.4322)"        1;
}

... (Location /) ....
           if ($forbidden) {
               return 444;
           }
...

> зачастую у ботнетов старые агенты

Некрофилы не пройдут =)

У меня работает.

спасибо за статью

Полезная информация. Спасибо!..

>с _помощию_ iptables и nginx.

помощью

>Проверено: Shaman007 (*) 06.06.2008 12:14:55

грр

> помойму ссылка не работает =(

Их заDDoS-или лоровцы. ;) Защита не помогла. :(

iptables -A INPUT-p tcp --dport 80 -m iplimit --iplimit-above 10 -j REJECT

В системе должен быть подключен модуль ipconnlimit

>Обычное состояние для среднего сервера — до 200-400 запросов. В случае HTTP flood — более тысячи.

Нагрузка в 3 раза выше средней уже считается флудом? Автор откуда числа высосал?

Вторая часть новости похожа на истерику %)) этакий истеричный журналист кречит перед камерой... жездь вообщем :)

"помойму" от слова помойка?

ИМХО. Херня все это. Пицук с иптаблес от серьезной атаки не защитит, только от школьников в локалке. Тут надо задействовать канальные мощности провайдера и серьезные net screens, а не иптаблес.

sorry, a 4to znazhit "-plan"?

>Тут надо задействовать канальные мощности провайдера и серьезные net screens, а не иптаблес.

ну конечно же, куда же нам без ждунипер нетскрин?

NetScreen-500 продувает через себя макс. 700мбит, что вполне по силам современным железкам с linux.

Это то, что курить нужно, перед началом о_О

> NetScreen-500 продувает через себя макс. 700мбит, что вполне по силам современным железкам с linux.

а pps скока ? чо нам мегабиты-то :)

>Прежде всего временно отключите атакуемый IP адрес, лучше всего через >iptables, командой iptables -A FORWARD -p tcp -s <атакуемый IP> --dport >80 -j REJECT

причем тут таблица FORWARD? разве имеем дело с пакетами проходящими между интерфейсами?
и зачем отвечать REJECT?

имхо, не стоит скромничать

iptables -A INPUT -s <атакуемый IP> -j DROP

бгг
и почему <атакуемый IP>
когда имеется в виду <атакующий IP>
атакуемы это мы

=)

Защитой от такого рода атак должен заниматься провайдер. Во первых, ему за это платят, а во вторых задействуются мощности и рычаги воздействия недоступные простым админчикам.

если нормальный сервер только один

нет никаких рычагов
если вышестоящий провайдер пойдет навстречу и зафильтрует у себя - тогда ок, но может и не пойти на встречу (есть случаи)

статья говно. там всё сводится к тому чтобы найти виртхост и отключить его. Т.е. главную цель (вырубить сайт) злоумышленники достигли.

2sunch: ну попробуй на просто рунета у провайдера защиты попросить...

бугага
не спасёт, только одмину даст ложное мнение, что у него защита от DDoSa
на текущий момент реально нет защиты, почитайте что ли
http://forum.nag.ru/forum/index.php?showtopic=42554

Прочитал внимательно. АМ/КГ. Годится разве что для SOHO

> при помощи команды netstat -plan | grep :80 | grep -c tcp

«-l» — listening, «-a» — all. Это не шаманство, тут (IT) не зубрить, тут вникать в суть надо.

Фуфло.
От нормального DDOS'а не даже на уровне провайдера защититься крайне проблематично.

>Обычное состояние для среднего сервера — до 200-400 запросов. В случае HTTP flood — более тысячи.

xxx.xx# netstat -plan | grep ':80' | grep -c tcp
1294

:-)

Лёха дело говорит

всё, что может сделать атакуемый сайт - это поменять DNS на локалхост, если DDoS'ят по имени. Все эти пляски с iptables - школьное красноглазие или автор не видел/не знает что такое DDoS. Фигли фильтровать что-то, если в последнию милю попадают одни какашки? Защищаться от DDoS надо на уровне бекбона до последней мили, и даже если стоит шкаф на колокейшене, в шкаф обычно покупают определённый bandwidth(к примеру 1М, burstable до 20М) хоть обложись правилами по самое нихочу - толку не будет.

ЗЫ: судя по последнему предложению статьи автор таки спутал DoS и DDoS :)))

>Эти эти примеры помогут сохранить веб-сервер атак:
афтар жжот

>xxx.xx# netstat -plan | grep ':80' | grep -c tcp
>1294

>:-)

И что, дорогой друг, ты таким образом померил, как сам думаешь?

>всё, что может сделать атакуемый сайт - это поменять DNS на локалхост, если DDoS'ят по имени

По имени ддосить - давно дураков нет.

>Защищаться от DDoS надо на уровне бекбона
При нормальном DDOS'е не спасёт ;) Вот, например, когда ддосили Ультру, то

Не умеют лоровцы от дос атак защищаться. Бугага....

Не так давно пытались задосить bash.org. И на сколько я помню, единственное что они смогли сделать, так это создать зеркало на каком-то европейском хостинге, который задосить не удалось.

А все наши хостеры - 3.14D0р@3ы, они отключат тебя скорей, чем пошевелят жопой.

Разумеется, хостеру проще отключить.

При нормальном ддосе ему просто каналы кладут. Как ты думаешь, зная, что объектом атаки является один клиент, а страдают три тысячи, долго ли он будет думать перед тем, как вырубить беднягу?

да что вы на автора бузите ....
автор так и пишет что он рассматривает всего лишь один вид атаки HTTP flood ..

про ваши мегабиты .. вы умолчали бы .... запрос в данном случае:
GET / HTTP/1.0... - жрет очень мало(~200байт)!!!! если его вовремя срезать и не слать ему в ответ 500кб титульную страницу сайта... то с большим трафиком можно справляться.

мой провайдер просит 400$ в месяц за HardWare решение такого дела...
зачем палить из пушки во воробьям? ..

такой тип атаки легко срезается IPTABLES + nginx + "site_tunning", о чем и хотел поведать автор ...

а вы начали пипками мерится ... знатаки...

> А все наши хостеры - 3.14D0р@3ы, они отключат тебя скорей, чем пошевелят жопой.

вот поэтому я покупаю хостинг in america ;)

>>При нормальном ддосе ему просто каналы кладут. Как ты думаешь, зная, что объектом атаки является один клиент, а страдают три тысячи, долго ли он будет думать перед тем, как вырубить беднягу?

А ему за что деньги платят, что бы он кого хотел - отключал??? Нефига, взялся хостить, будь добр, обеспечть защитой. А то блин соберут сервачок из хлама, поставят Linux, и уже хостером кличются, да купоны стригут.

netstat -plant

и grep tcp не нужен

спам на лоре, шаман откаты берет

> А ему за что деньги платят, что бы он кого хотел - отключал??? Нефига, взялся хостить, будь добр, обеспечть защитой. А то блин соберут сервачок из хлама, поставят Linux, и уже хостером кличются, да купоны стригут.

отключат. проверенно ...
что им важнее .. твои 20 баксов .. или 3000 клиентов ?
=)

* IT'S RUSSIAN BUSINESS BABY ;)

>> iptables -A INPUT-p tcp --dport 80 -m iplimit --iplimit-above 10 -j REJECT > В системе должен быть подключен модуль ipconnlimit

лось, не в системе, а в ядро, не подключен, а загружен.

> Sun-ch # (*) (06.06.2008 13:56:11)

+1

Автор неправильно ориентирует новичков как себе вести в подобной ситуации.

> iptables -A INPUT -s <атакуемый IP> -j DROP

чтобы совсем не скромничать вроде бы что то пожесче было

> А ему за что деньги платят, что бы он кого хотел - отключал???

За нарушение договора отключают. Пока очень мало кто из провов может хотя бы пару гигабит отразить.

>Нагрузка в 3 раза выше средней уже считается флудом? Автор откуда числа высосал?

"до 200-400 запросов", это значит максимум, а не средний. аффтар берет с более чем трехкратным запасом.

Если в день 2000-4000 посетителей, то вряд ли число коннектов будет превышать сотню. Эти цифры закрывают 90% инета.

> а pps скока ? чо нам мегабиты-то
На стороне клиента мбит и ппс незачем различать, если канал много пропускает, DDOS хоть мегабитами хоть пакетами, как их не считай, завалит ваш сервак и ваш нетскрин.
Если же устоит железо, будет забит канал. Здесь вопрос не в железе, вопрос в методике. Она осуществима только у владельца магистрали.
А вообще собака закопана в бухгалтерии, завалить сайт - 10000 защитить 200000, может этим промыслом одни и те же ...

>А ему за что деньги платят, что бы он кого хотел - отключал??? Нефига, взялся хостить, будь добр, обеспечть защитой. А то блин соберут сервачок из хлама, поставят Linux, и уже хостером кличются, да купоны стригут.

Есть так называемые жизненные реалии.

Да и клиенту под ддосом-то какая разница? Он и во время атаки и после отключения сосёт одинаково.

Да, это не значит, что провайдер не пытается отфильтровать мусорный поток. Просто в очередной раз: при грамотном DDOS'е и достаточных мощностях это не реально.