Ддос ..
1. Б.В. (20.02.2010 / 21:31)Седня столкнулся (на своем опыте пока с самым мощным) ддосом и сразу же фиг знает что делать. Прошелся по логам - около 300 айпишников ддосит, я и офигел, думаю ща возьму та вручную пару айпи заблочу и все дела... а тут такое. Подчистил базу от мусора, нагрузка упала, сайт стал доступен, но ддос то продолжается. Вот я на будущее хотел бы узнать: как можно настроить фаервол и какие методы порьбы с доссом есть ) Буду благодарен за ссылки на полезную литературу ну и от советов не откажусь )
2. Стас (20.02.2010 / 21:35)
попроси чтоб поставил кто нить по специальное, если такого не предоставляет твой хостер...
3. Б.В. (20.02.2010 / 21:38)
Зачем мне кто-то другой? Мне нужна своя практика )
4. ктулху (20.02.2010 / 22:21)
300 IP ерунда
По теме: ставь mod_evasive, mod_limitconn погугли на тему "ddos deflate"
Тоже хороший скриптик.
ставь лимит на кол-во конектов с одного IP.
Всё это тщательно конфигурируй.
Это поможет защититься от мелких ботнетов (300 IP легко отсекут)
От серьёзного ддоса можно защититься широким каналом и апаратными решениями (железный файрвол, Cisco) либо проксикацией траффика (Можно поставить самому прокси, либо воспользоваться услугами сторонних компаний). но помни, если канал 100мбит, а атака 10гбит то тут ничего не спасёт. разве что можно выключить сервер чтоб траффик не горел
5. ктулху (20.02.2010 / 22:24)
Если уже идёт ддос, то смотрим логи, вычисляем одинковые запросы (т.е. нужно узнать куда они бьют), ну и далее дело техники, парсим логи и баним iptables'ом =)
Так же есть такие решения как iptables-geoip, можно банить целые страны.
6. Б.В. (20.02.2010 / 22:40)
оо, спс )) Буду курить маны по этому, а то мне кажется, что дальше прийдется частенько сталкиватся..
300 ип знаю что фигня, просто я с таким дело вообще не имел.
Будет свободное время - почитаю о фаерволе, на сервере какой-то стоит, но я в этом ноль, не хочу пока лезть. Почитаю, та может потом сконфигурирую, чтоб не парится больше.
7. ктулху (20.02.2010 / 23:48)
На сервере стоит iptables =) или ipfw если FreeBSD.
Сложнее и функциональнее чем кажется =)
8. Б.В. (21.02.2010 / 00:10)
iptables есть, я по нему и хотел "пару айпи блоконуть"
9. Владимир (21.02.2010 / 02:31)
300 - это не ддос, это хороший онлайн))
10. Б.В. (21.02.2010 / 03:00)
Ну да.. на одну страницу, не загружая картинки и ксс больше 150к запросов?
11. Владимир (21.02.2010 / 03:15)
А 150к запросов с 300 ip - это уже нехороший онлайн
12. Б.В. (21.02.2010 / 03:29)
гг
13. Александр (21.02.2010 / 22:00)
Я ж те говорил iptables в руки.Там можно хоч подсеть хоч 1 ip запртить, на входящий или исходящий, а мон и туда и сюда.
man iptables
14. Б.В. (21.02.2010 / 22:18)
Та там подсетей куча и все разные... мне влом было..
15. ктулху (21.02.2010 / 22:36)
Если банишь подсети, не поленись пробить по whois хотя бы страну
16. mozzzg (05.03.2012 / 22:00)
вот такие запросы, это можно считать атакой?
78.187.91.202 - - [05/Mar/2012:21:35:10 +0400] "GET / HTTP/1.0" 200 4044 "04oq4cls1.biz" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT; MS Search 4.0 Robot)"
24.159.28.75 - - [05/Mar/2012:21:35:10 +0400] "GET / HTTP/1.0" 200 4044 "0362411loq336.net" "Mozilla/5.0 (compatible; Konqueror/2.2.2)"
24.234.151.60 - - [05/Mar/2012:21:35:11 +0400] "GET / HTTP/1.0" 200 4044 "f9ss874z2l0i.info" "Mozilla/3.01Gold (X11; I; Linux 2.0.32 i486)"
24.234.151.60 - - [05/Mar/2012:21:35:11 +0400] "GET / HTTP/1.0" 200 4044 "98yq13.com" "Mozilla/5.0 (compatible; Hermit Search. Com; +http://www.z6k42g70do7.com)"
217.118.91.49 - - [05/Mar/2012:21:35:11 +0400] "GET / HTTP/1.0" 200 4044 "8zcp46722sc.net" "Mozilla/4.0 (compatible; Powermarks/3.5; Windows 95/98/2000/NT)"
24.159.28.75 - - [05/Mar/2012:21:35:11 +0400] "GET / HTTP/1.0" 200 4044 "9w8909x.biz" "Mozilla/5.0 (Windows; U; Win9x; en; Stable) Gecko/20020911 Beonex/0.8.1-stable"
217.118.91.49 - - [05/Mar/2012:21:35:11 +0400] "GET / HTTP/1.0" 200 4044 "8fe34i261.biz" "Mozilla/4.0 (compatible; www.linkguard.com Linkguard Online 1.0; Windows NT)"
37.61.7.247 - - [05/Mar/2012:21:35:11 +0400] "GET / HTTP/1.0" 200 4044 "v986gn62p0.com" "Mozilla/5.0 (compatible; EARTHCOM.info/2.01; http://www.w3jr8h95x3.info)"
213.200.52.162 - - [05/Mar/2012:21:35:11 +0400] "GET / HTTP/1.0" 200 4044 "516899g03l.biz" "Mozilla/5.0 (compatible; AnsearchBot/1.x; +http://www.7d6e66p4fhj.com.au/)"
17. Telonko (19.03.2012 / 00:17)
Несомненно, у самого пару дней назад были те же самые набор букв в реферере.
Хотя может и бот какой)
18. mozzzg (21.03.2012 / 22:46)
Telonko (19 Марта 2012 / 00:17)ай-пи то меняются, проц был загружен почти на 100 проц.
Несомненно, у самого пару дней назад были те же самые набор букв в реферере.
Хотя может и бот какой)
URL: https://visavi.net/topics/6250