Сервер на Linux, kernel 2.4.20. Проблема такая - на сервак постоянно флудят, с огромного количесва хостов и если так пойдёт и дальше, придётся пол мира забанить. Восновном флудят апач. Может кто посоветует, как с таким бороться ?!

• Большой flood с большого количества хостов,Michael, 19:33 , 16-Дек-03
  • Большой flood с большого количества хостов,Koba LTD., 21:10 , 16-Дек-03
    • Большой flood с большого количества хостов,Stiki, 22:13 , 16-Дек-03
      • Большой flood с большого количества хостов,nubi, 22:31 , 16-Дек-03
        • Большой flood с большого количества хостов,Stiki, 23:45 , 16-Дек-03
          • Большой flood с большого количества хостов,uldus, 09:43 , 17-Дек-03
  • Большой flood с большого количества хостов,Stiki, 00:26 , 17-Дек-03
• Большой flood с большого количества хостов,uldus, 22:53 , 16-Дек-03
  • Большой flood с большого количества хостов,Stiki, 23:48 , 16-Дек-03
    • Большой flood с большого количества хостов,uldus, 09:51 , 17-Дек-03
• Большой flood с большого количества хостов,Stiki, 00:23 , 17-Дек-03
  • Большой flood с большого количества хостов,uldus, 09:59 , 17-Дек-03
    • Большой flood с большого количества хостов,Stiki, 17:15 , 17-Дек-03
      • Большой flood с большого количества хостов,uldus, 10:28 , 18-Дек-03
        • Большой flood с большого количества хостов,Stiki, 17:06 , 18-Дек-03
          • Большой flood с большого количества хостов,uldus, 17:39 , 18-Дек-03

>Сервер на Linux, kernel 2.4.20. Проблема такая - на сервак постоянно флудят,
>с огромного количесва хостов
с огромного - это с какого?

>Восновном флудят апач.
а он у тебя на весь мир открыт?

>>Сервер на Linux, kernel 2.4.20. Проблема такая - на сервак постоянно флудят,
>>с огромного количесва хостов
>с огромного - это с какого?
>
>>Восновном флудят апач.
>а он у тебя на весь мир открыт?

iptables

>iptables

Да да да, только вот сервер то хостинг, просто так забанить я все подсети немогу.

>>iptables
>
>
>Да да да, только вот сервер то хостинг, просто так забанить я
>все подсети немогу.

посмотри

mod_throttle
mod_dosevasive,
если у тебя обычный траффик, эти модули отлично справляются.

если весь траффик надо принять - то mod_backhand,
апгрейд/покупка оборудования, тюнинг апача.

если тебя досят,
то все зависит от того каким образом, как, с какого конкретно
количества хостов в пике, от договоренностей с провайдером выше и т.д.
Другими словами это сложная проблема решение которой требует опыта, денег и времени, и универсального решения в общем случае не существует (комплекс мер в зависимости от твоей ситуации). Это если ddos.

совет такой: выясни что это такое для начала, может у тебя кто-то порно-ресурс захостил - это ,да, часто похоже на дос:)

>mod_throttle
>mod_dosevasive,
О благодарствую... Уже начал качать и компилить... пасибо большое

>если у тебя обычный траффик, эти модули отлично справляются.
>если весь траффик надо принять - то mod_backhand,
>апгрейд/покупка оборудования, тюнинг апача.
Тюнинг да, уже занимаемся, а вот вопрос про переход на 2.6 кернел, стоит нет для крупного хостера ?

>если тебя досят,
>то все зависит от того каким образом, как, с какого конкретно
>количества хостов в пике, от договоренностей с провайдером выше и т.д.
>Другими словами это сложная проблема решение которой требует опыта, денег и времени,
>и универсального решения в общем случае не существует (комплекс мер в
>зависимости от твоей ситуации). Это если ddos.
И досят тоже, как по плану, с утреца досят, пока всех забаню, к вечеру apache flood оф... большой.

>совет такой: выясни что это такое для начала, может у тебя кто-то
>порно-ресурс захостил - это ,да, часто похоже на дос:)
Хм, есть один, но это шефу надо говорить.

>>mod_throttle
>>mod_dosevasive,
>О благодарствую... Уже начал качать и компилить... пасибо большое

Кстати, незнаю как mod_dosevasive, а mod_throttle в некоторых случаях может больше навредить, чем помочь. Очень легко устроить DoS для самого mod_throttle, для подробностей почитай рассылки и news'ы.

>Тюнинг да, уже занимаемся, а вот вопрос про переход на 2.6 кернел,
>стоит нет для крупного хостера ?

Еще года 2 точно не стоит, а если в этом нет реальной необходимости, то пока не приспичит лучше не трогать текущее ядро.

>Хм, есть один, но это шефу надо говорить.

Тогда, это рузультат работы многопоточных качалок.....

>с огромного - это с какого?
50-60 в день, уникальных

>>Восновном флудят апач.
>а он у тебя на весь мир открыт?
Хостинг ....

>Сервер на Linux, kernel 2.4.20. Проблема такая - на сервак постоянно флудят,
>с огромного количесва хостов.

Скорее всего это не флуд, а обычная активность червей и вирусов. Смирись. Флуд это когда одновременно потоков в 100 пытаются что-то ресурсоемкое запрашивать или норовят 1000 пустых коннектов создать, в этом случае нужно обратится к вышестоящему провайдеру, он обратится к своему провайдеру и т.д. пока не дойдут до флудера.

Бороться можно при помощи iptables, лимитами на число коннектов одновременно и в ед. времени.

Если флудят профессионально, через тучу затрояненных машин в DSL сетях, то мало что поможет в этой ситуации, даже если найти общность и в real-time блокировать флуд-запросы, то трафик все равно будет - мало не покажется, если флудят по ICMP то и блокировать бесполезно.

Был у нас случай, полный DoS устроили ICMP флудом с пары тысяч машин, причем перестарались, ресурс который флудили пострадал отнсительно немного, особенно досталось провайдеру у кого был этот ресурс, и даже провайдеру провайдера у которому пару часов пришлось тянуть весь трафик через резервный линк (достаточно крупный московский оператор).  

>Скорее всего это не флуд, а обычная активность червей и вирусов. Смирись.
>Флуд это когда одновременно потоков в 100 пытаются что-то ресурсоемкое запрашивать
>или норовят 1000 пустых коннектов создать, в этом случае нужно обратится
>к вышестоящему провайдеру, он обратится к своему провайдеру и т.д. пока
>не дойдут до флудера.
Именно флуд, апач открывает сколько ему можно соединений и радуется.

>Бороться можно при помощи iptables, лимитами на число коннектов одновременно и в ед. времени.
Вот об этом то я и хотел спросить. Хотя мой же скрипт, позволяет гасить сервера с подменой ип.

>Если флудят профессионально, через тучу затрояненных машин в DSL сетях, то мало
>что поможет в этой ситуации, даже если найти общность и в
>real-time блокировать флуд-запросы, то трафик все равно будет - мало не
>покажется, если флудят по ICMP то и блокировать бесполезно.
Трафик, да плевать ограничений нет, забиваеют место на клиенские соединения.

>Был у нас случай, полный DoS устроили ICMP флудом с пары тысяч
>машин, причем перестарались, ресурс который флудили пострадал отнсительно немного, особенно досталось
>провайдеру у кого был этот ресурс, и даже провайдеру провайдера у
>которому пару часов пришлось тянуть весь трафик через резервный линк (достаточно
>крупный московский оператор).
О, случайно не очень недавно, с месяц назад ?! У нас тоже трабл был, линк до Швеции погас, а в новостях сказали кабель лопнул :) приколисты

>Именно флуд, апач открывает сколько ему можно соединений и радуется.

Если есть порно ресурс, то может дело в многопоточных качалках, примерно 50 идиотов в день и получается.

>>провайдеру у кого был этот ресурс, и даже провайдеру провайдера у
>>которому пару часов пришлось тянуть весь трафик через резервный линк >О,

>случайно не очень недавно, с месяц назад ?! У нас тоже
>трабл был, линк до Швеции погас, а в новостях сказали кабель
>лопнул :) приколисты

Точно дату не помню, но около того.

Patriot (11:06 PM) :
:)
Patriot (10:29 PM) :
сейчас !ВСЕ! хостинги, ставят отдельные сервера.
Да, на предприятии, можно делать систему. Для хостинга это не ВАРИАНТ.
Да, выходит из строя сервер баз данных... - сайт использующий базы данных "ОТДЫХАЕТ" ...!!!! Следовательно, не работает должным образом
Patriot (10:31 PM) :
нагрузку распределять не надо... как ресурсы сервера исчерпаны, ставится дополнительная машина
Patriot (10:31 PM) :
сейчас так делают все, потомучто это самый удачный вариант...
Patriot (10:32 PM) :
короче, я незнаю как с вами дальше работать... Элементарных вещей людям не понять
Patriot (10:33 PM) :
вот взял - ушёл. Если не согласны, скажите. Что-бы я мог продумывать другие варианты!!!!!!!!!!!!!!!!11
Patriot (10:33 PM) :
Чё резину тянете :(
vav (11:07 PM) :
я не ушел у меня нет глючит

Вот на меня гудять ... Дескать твои возражения .. Они говорят ставить 3 машины, на каждую Linux/BSD что там выберут и одинаковую настройку (apache, mysql, mail, i td). Я предлогаю
1 firewall
1 mail, dns, mysql, postgree
1 apache, ftp

Как вы на это смотрите, и главное админа слушают меньше чем клиента, который врядли что-то петрит в этом. Только: так все делают :) ппц

>Вот на меня гудять ... Дескать твои возражения .. Они говорят ставить
>3 машины, на каждую Linux/BSD что там выберут и одинаковую настройку
>(apache, mysql, mail, i td).

Так гораздо проще поступать в системах массового обслужиания, а главное надежнее и проще в управлении и мониторинге.

> Я предлогаю
>1 firewall
>1 mail, dns, mysql, postgree
>1 apache, ftp

Это лишнее усложнение, не нужно придумывать сложности, когда задачу можно решить более простыми методами. В итоге две машины из трех будут простаивать, 70%-80% клиентов вообще используют статику без скриптов, не говоря об SQL. К тому же возникает неоправданный гемморой с синхронизацией аккаунтов между mail/sql и apache/ftp машинами.

>Так гораздо проще поступать в системах массового обслужиания, а главное надежнее и
>проще в управлении и мониторинге.
У хостера 200 клиентов, 50 довольно крупные, флудят много. Почти каждые 20 мин.

>> Я предлогаю
>>1 firewall
>>1 mail, dns, mysql, postgree
>>1 apache, ftp
>
>Это лишнее усложнение, не нужно придумывать сложности, когда задачу можно решить более
>простыми методами. В итоге две машины из трех будут простаивать, 70%-80%
>клиентов вообще используют статику без скриптов, не говоря об SQL. К
>тому же возникает неоправданный гемморой с синхронизацией аккаунтов между mail/sql и
>apache/ftp машинами.
Нет, тут нада надёжность, смотри когда я так раскидаю, машинки мне супер крутые не дадут, там Celeron 1.3 GHz, P4 1.6 max И всё. И сейчас есть 2хР3 800. А клиентов много .. А по поводу усложнения, недумаю, я написал уже на 90% сервис, который будет управлять 3 серверами, главное база на одном, а все остальные делают себе конфиги и работают. Качают базу по команде, у меня по моему сервису на каждом компе и они между собой будут болтать. Всё просто ! Элементарно. И работает! Правда не в таких маштабах, но чуть доработаю, компы получу и думаю что делать. Либо 3 одинаковых, или так. Нагрузку разделить по сервисам, машинки будут свободные. Если всё одинаково - будет флуд, что-то помрёт

>Если всё одинаково - будет флуд, что-то помрёт

Если одинаково - помрет 1 (клиенты на остальных 2 машинах будут работать), если как вы предлагаейте помрет все.

>Если одинаково - помрет 1 (клиенты на остальных 2 машинах будут работать),
>если как вы предлагаейте помрет все.
Никто не мешает, я бы даже сказал более того, помрут и все остальные. Как никак если идёт флуд, то сначала инженеринг провердут, узнают инфу, а потом атака. Помрёт всё. А если одну машину закрыть, а остальные будут через неё идти, всё будет замечательно.
Firewall откроет только те порты, которые заранее запланированы, и будет пересылать соединения, при этом ещё и фильтровать на уровне ядра ! А это несомненный плюс ! При этом эффективность флуда, резко снизится.

>а остальные будут через неё идти, всё будет замечательно.
>Firewall откроет только те порты, которые заранее запланированы, и будет пересылать соединения,

Тоже самое сделает Firewall работающий на каждой из трех одинаковых машин, причем без пересылки соединений и прочих накладных расходов вида отдельной машины под firewall. Никто не мешает выполнять функцию фаерволинга хостинг нодам самостоятельно. Производительность пакетного фильтра будть то ipfw или iptables в сотни тысяч раз выше чем сможет обработать запросов apache, т.е. нагрузкой на хостинг систему от пакетного фильтра можно принебречь.

PS. Обычно rate-limit и подобное на cisco маршрутизаторе включают, который все сливки снимает и почти ничего локальному фаерволу не оставляет.