Для защиты от DDOS у меня в ipfw стоит:ipfw add 64000 allow tcp from any to 111.111.111.111 80 limit src-addr 5
От мелких хулиганов спасает, а вот от крупных атака нет. Выход только один: находить и блочить все IP ботнета. Но как это сделать? Как нибудь можно сказать фаеру - выписывать все IP, которые попали под правило >5 коннектов в сек?
PS: как это правило еще переписать не для 80 порта, а для всех портов?
>Для защиты от DDOS у меня в ipfw стоит:
>
>ipfw add 64000 allow tcp from any to 111.111.111.111 80 limit src-addr
>5
>
>От мелких хулиганов спасает, а вот от крупных атака нет. Выход только один: находить и блочить все IP ботнета. Но как это сделать? Как нибудь можно сказать фаеру - выписывать все IP, которые попали под правило >5 коннектов в сек?
>
>PS: как это правило еще переписать не для 80 порта, а для
>всех портов?Вообщето, файл /etc/rc.firewall есть ничто иное как обычный шел-скрипт, поэтому ты в нём можешь запускать любые свои скрипты, перенаправлять в любые свои скрипты поток трафик для анализа(сколько раз сработало данное правило и от каких адресов), просто сделать всё что угодно, было бы желание разбираться как это писать.
http://amsand.narod.ru/articles/antihack.html
Тут есть защита от брутштормов, от синков и некотрые ещё мелочи.