Здравствуйте ALL.
С ddos столкнулся первый раз. Обращения удут на 80 порт.
Ограничил MaxClients в apache (поставил 30).
Скриптом в iptables добавляю ip атакующих (по статистике netstat).Но эффекта от iptables мало - ip пишутся достаточно быстро. По HTTP ответа нет. Сервер чувствует себя нормально (процессор на 70-80% свободен, память не расходуется).
При увеличении MaxClients до 70, процессор загружен полностью.Посоветуйте какие меры предпринять?
>Посоветуйте какие меры предпринять?-------------- (с) где взял не помню -------------
В последнее время ко мне все чаще обращаются с вопросом: "как защититься от атаки типа отказ в обслуживании". Ну, так между делом спрашивают. Например, заканчиваешь настройку сервера заказчику и тут он и спрашивает, а как бы это сделать, чтобы сайт типа стоял и не падал. Причем заумное слово DDoS уже выучили, наверное все, и программисты и просто пользователи.
Так вот, кому не терпится побыстрее получить ответ и пойти косить бабло дальше, сообщаю:
Ценник на защиту от DDoS начинается в районе от $60000, это железо типа Cisco Guard + Cisco Anomaly Detector. Установлено оно должно быть не абы где, а на магистральной сети. Скорее всего придется поискать услугу хостинга с возможностью аренды подобной защиты и подробно расспросить, как именно будет защищиться ваш сайт когда все начнется. Хостер может потребовать залог за трафик на время DDoS, плюс дополнительная оплата на время DDoS по администрированию оборудования, которое будет пытаться эту DDoS отбивать, некоторые другие условия, например NS сервера должны быть размещены тоже у него.
Далее на расходы по минимуму придется включить еще и выделенный сервер. Вы можете также попробовать построить распределенную и продублированную систему, которая не прекратит обслуживание пользователей даже если некоторые сервера станут недоступны из-за атаки.
За 5$-20$ можно получить только студента с проксей и файрволом IPtables.
Ценник на DDoS конкурирующего сайта от 100$ за сутки или от 200$ если на крупную дичь. Это наши, русскоговорящие злоумышленники, не будем называть их хакерами. Я думаю, что цены они все-таки немного завышают. Однако этот бизнес в мировом масштабе оценивается от $2 млрд. ежегодно. Т.е. это не пионеры-любители я так думаю. Еще одним доказательством расцвета киберпреступности является изменение времени хакерских атак. Раньше это были ночи и выходные. Теперь же атаки идут и днем в будние дни. Другими словами, это стало обычной работой для многих людей, разве что в трудовую книжку эта запись не вносится.Все. Краткий ликбез окончен.
Манагеры и юзеры идут пить пиво. Для остальных интересующихся и тех, кто не поверил, что 100% защиты от DDoS таки не существует, напишу далее в следующих постах.--------------------------
Браво , hate !>[оверквотинг удален]
>Теперь же атаки идут и днем в будние дни. Другими словами,
>это стало обычной работой для многих людей, разве что в трудовую
>книжку эта запись не вносится.
>
>Все. Краткий ликбез окончен.
>Манагеры и юзеры идут пить пиво. Для остальных интересующихся и тех, кто
>не поверил, что 100% защиты от DDoS таки не существует, напишу
>далее в следующих постах.
>
>--------------------------
Защиты от ddos с 100% гарантией за разумные деньги - не существует
За неразумные - "сделать свой интернет" :)
>[оверквотинг удален]
>С ddos столкнулся первый раз. Обращения удут на 80 порт.
>Ограничил MaxClients в apache (поставил 30).
>Скриптом в iptables добавляю ip атакующих (по статистике netstat).
>
>Но эффекта от iptables мало - ip пишутся достаточно быстро. По HTTP
>ответа нет. Сервер чувствует себя нормально (процессор на 70-80% свободен, память
>не расходуется).
>При увеличении MaxClients до 70, процессор загружен полностью.
>
>Посоветуйте какие меры предпринять?1) попробовать модули для апача - mod_evasive, например.
2) Если атака идет на какой-то конкретный скрипт, то можно написать глушилку, которая будет автоматом заносить в iptables IP-адрес запрашивающего. Потеряется некоторое количество клиентов(если скрипт публичный), но через несколько минут бОльшая часть атакеров окажется в черном списке. Мне в свое время повезло, атаковали скрипт, который запрашивается только с сайта, не напрямую. Легко отфильтровал в черный список всех, у кого REFERER неправильный.
>1) попробовать модули для апача - mod_evasive, например.Этот модуль практически сразу поставил, но он значимого результата не даёт.
>2) Если атака идет на какой-то конкретный скрипт, то можно написать глушилку,
>которая будет автоматом заносить в iptables IP-адрес запрашивающего. Потеряется некоторое количество
>клиентов(если скрипт публичный), но через несколько минут бОльшая часть атакеров окажется
>в черном списке.К сожалению атака идёт на / сайта. Боюсь что можно потерять достаточно много клиентов.
>Мне в свое время повезло, атаковали скрипт, который
>запрашивается только с сайта, не напрямую. Легко отфильтровал в черный список
>всех, у кого REFERER неправильный.В моём случае тоже имеется небольшое количество запросов с некорректными заголовками - mod_security справлется, но это капля в море ((
>Посоветуйте какие меры предпринять?nginx поставьте фронтендом