Есть  колокейшен у  которого наружу для  публичного доступа открыт только 80 порт,  и  этот  порт  регулярно с разных IP  досят. Пока это не составляет проблем. Как грамотно отсеивать таких товарищей. Насколько я понимаю, то их  надо  отсеивать с нашей циски, но тогда это будет нагружать циску. В общем где и как с такими товарищами нужно боротся.  

• Как можно отсекать DoS,Vaso Petrovich, 08:37 , 14-Авг-06
  • Как можно отсекать DoS,Al_Nightmare, 11:11 , 14-Авг-06
    • Как можно отсекать DoS,Артур, 11:39 , 14-Авг-06
• Как можно отсекать DoS,Romik, 13:06 , 29-Авг-06
  • Как можно отсекать DoS,T1000, 10:36 , 11-Дек-06
• Как можно отсекать DoS,Resident, 00:56 , 16-Дек-06

лучше сразу бригаду на крузаках высылать к таким товарищам

попробуй Short или portsentry

>попробуй Short или portsentry
portsentry  не  подходит   так   как  у  нас  и  так  наружу  открыт только 80 порт. Всё  остальное  закрыто  на циске.

>Есть  колокейшен у  которого наружу для  публичного доступа открыт
>только 80 порт,  и  этот  порт  регулярно
>с разных IP  досят. Пока это не составляет проблем. Как
>грамотно отсеивать таких товарищей. Насколько я понимаю, то их  надо
> отсеивать с нашей циски, но тогда это будет нагружать циску.
>В общем где и как с такими товарищами нужно боротся.

Грубо с помощью iptables ограничить максимальное количество сессий n штуками, остальные дропать.
Решение не совсем хорошее - спасет сервер, но нормальные пользователи все же не смогут нормально работать. Хотя зависит от ситуации конкретной.

подними на циске CBAC.

А можно я одну глупую вешь скажу? :)

Глупую, но провереную. :) ДоС пионерский? То есть, если обычный син-дос, то ни чего лучше чем син-куки пока не придумали, не важно как вы относитесь к линуксу или солярису, но син-куки решает на корню одну очень важную проблему с пионерами. Дальше: дос всё ещё пионерский, но уже не бестолковый син. Решение просто ужасно простое: шэйп син пакетов, срежте их, ну скажем, до 250-ти в секунду с одного хоста и уже будет легче (не уверен насчет цифры, но можно поэкспериментировать с цифрой, так что бы это на честных пользователях не отражалось), дальше идёт mod_accel с проходом на прямую к динамическому контенту и кэшем на картинки. Дальше по ситуации, чего не хватает-то что бы переварить дос, как пример, может железа не хватает или апач больше 2к соединений не принимает? Имхо с этой позиции надо начинать решение проблемы доса. Может это не негодяи с досом а всего-лишь сетка за натом в количестве 5к пользователей, в форуме которой запостили линк на один очень смешной ресурс на вашем сервере и они все вечером кликнули на линк?

ЗЫ. не бойтесь грузить циску, она скажет когда ей плохо и тогда вы уже решите: расширяться и покупать что-нить более быстрое, а иожет даже и кластерное или лишаться каких-то фичерсов в безопасности и оставлять как есть, делать из гумна кофетку тоже хорошо, но всегда-ли оно стоит миллиардов сломанных мозговых клеток? (опять же имхо).