Подскажите пожалуйста как профессионально организовать брендмауэр с защитой от dos-атак.
Собственно интересуют методы защиты от дос в linux.
Может у кого-то есть шаблон настройки брендмауэра в linux??
>Подскажите пожалуйста как профессионально организовать брендмауэр с защитой от dos-атак.
>Собственно интересуют методы защиты от дос в linux.
>Может у кого-то есть шаблон настройки брендмауэра в linux??Я дюмаю ИМХО идеального шаблона не найти , всё зависит от используемых сервисов. А так я уже 6-7 лет пользуюсь Линукс на высаконагруженных серверах (ISP) и чисто дос на Линукс не наблюдал , в основном были атакованны сервисы и в настройках правильных они и нуждаются
а общие принципы где добыть?
также интересует инфа по защите сервисов.
>а общие принципы где добыть?
>также интересует инфа по защите сервисов.%)
google.ru
общие принципы защиты от DOS
<ENTER>
>Подскажите пожалуйста как профессионально организовать брендмауэр с защитой от dos-атак.
>Собственно интересуют методы защиты от дос в linux.
>Может у кого-то есть шаблон настройки брендмауэра в linux??--------------- (c) где взял не помню
В последнее время ко мне все чаще обращаются с вопросом: "как защититься от атаки типа отказ в обслуживании". Ну, так между делом спрашивают. Например, заканчиваешь настройку сервера заказчику и тут он и спрашивает, а как бы это сделать, чтобы сайт типа стоял и не падал. Причем заумное слово DDoS уже выучили, наверное все, и программисты и просто пользователи.
Так вот, кому не терпится побыстрее получить ответ и пойти косить бабло дальше, сообщаю:
Ценник на защиту от DDoS начинается в районе от $60000, это железо типа Cisco Guard + Cisco Anomaly Detector. Установлено оно должно быть не абы где, а на магистральной сети. Скорее всего придется поискать услугу хостинга с возможностью аренды подобной защиты и подробно расспросить, как именно будет защищиться ваш сайт когда все начнется. Хостер может потребовать залог за трафик на время DDoS, плюс дополнительная оплата на время DDoS по администрированию оборудования, которое будет пытаться эту DDoS отбивать, некоторые другие условия, например NS сервера должны быть размещены тоже у него.
Далее на расходы по минимуму придется включить еще и выделенный сервер. Вы можете также попробовать построить распределенную и продублированную систему, которая не прекратит обслуживание пользователей даже если некоторые сервера станут недоступны из-за атаки.
За 5$-20$ можно получить только студента с проксей и файрволом IPtables.
Ценник на DDoS конкурирующего сайта от 100$ за сутки или от 200$ если на крупную дичь. Это наши, русскоговорящие злоумышленники, не будем называть их хакерами. Я думаю, что цены они все-таки немного завышают. Однако этот бизнес в мировом масштабе оценивается от $2 млрд. ежегодно. Т.е. это не пионеры-любители я так думаю. Еще одним доказательством расцвета киберпреступности является изменение времени хакерских атак. Раньше это были ночи и выходные. Теперь же атаки идут и днем в будние дни. Другими словами, это стало обычной работой для многих людей, разве что в трудовую книжку эта запись не вносится.Все. Краткий ликбез окончен.
Манагеры и юзеры идут пить пиво. Для остальных интересующихся и тех, кто не поверил, что 100% защиты от DDoS таки не существует, напишу далее в следующих постах.------------------------------------------------
понятно.Очень полезный совет.
будем искать методы защиты в linux.
>понятно.Очень полезный совет.
>будем искать методы защиты в linux.Можно повыдергиваться, подтюнить сервисы, поставить какой нить нгинкс (в случае ддоса на HTTP) и т.д.
Но в любом случае, более-менее серъезный ддос с терминала не отобьешь. Нужны хардварные решения.