URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID8
Нить номер: 5396
[ Назад ]
Исходное сообщение
"Апач 2.2.6 и защита от ДДОС"
Отправлено mitya5005 , 27-Ноя-07 23:38 
Столкнулись с незначитальной ддос атакой, которая все же указала на слабые места нашего веб-сервера:

как обычно с одного ip шлется туча запросов апачу на выдачу страницы с определенного сайта.

в csf + lfd приписано блочить IP которые сделали более 250 подключений. блок перидоически происходит, апач приходятся рестартовать вручную, чтобы чайлды поубивать.


искали спец модуль для апача 2.2.6, анлизирующий логи на предмет ддоса - ничего не нашли.

есть более менее комплексные решение данных трудностей?

благодарю за ответ.

Содержание
Сообщения в этом обсуждении
"Апач 2.2.6 и защита от ДДОС"
Отправлено Vaso Petrovich , 28-Ноя-07 09:13 
это задача фаирвола а не веб сервера... unix way называется, каждый должен свою часть делать... так что не то ищете...

"Апач 2.2.6 и защита от ДДОС"
Отправлено zing , 28-Ноя-07 09:38 
>это задача фаирвола а не веб сервера... unix way называется, каждый должен
>свою часть делать... так что не то ищете...

http://www.opennet.me/tips/info/128.shtml

"Апач 2.2.6 и защита от ДДОС"
Отправлено Vaso Petrovich , 28-Ноя-07 11:37 
>>это задача фаирвола а не веб сервера... unix way называется, каждый должен
>>свою часть делать... так что не то ищете...
>
>http://www.opennet.me/tips/info/128.shtml

в англии тоже есть пляжи... тоьлко вот что я не знаю тех кто поедит на них отдыхать... так что не палитесь...

"Апач 2.2.6 и защита от ДДОС"
Отправлено mitya5005 , 28-Ноя-07 14:48 
>>это задача фаирвола а не веб сервера... unix way называется, каждый должен
>>свою часть делать... так что не то ищете...
>
>http://www.opennet.me/tips/info/128.shtml

Спасибо.

Стоит csf lfd - скрипт использует iptables. правил кучав том числе и на ограничение количества подключений, но тем не менее проблемы есть..

спрашиваю про более комплекное решение проблемы.

"Апач 2.2.6 и защита от ДДОС"
Отправлено Vaso Petrovich , 28-Ноя-07 18:51 
>Стоит csf lfd - скрипт использует iptables. правил кучав том числе и
>на ограничение количества подключений, но тем не менее проблемы есть..
>
>спрашиваю про более комплекное решение проблемы.

о если это linux то вам надо hashtabe и state new заюзать, без всяких велосипедов с квадратными колесами, не спасет только в случаии если по keep-alive буду флудить, но такие врят ли с одного адреса будут флудить...

"Апач 2.2.6 и защита от ДДОС"
Отправлено mitya5005 , 28-Ноя-07 21:11 
>>Стоит csf lfd - скрипт использует iptables. правил кучав том числе и
>>на ограничение количества подключений, но тем не менее проблемы есть..
>>
>>спрашиваю про более комплекное решение проблемы.
>
>о если это linux то вам надо hashtabe и state new заюзать,
>без всяких велосипедов с квадратными колесами, не спасет только в случаии
>если по keep-alive буду флудить, но такие врят ли с одного
>адреса будут флудить...

Видел еще такую фишку:

перед тем как блочить IP - выдается страница поьзователю с просьбой ввести капчу.
Что очень полезно.

чем такое реализовано?

"Апач 2.2.6 и защита от ДДОС"
Отправлено Vaso Petrovich , 30-Ноя-07 08:05 
>[оверквотинг удален]
>>если по keep-alive буду флудить, но такие врят ли с одного
>>адреса будут флудить...
>
>Видел еще такую фишку:
>
>перед тем как блочить IP - выдается страница поьзователю с просьбой ввести
>капчу.
>Что очень полезно.
>
>чем такое реализовано?

это просто, iptables + hashlimit + state + web server
только вместо блокировки сначала редирект на специальный сервер с картинкой... и только потом если что бан...

"Апач 2.2.6 и защита от ДДОС"
Отправлено ССК , 07-Дек-07 14:40 
если это БСД то можно так
allow tcp from any to me dst-port 80,443 limit src-addr 30
"Апач 2.2.6 и защита от ДДОС"
Отправлено Golub Mikhail , 09-Фев-08 12:46 
>если это БСД то можно так
>allow tcp from any to me dst-port 80,443 limit src-addr 30

Да, а потом спрашивают, а почему у меня нет доступа к сайту "Х"?
А юзеры (больше 2000) выходят в инет через прокси через один IP ...