https://www.opennet.ru/openforum/vsluhforumID1/88698.html Здравствуйте,<br><br>Столкнулся с такой проблемой, вчера устроили ddos атаку на мой веб сервер.<br>На серваке стоит Nginx + Apache, на серваке стоит реальный IP адрес.<br><br>Как можно защитить сервер от ддос атаки?<br> https://www.opennet.ru/openforum/vsluhforumID1/88698.html#16 Tue, 13 Apr 2010 14:24:46 GMT &gt;Эм? блокируете все входящие на ip, который атакуют? :) Нет цели атаки <br>&gt;- нет проблемы?) <br><br>ты не понял идеи<br>скажем идет флуд на клиента - 20 мегабит<br>у клиента линк 10 мегабит - клиент естно лежит<br>у нас скажем аплинк 50 мегабит забитый на 80% - автоматом кладется наш аплинк - как следствие начинают дергаться все клиенты<br>самый простой и быстрый вариант фильтровать у сервиспровайдера целевой хост (подсеть) атаки<br>при данном раскладе хер с ним с клиентом - надо оперативно погасить атаку<br><br><br> https://www.opennet.ru/openforum/vsluhforumID1/88698.html#15 Tue, 13 Apr 2010 12:39:14 GMT &gt;для фильтрации клиентов обычно у нас тупо фильтруеца атакуемый айпи на сервис <br>&gt;провайдере <br><br>Эм? блокируете все входящие на ip, который атакуют? :) Нет цели атаки - нет проблемы?)<br><br>&gt;а так люди говорят что на толстых каналах 100-200 мегабитные флуды бывает <br>&gt;месяцами стоят <br><br>Насколько толстых? Ну, когда 100-200 мбит - это 5-10% пропускной способности при общей невысокой загруженности... Наверное, ну и фиг с ним, пусть :)<br><br><br> https://www.opennet.ru/openforum/vsluhforumID1/88698.html#14 Tue, 13 Apr 2010 11:45:25 GMT &gt;&gt;эти меры позволят лишь оставить сервак в работоспособном состоянии <br>&gt;&gt;он забивки канала не поможет <br>&gt;<br>&gt;Это ли не цель первоначальной защиты? Лучше уж худо-бедно отвечающий, чем лежащий <br>&gt;в глубоком дауне сервак. <br>&gt;На такой ботнет, который забьет весь канал провайдера, заказчик может пожалеть денег. <br>&gt;А там уже и инженеры провайдера зачешутся. И железку дорогую достанут <br>&gt;(если репутация и клиенты важны). <br><br>я лишь подчеркунл что лекарства увы нЭт<br>для фильтрации клиентов обычно у нас тупо фильтруеца атакуемый айпи на сервис провайдере<br><br>а так люди говорят что на толстых каналах 100-200 мегабитные флуды бывает месяцами стоят<br> https://www.opennet.ru/openforum/vsluhforumID1/88698.html#13 Tue, 13 Apr 2010 11:27:09 GMT &gt;Подскажите пожалуйста, как реализовать iptables -I INPUT 1 -p tcp --dport 80 <br>&gt;-m string --string "GET / HTTP/1.0" --algo kmp -j DROP на <br>&gt;ipfw <br><br>хм, не уверен, что ipfw умеет iptables-овский -m string...<br> https://www.opennet.ru/openforum/vsluhforumID1/88698.html#12 Tue, 13 Apr 2010 11:24:14 GMT Это лог запросов к серверу.<br>Пример заголовков вот:<br>GET / HTTP/1.1<br>Host: opennet.ru<br>User-Agent: Mozilla/5.0 (Windows; U; Windows NT 5.1; ru; rv:1.9.0.3) Gecko/2008092417 Firefox/3.0.3<br>Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8<br>Accept-Language: ru,en-us;q=0.7,en;q=0.3<br>Accept-Encoding: gzip,deflate<br>Accept-Charset: windows-1251,utf-8;q=0.7,*;q=0.7<br>Keep-Alive: 300<br>Proxy-Connection: keep-alive<br><br>напишите какой-нить простенький скрипт на главной странице, который будет скидывать все заголовки (в перле - %ENV) в текст. файл. И оставьте на пару минут. А анализ заголовков начинайте с запросов на /, а не на картинки, как в вашем примере.<br><br><br>&gt;и таких очень много <br><br>тысячи их)))<br> https://www.opennet.ru/openforum/vsluhforumID1/88698.html#11 Tue, 13 Apr 2010 11:01:25 GMT &gt;Просто GET / HTTP/1.1 ? Что в http-заголовках? <br>&gt;Почитайте http://hostinghelp.biz/content/ddos-%D1%87%D1%82%D0%BE-%D0%B4%D0%B5%D0%BB%D0%B0%D1%82%D1%8C-%D0%B5%D1%81%D0%BB%D0%B8-%D1%81%D0%B5%D1%80%D0%B2%D0%B5%D1%80-%D1%82%D0%BE%D0%BB%D1%8C%D0%BA%D0%BE-%D0%BE%D0%B4%D0%B8%D0%BD-linux-%D1%81-apache <br>&gt;последнюю главу, соорудите что-нибудь похожее у себя. Если зомби не умеют редиректы, <br>&gt;можно собственными скриптами собирать ip атакующих и запихивать в ipfw. <br><br>Подскажите пожалуйста, как реализовать iptables -I INPUT 1 -p tcp --dport 80 -m string --string "GET / HTTP/1.0" --algo kmp -j DROP на ipfw<br> https://www.opennet.ru/openforum/vsluhforumID1/88698.html#10 Tue, 13 Apr 2010 10:58:13 GMT &gt;Просто GET / HTTP/1.1 ? Что в http-заголовках? <br>&gt;Почитайте http://hostinghelp.biz/content/ddos-%D1%87%D1%82%D0%BE-%D0%B4%D0%B5%D0%BB%D0%B0%D1%82%D1%8C-%D0%B5%D1%81%D0%BB%D0%B8-%D1%81%D0%B5%D1%80%D0%B2%D0%B5%D1%80-%D1%82%D0%BE%D0%BB%D1%8C%D0%BA%D0%BE-%D0%BE%D0%B4%D0%B8%D0%BD-linux-%D1%81-apache <br>&gt;последнюю главу, соорудите что-нибудь похожее у себя. Если зомби не умеют редиректы, <br>&gt;можно собственными скриптами собирать ip атакующих и запихивать в ipfw. <br><br>Вот пример заголовка <br><br>112.110.216.116 - - [13/Apr/2010:07:30:48 +0400] "GET /images/2217_logo.gif HTTP/1.1" 304 0 "http://сайт.ru/" "Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 5.1; Trident/4.0; AskTB5.6)"<br><br>60.49.133.186 - - [13/Apr/2010:07:30:49 +0400] "GET /images/logo.gif HTTP/1.0" 200 43 "http://сайт.ru/" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; GTB6)"<br><br>190.167.58.180 - - [13/Apr/2010:07:30:48 +0400] "GET /images/cop_bg.gif HTTP/1.1" 304 0 "http://сайт.ru/" "Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; GTB6; MEGAUPLOAD 1 https://www.opennet.ru/openforum/vsluhforumID1/88698.html#9 Tue, 13 Apr 2010 10:48:37 GMT &gt;А что по поводу снорта, сможет он по заголовку определить атаку на <br>&gt;www? <br><br>А разве вы еще сами не в курсе этого? :)<br><br><br>&gt;Предложили еще поставить Cisco ASA 5510 с модулем aip-10, говорят что спасет <br>&gt;от ддоса, так ли это? <br><br>хз, может быть. Если грамотно настроить. Вы готовы отдать 100к рублей за железку + фиг знает сколько за настройку (а в идеале, за обучение собственного сотрудника)? Стоит ли ваш сервис и клиентура таких денег? Может, проще прова на адекватного сменить, если ддос будет продолжаться долго и в дальнейшем будет повторяться.<br> https://www.opennet.ru/openforum/vsluhforumID1/88698.html#8 Tue, 13 Apr 2010 10:42:16 GMT Просто GET / HTTP/1.1 ? Что в http-заголовках?<br>Почитайте http://hostinghelp.biz/content/ddos-%D1%87%D1%82%D0%BE-%D0%B4%D0%B5%D0%BB%D0%B0%D1%82%D1%8C-%D0%B5%D1%81%D0%BB%D0%B8-%D1%81%D0%B5%D1%80%D0%B2%D0%B5%D1%80-%D1%82%D0%BE%D0%BB%D1%8C%D0%BA%D0%BE-%D0%BE%D0%B4%D0%B8%D0%BD-linux-%D1%81-apache<br>последнюю главу, соорудите что-нибудь похожее у себя. Если зомби не умеют редиректы, можно собственными скриптами собирать ip атакующих и запихивать в ipfw.<br><br>