защита сервера от ДОС/ДДОС

Издеваетесь?

Для защиты от пионеров.

То есть метода нет ?

Есть. Датацентры с соответствующей услугой. Или сторонние службы, отфильтрующие ваш траф.

Надеюсь, вы не считаете, что DDOS бывает:

1. Только HTTP-запросами.

2. Только по протоколу TCP.

3. С входящим трафиком заведомо меньшим толщины вашего канала.

Кроме того, не стоит рассчитывать, что датацентр пришлет сочувственное письмо вместо счета за траф, на пару килобаксов в сутки.

Нет конечно...

Я думаю всем прекрасно понятно что с трафом более ширины полосы пропускания на стороне сервера ничего не сделать.

Также как и то, что полоса ДОСа может быть такой что и железяку фильтрующую положит.

Вопрос в другом, насколько я понимаю, эфективное расходование мощности да и сама атака ОТКАЗ ОТ ОБСЛУЖИВАНИЯ подразумевает, что затрата небольшой мощности со стороны атакующих вызывает потребление большого числа ресурсов на севрере - один http запрос на 20 байт вызывает запуск в работу сложного пхп скрипта делающего с десяток запросов к базе (это я не говорю про движек этого форума :) ), соответветсвенно нагрузка на сервер и на клиент не сопоставима...

Я говорю про достаточно интелектуальный ДОС , а не тупой поток трафа... Это не спортивно...

С таким же успехом ДДОС может положит канал ДЦ во внешний мир.

qwartyr добавил 03.06.2008 в 16:38

я спрашиваю про другие opensource решения есть

Вы говорите про дешевый вариант атаки с мелкого ботнета. Это и есть пионеры.

Почему же. Купить фильтрацию у спецов, поменять DNS и дышать через трубу, положеную к ним. :)

Для защиты от подобной атаки на сайт, гораздо логичнее вместо "netstat -ntu |...." делать что-то типа "tail -f access.log|...." для http-лога сайта. Так не забанятся ни в чем не повинные поситители соседних сайтов (если таковые есть на сервере).

Подобные атаки обычно идут на одну конкретную страницу. Если серверу очень тяжело ее обрабатывать и в лог ничего не попадает, можно временно заминить ее легкой статической html-страницей.

tail -f access.log это уж совсем неинтересные никому ресурсы с никакой посещяемостью - кто их будет ддосить?

Достаточно часто логи вообще отключают, чтобы увеличить быстродействие апача.

Боюсь что посетитель с 100 коннектами к серверу скорее всего не помет считаться неповинным.

Если банить конечно сетки /24, то можно и посетителей набанить, а по айпишникам - не думаю.

По поводу замены страницы на статику не думаю - кеширование в пхп позволяет сделать пхп скрипт практически таким же статичным - при ДОС апач все равно не справится с нагрузкой.

Недавно в форуме проскакивал пост про GET /80 запросы - я думаю, что файла 80 не было на сервере - при этом сервер ложился под ддосом, а апачу всего лишь надо было 404 код ошибки ботнету отдать

Это не так. Нормальный ботнет не делает одновременных запросов с одного IP. Список работает рандомно. И описанное вами лекарство просто не сработает. Надо делать выборку именно из логов. Или юзать специализированные модули апача, написанные как раз для таких случаев.

Весьма неграмотный способ увеличения производительности. Скорее, просто глупый.

Я вроде написал в стартовом посте

По поводу отключения логов осмелюсь с Вами не согласится. Запись на диск хоть из буферизованная тоже нагрузка 6). Я согласен, что это не самый лучший способ увеличить производительность ;)

штуки типа сat access.log | grep " GET /80" | awk '{ print $1 }' | sort | uniq | awk {' print "iptables -I INPUT -s " $1" -j DROP" '} > ./BAN.sh

и sh BAN.sh

вполне справятся...

Но он принципиально не отличается от dos deflate ибо лишь способ получения информации об атакующих ip разный

+1.А еще юзают рандомные юзер-агенты с рандомными реферрерами+делэй для реквестов.

Когда-то слышал о фирме (www.litespeedtech.com).Вроде бы защищала нормально.Щас уже не знаю.Глянуть на их конфиг забавно )

sstdns.com/modsec.conf