- Поисковые системы
- Практика оптимизации
- Трафик для сайтов
- Монетизация сайтов
- Сайтостроение
- Социальный Маркетинг
- Общение профессионалов
- Биржа и продажа
- Финансовые объявления
- Работа на постоянной основе
- Сайты - покупка, продажа
- Соцсети: страницы, группы, приложения
- Сайты без доменов
- Трафик, тизерная и баннерная реклама
- Продажа, оценка, регистрация доменов
- Ссылки - обмен, покупка, продажа
- Программы и скрипты
- Размещение статей
- Инфопродукты
- Прочие цифровые товары
- Работа и услуги для вебмастера
- Оптимизация, продвижение и аудит
- Ведение рекламных кампаний
- Услуги в области SMM
- Программирование
- Администрирование серверов и сайтов
- Прокси, ВПН, анонимайзеры, IP
- Платное обучение, вебинары
- Регистрация в каталогах
- Копирайтинг, переводы
- Дизайн
- Usability: консультации и аудит
- Изготовление сайтов
- Наполнение сайтов
- Прочие услуги
- Не про работу
Все что нужно знать о DDоS-атаках грамотному менеджеру
И как реагировать на "пожар", когда неизвестно, где хранятся "огнетушители
Антон Никонов
большая часть "ддос защит" как раз в р-не 200kpps и падает... тот же самый ддос эксперт не исключиние.
ДДОС в 200kpps это не так много. У нас корневые маршрутизаторы постоянно под этим ддосом :), но как показали опыты им все равно что 200 или 2000 🍿
iluxa85, Вы;%:лся, молодец, поздравлямс. Я пока дотюнил до 500 kpps, смотрим, что будет дальше. Противно только долгое применение правил иптейблс.
а причем тут маршрутизаторы и синфлуд на порт вебсервера?
kostich, Ну я так понимаю, они фильтруют спуфинг на маршрутизаторах. Согласен, поразительно, конечно (дорого), но...
kostich, Ну я так понимаю, они фильтруют спуфинг на маршрутизаторах. Согласен, поразительно, конечно (дорого), но...
Raistlin, я почему про фиксированные win спросил... на некоторых маршрутизаторах можно резать синфлуд по какому-то статическому параметру, но нормальный синфлуд делают живыми пакетами... БЕЗ ЛИШНЕГО РАНДОМА и статики. Собственно большая часть синфлуда делается с фиксированным win-ом, т.к. это очень просто резать на разных железках продвинутых... ну как бы и на серверах резать можно, т.к. куку генерить ненадо и т.д... просто резать пакеты... я таки уже многих подозреваю, если ты понимаешь о чем я 🍿
пысы. как можно защищать от синфлуда на железяках непредназначенных для защиты от ВАЛИДНОГО SYN пакета... как-то защищают же, нам обычно так не фартит... хреначат клиентосов наших отборнейшим чистеньким :)
kostich, Понимаю :), но с фиксированным win мне не прилетало пока еще, могу только кусочек netflow выложить или кусочек tcpdump. В моем случае пока помог скрипт, написанный в Linux Advanced Routing HOWTO ch. 15.2 :)
kostich, Понимаю :), но с фиксированным win мне не прилетало пока еще, могу только кусочек netflow выложить или кусочек tcpdump. В моем случае пока помог скрипт, написанный в Linux Advanced Routing HOWTO ch. 15.2 :)
Raistlin, а как скрипт от синфлуда помогает?
kostich, Не сам скрипт, а пример. Это ограничение числа поступления пакетов в секунду при помощи tc, iptables в данном случае используется для маркировки пакетов. Помимо скрипта я тюнил ядро при помощи sysctl, ну и руками тоже работал. Т.е. сам то по себе какой-то скрипт тут хрен поможет, там в скрипте дан простенький пример, сам по себе он как раз и делает ограничение до 3-х пакетов в секунду с одного IP. Ну вроде как объяснил :). Работало это дело на VDS с 2 гигами рамы и 4 ядрами выделенными. Нагрузки на сам VDS небыло, веб-сервер в общем-то тоже вел себя вполне корректно, единственный минус = жуткие тормоза iptables. Там параллельно http-флуд еще был, парсинг логов отрабатывал на ура, но вот незадача - айпишники банились под конец почти через минуту после детекта (особливо заметно стало, когда их число стало расти).
Т.е. сам то по себе какой-то скрипт тут хрен поможет, там в скрипте дан простенький пример, сам по себе он как раз и делает ограничение до 3-х пакетов в секунду с одного IP.
Raistlin, спуфят весь IPv4... какой смысл лимитировать сины с каких-то конкретных ip адресов?
kostich добавил 02.08.2011 в 16:28
... но с фиксированным win мне не прилетало пока еще,
только заметил... а что обычно прилетает?
kostich, Валидный лился. Пакетики все разные лились.
какой смысл лимитировать сины с каких-то конкретных ip адресов?
Ну дело в том, что в данном случае лились сины в больших количествах с иных ботов. всех найти и побанить не получалось быстро, поэтому вышел из положения так.
Кстати, сейчас проанализировал свою переписку с ДЦ по другой локации и другой аналогичной ситуевине. Я им писал, что с их сервера на меня льется син, они меня отправили к партнеру, через которого я с ними работаю, мол трафик идет вредоносный от него (!). Я вообще, честно, жутко удивился такому поведению. Но там всего два айпишника и лились с них пакеты примерно 2-3 часа. Кстати, интересная закономерность - раз в 2-3 часа ботнет ПОЛНОСТЬЮ обновляется....