Защита от DDOS

Если хотите можем бесплатно сделать диагностику, посмотрим что за трафик на вас валит если таковой есть.

Просьба писать в личку.

Да, по всей видимости.

Хостер, наконец, порадовал хоть какими-то сведениями. Во-первых, со временем атаки они ошиблись на пару часов, поэтому мой разбор логов ни к чему не привел.

Когда же были даны уточненные сведения, они выглядели примерно так:

21:50:32 - начало атаки

c 21:51:44 вы можете видеть кучу сообщений вида:

"Jan 29 21:51:44 s3 kernel: Limiting open port RST response from 542 to 500 packets/sec"

что свидетельствует о том что с трафиком на порту какая-то аномалия

DDOS был весьма своеобразным: кидались пакеты по несуществующему адресу domen.ru/script.php

В error-log'е (а именно туда все и сыпалось, поскольку запросы шли на несуществующий адрес ) с 21:50:32 по 21:51:44 я обнаружил 9000 записей и 294 отдельных IP адреса.

Насколько я понял объяснения хостера, именно эти 125 запросов в секунду и загрузили 100 мегабитный порт "в полку", что, соответственно, привело на следующий день к получению официального уведомления от хостера о том, что в случае повторения подобных мега-атак, мой сервер будет заблокирован полностью.

В принципе, техподдержку легко понять: 10000 рублей в месяц за аренду сервера с администрированием - не та сумма, чтобы тратить лимитированное на каждого клиента время и отбивать подобные мощнейшие атаки на мои проекты.

Не уверен что грузили 125 запросов

Скорее всего лили спуфленый синфлуд

Ровно полчаса? А потом вдруг передумали? :)

---------- Добавлено 03.02.2012 в 04:59 ----------

Случилось чудо! :)

После того, как я детально разобрал http-логи и представил хостеру свои соображения, меня, наконец, перестали пытаться задавить потоком сознания про чемоданы денег и взломанные сейфы.

Итак, мне дали хоть и не подробную информацию, то хотя бы намек:

И далее:

Теперь вопрос: пока еще все логи не потерлись, подскажите, пожалуйста, информацию о наличии syn-flood атак можно найти на сервере, или хостер в очередной раз лукавит? Если она доступна в каких-либо логах сервера, то где мне ее искать?

Таких логов сервер не ведет, но если у тебя есть тутовый доступ, то поставь мунин. Так будет проще понять, что с сервером.

А еще лучше - попросить посмотреть сервер специалиста в момент атаки

Т.е. это вновь очередное издевательство с их стороны?

Синфлуд вы можете увидеть в системных логах, если включены синкуки.

Поищите в системных логах строку

possible SYN flooding on port 80. Sending cookies.

Также во время атаки вы можете увидеть синфлуд

1) в команде netstat –n по большому количество строк SYN_RECV

2) командой tcpdump оценить поток syn пакетов

3) Создать правило iptables через которое будут проходить syn пакеты и смотреть счетчик пакетов этого правила.

zexis, Большое спасибо!

На всякий случай еще вопрос. Я попросил саппорт предоставить мне данные касаемо прошедшей атаки, на что получил следующий ответ:

Как мне сформулировать свой вопрос таким образом, чтобы они были вынуждены ответить по существу и предоставить нужные данные, а не зафлуживали меня бесполезной информацией и дурацкими рассуждениями о чемоданах с золотом?

Помимо всего прочего меня уже успели порадовать вот таким сообщением:

Что ж, довольно приятные новости для клиента, оплачивающего хостинг с администрированием :)

*имеются в виду адреса моего сервера. Ну, т.е. они просто вырубят мой сервер в случае очередной атаки, ни одну из которых они пока так и не смогли или не захотели подтвердить.

Проблема сменить хостинг? ТС не мучайтесь с таким хостером

pupkin zade, я надеюсь, мы переедем на следующей неделе. Нужно просто приложить все усилия, чтобы дожить до этого.