- Поисковые системы
- Практика оптимизации
- Трафик для сайтов
- Монетизация сайтов
- Сайтостроение
- Социальный Маркетинг
- Общение профессионалов
- Биржа и продажа
- Финансовые объявления
- Работа на постоянной основе
- Сайты - покупка, продажа
- Соцсети: страницы, группы, приложения
- Сайты без доменов
- Трафик, тизерная и баннерная реклама
- Продажа, оценка, регистрация доменов
- Ссылки - обмен, покупка, продажа
- Программы и скрипты
- Размещение статей
- Инфопродукты
- Прочие цифровые товары
- Работа и услуги для вебмастера
- Оптимизация, продвижение и аудит
- Ведение рекламных кампаний
- Услуги в области SMM
- Программирование
- Администрирование серверов и сайтов
- Прокси, ВПН, анонимайзеры, IP
- Платное обучение, вебинары
- Регистрация в каталогах
- Копирайтинг, переводы
- Дизайн
- Usability: консультации и аудит
- Изготовление сайтов
- Наполнение сайтов
- Прочие услуги
- Не про работу
Что делать, если ваша email-рассылка попала в спам
10 распространенных причин и решений
Екатерина Ткаченко
Авторизуйтесь или зарегистрируйтесь, чтобы оставить комментарий
Наблюдая следующую картину: пропускная способность канала забивается на 100%. Невероятный расход трафика, под 500-1000 Гигабайт за сутки.
Примерно такое соотношение:
Исходищий: 500-1000ГБ.
Входящий: 50-100ГБ.
Смотрел логи обращений к сайтам, там никаких посторонних записей, которые могли бы объяснить такой расход трафика нет. В среднем по логам 5-10 обращений к сайтам в минуту. Значит http ддос отпадает.
Возможно это ICMP-флуд, SYN-флуд, UPD-флуд, как это можно проверить? И как проверить, ддос ли это вообще?
Можете ли зайти на сервер по SSH?
При таком большом трафике это будет сложно.
Придется либо ехать в ДЦ, либо подключаться удаленно через kvm.
1)
Запретите серверу реагировать на icmp запросы.
Веб серверу icmp не нужно.
echo "1" > /proc/sys/net/ipv4/icmp_echo_ignore_all
2)
посмотрите список текущих конектов к серверу.
netstat -n|less
Нет ли там множества коннектов с одних и тех же IP адресов ?
Нет ли там слишком большого количества коннектов в одном и том же состоянии ?
Какое общее число коннектов?
netstat -n|wc
3)
посмотрите статистику трафика сетевых интерфейсов
sar -l |less
4)
Заодно посмотрите
top
vmstat 2
server-status/
1)
Запретите серверу реагировать на icmp запросы.
Веб серверу icmp не нужно.
echo "1" > /proc/sys/net/ipv4/icmp_echo_ignore_all
Глупость какая. Нужен, конечно. Ограничить приемлемой частотой запросов - не более.
То, что Вы пишете - никак от ICMP флуда не спасет. Канал как был забит входящими пакетами - так и останется.
Что касается вопроса ТС - вполне разумный трафик для сайта с медиа-контентом. Может Вы просто не логгируете обращение к нестатическим файлам? Может хотлинкинг?
Исходищий: 500-1000ГБ.
Входящий: 50-100ГБ.
По симптомам это ICMP флуд, единственное решение:
1)Увеличение канала
2)Отключение ответа на ICMP пакеты со стороны сервера
Также понять точно какая это атака, можно сняв дамп сетевой активности командой:
Где eth0 - сетевой интерфейс.