Ddos скрипт защиты?

Лелуш Ламперуж, Ещё раз. Между знающими людьми и школьниками в этом плане разницы нет. Никакой, кроме мощности атаки. А, вру. Знающий человек если захочет - положит ваш сервер в любом случае. Школьник может не догадаться. Сейчас за 20 баксов 10 гигабит можно стрессер купить и укладывать всех направо и налево, у кого защиты нет никакой.

lonelywoolf, сейчас можно взять 20 гигабит за 30 баксов в месяц - 10 инстанцев, но это будет малое кол-во IP адресов. Если рассматривать хостинг, а не ботнеты и прочую чернуху.

Конечно, описанная схема имеет место быть. Даже реализуема bash скриптом.

Из альтернатив, например по кол-ву соединений. Пермач. Получим список IP и количество соединений netstat -ntu | awk '{print $5}' | cut -d: -f1 | sort | uniq -c

закинем в блеклист каждый удовлетворяющий условию >32 соединений и не ваши IP

iptables -I INPUT -s 55.55.55.55 -j DROP

Или вариант сразу ограничить кол-во соединений на IP

iptables -A INPUT -p tcp --dport 80 -m connlimit --connlimit-above 32 -j DROP

iptables -A INPUT -p tcp --dport 80 -j ACCEPT

iptables -A INPUT -p tcp --dport 443 -m connlimit --connlimit-above 32 -j DROP

iptables -A INPUT -p tcp --dport 443 -j ACCEPT

iptables -A INPUT -p udp --dport 53 -m connlimit --connlimit-above 32 -j DROP

iptables -A INPUT -p udp --dport 53 -j ACCEPT

Понял. Вообще странно что такие сервисы существуют. Ведь они должны нарушать закон. Это тоже самое заказать дебош в магазин, или в офис. Хоспади спаси и сохрани.

---------- Добавлено 21.03.2020 в 10:14 ----------

Да как мы выяснили разницы что ип в блоке что не в блоке нет. Запрос в любом случае засоряет канал. Даже если в блоке, входящий тарфик идёт к серверу. Исходящий уже нет но толку если входящий забит.

Тут нужно чтобы трафик вообще не поступал при блоке, но такое невозможно.

---------- Добавлено 21.03.2020 в 10:19 ----------

Если так подумать. Сети очень уязвимая среда. Даже при блоке, можно биться и вредить равносильно без блока. Очень странно. Здесь скорее всего блок ип нужен чтобы сохранить ресурсы сервера. А вот как защитить канал без посторонней помощи, таких инструкций нет. И очень жаль.

SocFishing, Ты откуда такой взялся? Матчасть иди изучай, неуч. Нихрена ты не заблокируешь, когда к тебе сыплется трафик больше чем у тебя каналов. А если при этом ещё и маленький пейлоад - тебя в нуллраут сам ДЦ уведёт, так как маршрутизаторы будут охреневать. Нашёлся умный.

lonelywoolf, Ты откуда такой взялся? Матчасть иди изучай, неуч. Вопрос про игровой сайтик или про энтерпрайз какой-то. Автор точно высказал свою идею, а ты про забивание канала. Поможет ли реализация такой идеи - да, поможет. От школоты отбиться поможет.

Лелуш Ламперуж, одно дело, когда забивается канал запросами, а другое дело, когда сайт падает от 500 асинхронных запросов к части, где делается запрос к базе данных. Это может делаться всего одной машиной. В большинстве случаев атаки не носят характер забить канал, а пробивают по уязвимым программным частям. Спор бессмысленный. Из говна и веток не создать само собой защиты на переполнение канала. Нужна инфраструктура.

Если надо держать нормальную нагрузку, то AWS Shield + Elastic Load Balancing. Например.

У меня падает только из за канала т.к. просто забивается 100мб и всё. Ресурсов хватает, это не проблема. Так то я сам ранее блокировал ип с которых много запросов, помогало. Но сейчас даже на ссш не могу попасть. Не думаю что такой способ блока ип разгрузит канал.

Чукча не читатель, да. ВОт противно, до чего народ деградировать начал.

Поможет. Я когда-то сделал уберзащиту для игрового сервиса MOBA буквально за копейки:

Когда начинается сессия то сервер стартует на споте (временный облачный сервер с ограниченным сроком жизни) на рандомном IP. Именно после старта этот IP и передается в игровой клиент.

Таким образом задосить можно только тот сервер на котором будет играть сам атакующий, что совершенно глупо - сессий тысячи и спотов тоже, а в середину сессии нельзя попасть левому игроку без матчинга.

Так что если хорошенько подумать - то дешевое решение всегда найдется.

Я бы например просто сделал какой-то VPN на сервере с шаренным доступом и в игровой сессии через бота сообщал типа:

"С понедельника весь игровой трафик идет через наш VPN, по таким-то доступам"

Andreyka, Да, только не в его случае. Там весь бюджет около $ 50 на всё про всё. Так что ой. От $ 200 я бы уже подумал.

Я не понимаю, откуда данный человек берет какие-то цифры. С потолка. Специально перечитал все сообщения от ТС, сумм не увидел. Человек явно пишет, что ему нужна защита от школьников.

А его склоняют к каким-то забивкам канала и прочей ерундистике. Забить канал стоить денег, если запросы будут долбиться в фаервол. И школота игровая вряд ли будет иметь долгий интерес к этой теме.

Автор, вы случайно не бараторч. А то что-то сервера периодически падают ;)

Вы написали про TCP, как вариант - подъем своего рода прокси машин, на которых iptables POSTROUTING перенаправление с TCP игровых портов уже на основные сервера. Подключение в игре пойдут на эти самые "прокси" и весь удар. Я бы рекомендовал сайт и прочее вынести на отдельную VPS, может по сайту хлопают у вас в большей степени.

Ну и само собой, задать лимиты подключений с одного IP адреса на определенные порты. Выше пример скинул. Не думаю, что там у школьников много уникальных IP адресов. Желательно логи писать с каких IP идет нагрузка и смотреть что это такое. Можно абузы покидать, чтобы исключили эти тестилки и прочие ресурсы ваши IP с атак.