ЗаDDoSили... Что теперь ждать от Яндекса?

Если сайт будет недоступен, то даже удалять его на надо специально, сам может пропасть из индекса. И вернется сам.. в теории.

Все должно вернуться на исходные позиции.

diafan, действительно, похоже, что выделенный сервер бы не съел. Если у вас есть свой дедикейтед и вы на нем схватите подобный дДос, то пару скриптов в шелле и понимание работы и синтаксиса iptables спасут вас от дДоса до, примерно, 500 единовременных соединений. Судя по логу дДос был отнюдь не увы и ах, у меня некоторые сайты сами по себе логи под гиг в сутки генерят. Если ботнет действительно серьезный и вы получаете более 500 одновременных соединений, парой скриптиков и ручным отстрелом не обойдешься, вы можете просто не "прорваться" в шелл. Тогда нужен либо подобный "Гуард" либо собственный софт, который умеет на лету файрволить часто повторяющиеся определенные запросы.

Не знаю, CISCO или нет, но на Фряхе есть вариант. На общехостерной не пройдет, а на выделенном - прокатит. Его в журнале "Хакер" описывали в прошлом году.

Суть проста: По крону, раз в 5-10 минут парсится ЛОГ. Все IP, с которых идет больше чем N запросов в секунду, заносятся в БлекЛист файрвола на 1-7 суток.

Подробне см. у них на сайте...

Парсить лог раз в несколько минут, это нездоровое решение. Легче обработать результат netstat'а или wget http://localhost/server-status. Хотя тоже дикость, надо сказать.

Все равно, парсить что-то надо, для выявления адресов, с которых ведется атака...

Да и ядро должно быть не на 512, дефолтных коннектов, и KeepAliveTimeout тоже нужно уменьшать. Пайпы тож можно ограничить, на время атаки кил до 128 в сек.

Плюс всякие излишества ;), типа ICMP-трафика тож долой...

Есть над чем думать и что конфигурировать.

Не так все печально, как кажется...

Ну это все как бы само собой разумеется, что по морде грязной тряпкой тому сисадмину, который продакшн систему нормально не засетапит. :)

diafan

Статья назвалась: "Как выжить под dDoS-ом".

Или очень похоже... Сорри.

Полноценная DDOS атака в течении такого длительного времени очень дорогое удовольствие. Полноценной, я считаю атаку, которая производилась с очень большого количества IP различных подсетей.

По затратам может быть дешевле вывести несколько сайтов и выбросить вас из топа. В зависимости от запросов, конечно. Сомневаюсь, что конкурент пошел на такое.

Если количество IP было ограничено несколькими подсетями, то это проблема хостера, что он не может справиться с подобными атаками.

Всё это моё ИМХО.

Если это действительно была Ddos - то нормальный хостер или провайдер должен был отреагировать а течении 3-6 часов и начать фильтровать запросы, одновременно дав вам уведомление о проблемах.

В Вашм случае этого не произошло, соответственно решение - менять хостера.

/Если Ddos хорошо организован, то нужно парсит не IP а способ передачи и параметры пакета. Также имеет смысл учитывать длинну сессии./

PS Сталкивался с таким 3 раза. Выделенный сервер. Своей защиты нет, всегда все делал хозяим площадки.

Ничего страшного не случится. Была подобная ситуация с вылетом сайта. Сайт на протяжении 2,5 месяцев был недоступен. После установки нового сервера, решили всеже восстановить сайт. За это время все ранее проиндексированные страницы исчесли из яши. После восстановления сайта потребовалось 1,5 месяца, чтобы яша проиндексировал все страницы заново. Сайт вернулся на свои позиции.