Помогите грамотно реагировать на ddos

А настоящий - это когда канал по ширине забивается, или когда сетки айпишников побанить нельзя из-за того, что они правилам не поддаются и по сути размазаны по всему миру?

Или что значит "настоящий" по-вашему?

Настоящий начинается тогда, когда от запросов на 80-ый порт не спасает nginx на полную катушку со статикой (over 500k запросов в секунду)

Ну и конечно ip со всего мира, иначе это не ddos а флуд

Вариант с кэшированием мне все-таки видется более полезным при большой посещаемости реальными пользователями, а не борьбы с ddos.

iptables -A INPUT -p tcp --dport 80 -m string --string 'GET / ' --algo bm --from 40 --to 46 -m connlimit --connlimit-above 4 -j DROP

Спасибо, но все же сервер под FreeBSD.

Кусок лога, приведен для одного домена.

В моем случае, да, определение http-flood подходит лучше, но тема создавалась все-таки для получения более широкого круга информации, а http-flood и ddos вроде бы достаточно схожи по реализации все же.

Каковы ваши советы, рекомендации по спасению от настоящего DDoS?

Спасибо, достаточно любопытно - посмотрю внимательнее.

Спасибо

Проницательны :) 200 стало позже.

Спасибо, посмотрю mod_dosevasive, работа в паре с ipfw звучит многообещающе.

Не, жалобу это уж как-то через чур :) и мне не так повезло с провайдером видимо, чтобы кто-то суетился у них с клиентскими проблемами :))

Ну он все же порой умудряется портить стабильный доступ к другим сайтам под тем же httpd :(

В случае серьезного DDOS надо идти к специалистам

По поводу парсинга логов...

Можно сделать так на FreeBSD:

cat НУЖНЫЙСАЙТ.access.log | grep "GET /" | awk '{print $1}' | sort | uniq -c | sort -n | awk '{if ($1>100) print "ipfw add deny tcp from "$2" to me"}' | sh

Эта команда будет банить все ip-адреса, которые более 100 раз запрашивали корень сайта.

Здесь, наверное, опечатка.

Нужно заменить grep "GET /" на grep "GET / ", а то под это условие попадет не только корень сайта.

Я немножко дописал. Получилось что-то типа такого

#!/bin/sh



logname=/home/site/logs/access.log

linesave=.linenumber



line1=$(cat $logname |wc -l)



if [ -f $linesave ];

then

  line0=$(cat $linesave)

  offset=$((line1-line0))

else

  offset=$line1

fi



if [ $line1 -ne $line0 ];

then

  echo $line1 >$linesave

  tail -n $offset $logname | grep "GET / " | awk '{print $1}' | sort | uniq -c | sort -n | awk '{if ($1>100) print "ipfw add deny tcp from "$2" to me"}' | sh

fi

Основное изменение - просмотр только части access.log с последнего запуска. Таким образом, если запускать этот скрипт каждую минуту, то будут блокироваться IP обратившиеся к главной странице 100 раз ({if ($1>100)) в течении минуты. Механизм блокировки основан на командах Himiko.

Пояснения к коду.

Обрабатываемый лог указывается в переменной logname. В коде это /home/site/logs/access.log. Файл .linenumber используется для сохранения номера последней строки со времени последнего запуска. Если используется ротация логов, то .linenumber нужно удалять.

Art569, на самом деле была опечатка, спасибо за исправление.

Ну можно было бы заодно выложить данный скрипт, на всеобщее обозрение, думаю многим было бы интересно. :)

вопросик такой вполне серьезный без шуток : у меня нет опыта засовывания сюда (без таблицы) тысяч правил ...

насколько оно накладнее чем в таблицу писать и банить по таблице ?

или наоборот менее накладно ?

Если использовать отдельный сервер чисто под фильтрацию - вполне нормальное решение

Для linux есть дешевые модули - ipset, geoip

Одним баном всяких азиатов и арабов снимается очень много проблем ;)