Защита от DDOS - всего 2 строки

Именно!

Нужна не только проверка на флаги - нужно полное отслеживание и копирование tcp-сессии. Из-за чего начнет нагибаться ip-стек из-за забитых таблиц коннектов, не перестанет расти число потоков апача - им все так же придется запускаться на каждый входящий коннект, сходу удвоится количество открытых сокетов - которых вобщем-то тоже не бесконечное количество.

Да вообще копеечная нагрузка. Только железяка будет стоить порядка 100к евро.

моя думал, идея в том, что вся эта "защита" со string - крутилась на

обычном выделенном сервере :(

в общем, автору незачет. пока не объяснит принцип работы

второй строки. и сколько дополнительных строк (напр, правил iptables) для этого

использовалось :D

Первая строка была

iptables -I INPUT -m state --state ESTABLISHED -j ACCEPT. самый обычный способ ускорения iptables. Ускорения, я говорю. Даже с учетом того что трекер соединений жрет память.

Тотя те кого пугает 20мбит, наверное об этом не слышали.

а с --state NEW, например, что предлагается делать?

хорошо, а как насчет пакетов с данными, где нужного http-хидера - нет?

сумеете обойти это еще в одну строку?

пугают не 20мбит, а идея сканирования на вхождение строки у _каждого_ входящего

TCP пакета с данными.

Ну может и в 3-4 строки весь комплекс правил был бы. Если Андрейка не приукрасил провокационными заявлениями, то это не Андрейка :)

Да даже если и сканирует каждый пакет - ничего страшного не будет. сервер это ж не циска какая-нибудь с i960 на 100 mhz

у вас поиск строки как раз в ESTABLISHED должен происходить :D Так доускоряетесь, nginx с

апачем за файерволом помрут.

тут недавно пробегало предположение, что под его ником минимум

двое постят.

тем не менее, даже в 3-4 строки это не решить: залез HTTP запрос

в TCP пакет вместе с хидерами - хорошо. Нет - его зарезали.

а вы пробовали?

Ну и пусть зарезали. Лес рубят - щепки летят. И ДДос не вечен.

Нет, я не пробовал string . А вы? Вы уже знали в то время про -m state ? попробовали с ним?

Ага. Пользователь включил поддержку кукисов - а его все-равно 50/50 банят. Нафиг

такую "защиту" - проще уж --dport 80 -j DROP

Чтобы решение со string было хоть чуть рабочим - как минимум, HTTP-запросы

небольшими должны быть. POST, HTTP keepalive, да и простые GET - будут резаться.

string пробовал (не для защиты от ddos, но объем фильтруемого трафика

был сопоставим), потому и не верю в такой способ защиты на 20Mbps

проще в nginx проверять кукисы - а потом банить ipset. 20Mbps - вовсе не проблема,

скрытых граблей нет.

-m state тут совершенно непричем - необходимость фильтрации пакетов в

ESTABLISHED для 80-го порта это не отменяет :) Просто -j ACCEPT для них - нельзя, Вам

понятно почему?

Да чтото я не очень думал.

Давайте вернемся назад :

iptables -t nat -A PREROUTING -p tcp --dport 80 -m string --string "this-is-not-bot" --algo kmp -j REDIRECT --to-ports 8080

Если строка вообще была одна, что здесь не так? Учтите, что после однократного срабатывания -j REDIRECT, все остальные пакеты соединения будут перенаправляться на порт 8080, хотите вы этого или нет.

Может, по задумке команда была одна, но вылезла на вторую строчку ?

шутите? пришел пакет с syn, там строки нет - мы на него забили?