Как защитить свой сервер или сайт от ддос.

если вас ддосят школьники - софтовый фаервол

если это ДДОС - а это дорого - то только аппаратно, что тоже дорого и не часто

так что смысла в теме нет

З.Ы.

для вирт хостингов, ВПСов и тд - такого понятия как ДДОС нет ;) точнее нет смысла с ним бороться

обычно iptables помогает, если конечно вас ддосят не с 10к ботнета

Если весь ddos - это граббинг сайта с 2-3 ip то можно и через .htaccess закрыть :)

Рекомендации для борьбы с ддосом силами самого сервера.

1. Отключаем или закрываем через iptables все порты которые не используются.. Доступ к FTP,SSH, и другим портам, которые обычным пользователям не нужны, должен быть только с IP адреса админа

2. ставим nginx. Настраиваем лимиты на количество коннектов на один IP

3. настраиваем лимиты hashlimit и другие параметры для iptables.

4. отключаем пинг севрера.

5. настраиваем параметры TCP/IP на сервере (уменьшаем время ожидания ответов для TCP/IP)

6. ставим анализатор логов вебсервера и постоянно мониторим логии вебсервера на наличие в них ддос ботов. Найденных ботов заносим в iptables.

7. каждую минуту анализируем выдачу команды netstat. Находим там тех что сделал слишком много коннектов и заносим в iptables

Самый лучший способ отбить ДДОС, это послать его обратно) (с) localhost

Ддосить в ответ - плохая идея.

1) ддосеры не сообщают о своих сайтах (могут специально обмануть, сказав, что это их сайт, а это не их), вы можете не верно определить заказчика ддоса и начать ддосить в отместку невинных людей.

2) Начав ддосить вы сами нарушите закон, и если пострадавшим удастся доказать, что вы их ддосили, то понесете наказание.

3) Если кого то наймете для ддоса – то будете финансировать террористов.

Вариантов борьбы с ддосом - два.

1) потратить несколько месяцев (от 2 до 6) и изучить методы борьбы с ддосом

2) Нанимать спецов или пользоваться антиддос хостингом. платя за это в месяц от 50$ до 500$

Когда меня начали ддосить, то я не мог от этого защититься, так как не было знаний.

Попробовал один не дорогой антиддос хостинг – не помогло.

От ддоса он не защищал.

Потратил 2 месяца на изучения способов защиты и атаки отбил.

Ддос шел с ботнета в 1000-2000 IP

Сейчас подидосят раз в неделю, увидят что толку от ддоса нет и выключают.

zexis, а чем предложите отбивать атаки, которые ставят целью "забить" канал к серверу?

для начала берем канал "потолще"?

потом ставим перед сервером "сервис-роутер", который справится с атакой и отфильтрует ддосеров?

Обратиться к тому у кого берем сервер, чтобы они отфильтровали паразитный трафик.

Начинать фильтрацию нужно с полной блокировки icmp в 90% случаях помогает, не помогло полностью фильтруем udp и организовываем ДНС в другом месте. Если ни то, ни то не помогло, то вся надежда на аплинк, что они смогут отфильтровать паразитный http-трафик

Юзайте Outpost Firewall Pro 2009

Им отбиваюсь всегда... Спокойно отбивает всё... Только настраивать надо а то он любит блочить всё... ( Всё что по левлму идёт ) 😂 Настраивается легко, но лучше просить специалиста, вам настроят 🚬

Каким образом забивают канал?

Приведите пример.

Вычислить IP тех кто забивает канал и занести в iptables.

Если ддос идет на DNS, то можно убрать его со своего сервера и пользоваться DNS на стороне. (например заказать услугу DNS в nic.ru)

zexis добавил 11.01.2010 в 15:48

Если делать фильтрацию http-трафика на стороне – то вы не узнаете сколько нормальных пользователей и поисковых ботов было ошибочно забанено и не попало на ваш сайт.

К сожалению я не знаю по каким алгоритмам работают аппаратные антиддос защиты.

И насколько они точно находят ботов.

Мне как вебмастеру легче найти бота в логах, так как я знаю какие запросы нормальные, на основе логики работы своего сайта.