- Поисковые системы
- Практика оптимизации
- Трафик для сайтов
- Монетизация сайтов
- Сайтостроение
- Социальный Маркетинг
- Общение профессионалов
- Биржа и продажа
- Финансовые объявления
- Работа на постоянной основе
- Сайты - покупка, продажа
- Соцсети: страницы, группы, приложения
- Сайты без доменов
- Трафик, тизерная и баннерная реклама
- Продажа, оценка, регистрация доменов
- Ссылки - обмен, покупка, продажа
- Программы и скрипты
- Размещение статей
- Инфопродукты
- Прочие цифровые товары
- Работа и услуги для вебмастера
- Оптимизация, продвижение и аудит
- Ведение рекламных кампаний
- Услуги в области SMM
- Программирование
- Администрирование серверов и сайтов
- Прокси, ВПН, анонимайзеры, IP
- Платное обучение, вебинары
- Регистрация в каталогах
- Копирайтинг, переводы
- Дизайн
- Usability: консультации и аудит
- Изготовление сайтов
- Наполнение сайтов
- Прочие услуги
- Не про работу
Все что нужно знать о DDоS-атаках грамотному менеджеру
И как реагировать на "пожар", когда неизвестно, где хранятся "огнетушители
Антон Никонов
В 2023 году Google заблокировал более 170 млн фальшивых отзывов на Картах
Это на 45% больше, чем в 2022 году
Оксана Мамчуева
Авторизуйтесь или зарегистрируйтесь, чтобы оставить комментарий
Привет.
Существует сервер, на котором установлен CentOS + Xen (все самое распоследнее, gitco сборка).
Сервер является маршрутизатором для Xen DomU, то есть для всех VPS - ip адрес Dom0 - дефолтный гейтвей.
Скажем, что адрес сервера 172.0.0.1, за ним сидят клиенты 172.0.0.100-120
Для клиентов default gateway - 172.0.0.1, соответственно извне трафик до них идет также через 172.0.0.1
IP адреса - все публичные.
Проблема в том, что иногда IP адреса VPS-ок слегка ddos-ят и иногда на самих VPS-ках запускают всякую гадость типа торрент-клиентов.
В таком случае частенько бывает, что сервер целиком уходит в полный завис.
На графике трафика это выглядит вот так:
Если iptables FORWARD цепочкой запретить роутинг на проблемный IP - сервер живет под атакой (как входящей так и гадскими действиями внутри VPS).
Собственно, вопрос - как бы так придумать-сделать, чтобы в случае атаки на IP VPS-ки или гадских действиях на самой VPS (торренты, флуд) IP адрес нуллроутился или хотя бы ограничивались количество соединений-пробросов до этого IP.
Хорошее решение готов оплатить.
Цена вопроса?
Andreyka, назначайте цену в личку с указанием общего смысла того, что можете предложить.
Вопрос остается в силе, жду предложений. Главное - исключить зависы сервера (а он уходит в полный down, не реагирует даже на консоль) из-за сетевых действий.
Обратитесь когда будет якобы атака, надо посмотреть,это бесплатно
madoff,
Обращаться когда будет атака бесполезно - в течение 5 минут сервер уходит в завис.
После перезагрузки (и если сразу выключить роутинг, дропать весь FORWARD) по косвенным признакам (iptraf, куча маленьких пакетов на адрес/с адреса) можно понять, на какой адрес сыпется трафик и запретить роутинг до него через iptables FORWARD
Мне нужны превентивные меры, чтобы сервер не уходил в завис.
Вот примеры
0 0 DROP all -- * * 172.0.0.100 0.0.0.0/0
89M 4311M DROP all -- * * 0.0.0.0/0 172.0.0.100
Видно, что налетело 89М пакетов.
Или вот еще на сервере другом:
DROP 4362K packets, 233M bytes
через 5 секунд
DROP 4364K packets, 233M bytes
У меня крутятся мысли насчет отслеживания /proc/net/ip_conntrack и если там становится вдруг много соединений (скажем, 10к, при том, что обычно 1000-3000), то анализировать на какой адрес множественные соединения.
Пока настройки такие:
net.ipv4.ip_conntrack_max=65536
net.ipv4.netfilter.ip_conntrack_tcp_timeout_close = 30
net.ipv4.netfilter.ip_conntrack_tcp_timeout_time_wait = 30
net.ipv4.netfilter.ip_conntrack_tcp_timeout_last_ack = 120
net.ipv4.netfilter.ip_conntrack_tcp_timeout_close_wait = 30
net.ipv4.netfilter.ip_conntrack_tcp_timeout_fin_wait = 60
net.ipv4.netfilter.ip_conntrack_tcp_timeout_established = 30
net.ipv4.netfilter.ip_conntrack_tcp_timeout_syn_recv = 30
net.ipv4.netfilter.ip_conntrack_tcp_timeout_syn_sent = 30
Moskovitter,
А почему у вас сервер виснет? Вам явно не нуллраут надо, а выяснять причину. Чего ему не нравится? Дешевые SATA а атакуемый VDS уходит в своп? Кончается память на самой ноде? м? /var/log/messages смотрите. Моему серверу пофиг, что на какую-то ВДС дадут много трафа. Я тока на бабки попадаю, самому серверу нихрена не будет.
А вот в том-то и дело, что НИФИГА непонятно, с чего сервер в даун уходит.
В dmesg, /var/log/messages - ничего. По IPKVM в консоль смотришь - чОрный экран.
Правильно. Пробелл то нажмите... Или ентер. Не "заставка" случаем? Или сгенерируйте на него трафик, да посмотрите. Боюсь, там хардварная проблема.
Raistlin, ну уж совсем очевидные вещи-то не предлагайте. Естественно, что в консоль и тыкали и CTRL+ALT+DEL отправляли.
Тогда направляем на сервер трафик... И смотрим на его реакцию. Сервер должен в консоль что-то написать прежде чем потухнуть.