отфильтровать udp

видел, канал завалили - легло все, но до этого все фильтровало нормально.

я к тому что человек хотя бы знакомый с консолькой немножко за 6 часов настроит защиту от 100мбит флуда без проблем. или вы не согласны и защита от 100мбит хттп стоит 25к ?

не спорю что 100к ботов могут по одному запросу делать в минуту, канал не грузить и сайт будет висеть, но млиать - кто так будет? им проще настроить эти 100к ботов на атаку на полмощности даже и в вас войдет 300мбит, что принесет гораздо большие проблемы. но и ботнеты такие редки... в среднем 80% атакуемых сайтов фигарят <1k ботов, процентов 10-15 от 1к до 10к, и только 5% действительно мощных атак.

поэтому я не вижу смысла тратить деньги в пустую, если 90% атак можно своими силами фильтровать.

Где вы берёте эти мегабиты? :)

Обычный httpd-флуд в виде "GET /stranyca HTTP/1.1" вам даст много трафа даже при большом количестве запросов в секунду?

Я вам реальный пример говорю, что даже близко к 20 мегабитам не было при атаке в более чем 60к ботов флудом.

Смысл атаки заставить сайт не работать. Большое количество ботов проще использовать не разом, чтобы не дать возможность быстро отфильтровать. Можно раскидать 60к на 6 кусков по 10к и делать не более 10 запросов с одного ip. Тогда ваш фильтр даже ничего и не заметит.

ну там мультиатака была, в том числе и http флуд. забанило как раз таки 4к, нагрузки на цп почти не было.

Какая ещё мультиатака? :) Ваш скрипт кроме как от флуда (причём с малого количества ip, т.к. при большом объёме редко с одного адреса больше 20 коннектов) ни от чего не спасёт.

Если только ваш сайт не отвечает ботам гигантскими страницами и не генерирует исходящий траф.

прочтите сообщение мое выше или на предыдущей странице, потом прочтите мою подпись, потом вообще подумайте зачем вы троллите вместо того чтобы работать в дневное время?

мультиатака? это data\udp\http\icmp и т.д.

все кроме http флуда банится вообще элементарно путем грамотной настройки фаера, если конечно речь идет о веб-хостинге, вот когда забьют канал - тогда уже другие проблемы возникают. да что я говорю, я все это писал уже.

или вам надо тупо мои сообщения в одно зацитировать, чтобы мысль предыдущую не забывали😡

Я троллить вас и не собирался.

Мне просто не нравятся люди, которые раз-два в жизни увидели пару атак, но непонятно что из себя строят. Вы выложили скрипт, который поможет только с ограниченными вариантами атак и при этом легко забанит поисковики (20 запросов в минуту - для гугла плёвое дело). Что-то понимать вы особо не пытаетесь и настаиваете на своём. Про какие мегабиты вы здесь говорите, если речь про простейший http-флуд? (входящего трафика будет самый минимум). Всё пишете про "забитый канал", хоть раз при флуде такое видели? (судя по фразе "в среднем 80% атакуемых сайтов фигарят <1k ботов, процентов 10-15 от 1к до 10к, и только 5% действительно мощных атак" - не думаю, что видели серьёзную атаку). Я уже привёл пример, что и при 60к ботов канал даже на треть не забивается.

Когда речь идёт о http-флуде, атаку никто в мегабитах не измеряет. Там есть более "весомые" характеристики атаки, когда вы уже запаритесь на уровне сервера делать блокировки.

Я вам уже несколько раз привёл примеры, почему ваш скрипт малоэффективен и какие проблемы может создать. Вы всё игнорируете и рассуждаете о "мегабитах".

P.S.: По поводу моей работы не переживайте. Мне должность позволяет писать на форуме в рабочее время :)

Ну у меня 152 IP в файрволл влетело сразу же. Нагрузка спала после включения скриптов, после чего еще в течении 3-х минут улетело в файрволл еще 20 штук, с чего сделал вывод, что может отменили и через 3 минуты, а боты реагируют запоздало (это, кстати, не редкость). Скорее всего, одновременно.

Самописный скрипт не пёрле спасет не хуже. У меня подключается при необходимости на конкретный виртуалхост, ибо отдельный лог вести в одно место не считаю правильным, а просто и изящно вопрос еще не решил.

Есть один сайт, довольно крупного заказчика, который пробежал с десяток хостов, прежде чем пришел ко мне - там флуд был подавлен как раз этим скриптом, залетело около 2к ботов. На то, чтобы их отфильтровать понадобилось примерно 7 минут.

Гм. Ну вот тут я бы не стал категорично говорить. Я считаю, что я хорошо готовлю апач, а вы вот так вот бьете по моему самолюбию ^_^. На самом деле, зависит от поставленных задач.

Вот опять же приведу пример. Вы задолбили сайт, который хостится на двухпроцессорном ксеоне. Точнее, не вы, а ваши товарищи. А как вы думаете, почему вы задолбили его? Там очень много сложных скриптов и много работы с БД, просто вы этого не видите. Все 8 ядер были заняты сортировкой информации и нагрузили мускул, который отвалился из-за превышения коннектов. Добавили бы еще столько же - PHP начал бы забивать память. Выросли до 200 одновременных тредов - отваливается апач, чтобы не забить всю память серверу php-скриптами и не уйти в своп.

Почти любой незащищенный сайт можно положить сотней разных запросов с разных IP. так рождаются сказки о диких атаках.... Т.к.хостинги без админов не умеют бороться даже с таким, а хостинги с админами или ленятся или просят денег. У меня есть живой клиент, который как раз к нам пришел после такой ситуации, ему прочили гигабитный канал (ага, он ботам отдавал бы гигабит =).

Вам сказатЬ, почему мы не будем защищать от UDP? От http-флуда - защищаем бесплатно (!). Ну или за 600 рублей можем дописать скрипт, если вдруг боты стали вести себя по-другому (случай был). За 25к - это фильтрация (читаем внимательно!) аппаратная, от 10 Гбит входящего UDP и прикладного флуда. Разницу чувствуете? Вы от 10 Гбит защитите за 25к рублей? Канал дороже обойдется. 10 гигабитный. Если хотите протестировать нас на ддосозащиту - давайте договоримся и протестируемся. Вы валите нас, мы валим вас. Но это так, между нами. Вот меня обидело ваше поведение как ребенка, честно.

Почему-то мне тоже так показалось:)

Где там говорилось про 100 мегабит? Читайте внимательно. 10 гигабит на базе Ростелеком. И UDP и http-флуд - совсем разные вещи. Я не рискну принять на свой сервер хотя бы 200 мегабит UDP на DNS, сказать почему, или сами догадаетесь?

Да-да, истинно так. На фильтрацию атаки нужно время, т.к. нужно изучать нетипичные временные промежутки обращений с одного IP. Фильтрация по числу коннектов часто не спасает, если грамотный ддосер.

Raistlin добавил 27.04.2011 в 15:42

Не скрываю, аж слезки выступили. Хотя вроде 25 лет дураку.

это где в договоре с Ростелекомом пишуть?