Борьба с DDos

Юзеры любят заливать по фтп файлы во много коннектов, вот у нас и были проблемы с этим скриптом, банил даже при 150

Поэтому я бы порекомендовал включить на время атаки, а потом из крона убрать команду запуска скрипта.

А может как вариант оставить для выборки netstat только 80 порт (в большинстве случаев те атаки от которых мы спасёмся этим скриптом направлены именно туда) или я не прав?

к стати избавился и от второго недостатка в виде бана подитоживаний netstata изменив основной запрос в скрипте ddos.sh c

netstat -ntu | awk '{print $5}'  | cut -d: -f1 | sort | uniq -c | sort -nr > $BAD_IP_LIST

на такой

netstat -ntu | awk '{print $5}' |grep -oE '[0-9]{1,}\.[0-9]{1,}\.[0-9]{1,}\.[0-9]{1,}' | cut -d: -f1 | sort | uniq -c | sort -nr > $BAD_IP_LIST

ппц какой то))) ***91; это левая квадратная скобка а ***93; правая

Есть полезный прием для анализа netstat.

Начинать его анализ для поиска ботов, только тогда когда суммарное количество коннектов к серверу превысит некоторый лимит. Например 1000. То есть только во время атаки.

Таким образом когда нет ддос атаки никто не банится.

А когда идет сильная ддос атака, , снижать лимиты. (сила атаки определяется по суммарному количеству коннектов).

И на количество коннектов в каждом состоянии иметь свои значение лимитов.

Так как обычные пользователи например редко делают более 20 коннектов в состоянии ESTABLISED, но легитимнй пользователь может иметь более сотни коннектов в состоянии TYME_WAIT.

Но из логов access.log можно более точно получать IP ддос ботов, чем из команды netstat.

Разных ньюансов для анализа access.log очень много.

zexis добавил 10.10.2011 в 01:16

Да, такое бывает, хоть и довольно редко.

Но чаще боты все таки имеют признаки, по которым их можно отличить от пользователей.

1) используют всего несколько вариантов юзерагента или реферрера.

2) Все долбят в одну или несколько страниц сайта.

wget hostace.ru/barf.pl - смотрим исходник, правим под себя и всё. Я уже устал показывать правильное решение. Горе-скрипт DDoS-Deflate в данном случае вообще хрень творит очень много и очень часто. А если вас атакуют совсем уж хитрые боты с нетипичным поведением, или их очень много - пишите, за ваши деньги (вполне разумную сумму) я вам помогу.

Raistlin добавил 10.10.2011 в 08:28

Легитимные пользователи могут сгенерировать на некоторых сайтах до 200-400 коннектов. Бывает и такое. Собственно, вы дефлейтом при отсутствии атаки побаните до 30% нормальных юзеров (в зависимости от сайта).

100% так и происходит, deflate и прочее должны включаться по детектору, который к примеру может быть запись в логе apache о достигнутом лимите соединений "server reached MaxClients setting"

Zaqwr, Я к тому, что дефлейт не эффективен. Как бы это ни звучало смешно, но те атаки уже давно в прошлом, и от этого помогает limitpconn (обычный мордуль апача или nginx). А ботов нужно выявлять по поведению/сигнатурам... Т.е. защита, если она банит вместе с ботами половину посетителей легитимных - ничего не стоит, так как любая атака добивается именно этого. Т.е. фактически, цель атаки достигнута.

Лучше не только ссылку на исходник, но и инструкцию в wiki, там у Вас много интересных материалов :)

под barf нужно доставлять кучу ПО и в том числе csf который сам по себе неплохо справляется с атаками, сильно в нем не разбирался, но при юзании панели ispmanager он банит и меня :( снес да и на этом закончилось.

Возможно сдесь имеет смысл фраза "Вы не умеете его готовить" :)

Ваш системный администратор не в состоянии изменить одну (!) строчку в скрипте? Извините, может быть, вам дешевле его уволить? csf сам по себе с атаками не справляется НИКАК. Я вообще не рекомендую его к использованию без крайней необходимости, лучше воспользоваться для этой цели надстройкой apf (если уж хотите упростить себе жизнь). Просто у меня на сервере стоит csf, но это уже другая история и у меня пока ещё нет возможности от него избавиться.

Ну вот я бы их ещё писал и писал... Если бы было время. Сделаю. Возможно... Спасибо.

После некоторой пляски с бубном вокруг DDoS-Deflate оставил его на ночь, нагрузить сервер атака так и не смогла, утром забанено было примерно 1200 адресов, ну и была пара тикетов от пользователей которые попали под бан, скажем так как самая простая мера выживания в условии атаки (небольшой) этот скрипт имеет право на жизнь, но только не в том состоянии в котором он поставляется, в целом же согласен с утверждением более детального изучения поведения бота, постараюсь используя все приведённые здесь советы собрать более универсальный скрипт который бы мог применять как критические меры (как применённый мною ночью скрипт) так и более разумные с анализом сигнатур , в зависимости от интенсивности атаки.

Всем кто участвовал в обсуждении огромное спасибо, Ваши советы в комплексе оказались довольно эффективными, а главное дали чёткий толчёк к вектору движения для защиты своих серверов от слабых ддос атак.

Если кому то интересен усовершенствованный (громко сказано)))) просто подправленный скрипт DDoS-Deflate я готов поделится, ну а если у кого то есть желание поработать совместно над разработкой более совершенного скрипта для защиты от слабых ддос атак , буду рад поработать в команде.