Прошу совета по настройке apache+nginx при ddos

Вы не указали OS.

ОС Debian.

Вот такие правила фаервола использую для отсечения самых шустрых ботов.

iptables -I INPUT -p tcp --syn --dport 80 -m connlimit --connlimit-above 2 --connlimit-mask 24 -j DROP

iptables -I INPUT -p tcp --syn --dport 80 -m hashlimit --hashlimit-above 30/minute --hashlimit-burst 3 --hashlimit-mode srcip --hashlimit-srcmask 24 --hashlimit-name blip -j DROP

Плюс анализатор находит в логах IP ботов и заносит в фаервол.

Плюс сделал такую штуку.

- Если из какой то сети класса /24 более 10 ботов, банится вся эта подсеть /24.

Потёр извениет за офф топ

Приложения-то хоть теперь ограничили, дабы ресурсы зря не отжирали?

Как часто срабатывают? Интересуют оба правила - можно на их счетчики взглянуть?

Чем бы дитя не тешилось... Лучше б абузы раскидало ;)

 pkts bytes target     prot opt in     out     source               destination

 3895  214K DROP       tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           tcp dpt:80 flags:0x17/0x02 #conn/24 > 2

 934K   46M DROP       tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           tcp dpt:80 flags:0x17/0x02 limit: above 30/min burst 3 mode srcip srcmask 24

Это через 10 секунд после сброса счетчиков iptables -Z

помоему банить всю подсеть С, если из нее больше 10 ботов решение правильное в случае большого ботнета.

Писать абузы по ботнету из которого каждые сутки по 10 000 новых ботов приходит бесполезно.

Мда. И пользователи отечественных провайдеров за NAT - покуда не жалуются? Лично я бы на их месте - попал в первую строчку как минимум.

"Правильное решение" - вообще никого не банить. Увы, доступное немногим смертным.

Все остальные - "неправильные". Т.е. они имеют те или иные потенциальные проблемы. Чем меньше решение вызвано техническими соображениями - тем оно, как правило, хуже.

В чем проблема была банить по IP - или Вы по-прежнему запускаете iptables -s IP -j DROP?

Проще говоря - не писали.

Так по концепции ZeroAdministration их никто и не читает.

Ну разве что на моей памяти у бывшего голдентелекома была служба, которая реагировала на корпоративные IP, не пулы обычных пользователей.

Тем, кому не пофиг что их подсетями будут банить - читают.

Что-то я не припоминаю, чтобы моим знакомым в случае заражения звонил провайдер домашнего интернета и просил почистить компьютер. А вы ?

Исходя из моей личной выборки - пофиг всем. Хостинговые компании еще могут посуетиться, но там питательной среды для ботов нет.

Да, столь низкие лимиты иногда мешали пользователям.

Увеличил разрешенные лимиты.

iptables -I INPUT -p tcp --syn --dport 80 -m connlimit --connlimit-above 8 --connlimit-mask 24 -j DROP

iptables -I INPUT -p tcp --syn --dport 80 -m hashlimit --hashlimit-above 1/second --hashlimit-burst 20 --hashlimit-mode srcip --hashlimit-srcmask 24 --hashlimit-name blip -j DROP

myhand, вы можете настроить защиту, которая не кого не банит и защищает от HTTP флуда в 50 Мбит идущего с 3000 ботов?

zexis добавил 30.11.2011 в 13:54

Помню на дваче некоторые кулхацкеры жаловались, что им провайдер интернет отрубил, после того как они всем форумом ддосили один сайт со своих компов с помощью LOIC.