- Поисковые системы
- Практика оптимизации
- Трафик для сайтов
- Монетизация сайтов
- Сайтостроение
- Социальный Маркетинг
- Общение профессионалов
- Биржа и продажа
- Финансовые объявления
- Работа на постоянной основе
- Сайты - покупка, продажа
- Соцсети: страницы, группы, приложения
- Сайты без доменов
- Трафик, тизерная и баннерная реклама
- Продажа, оценка, регистрация доменов
- Ссылки - обмен, покупка, продажа
- Программы и скрипты
- Размещение статей
- Инфопродукты
- Прочие цифровые товары
- Работа и услуги для вебмастера
- Оптимизация, продвижение и аудит
- Ведение рекламных кампаний
- Услуги в области SMM
- Программирование
- Администрирование серверов и сайтов
- Прокси, ВПН, анонимайзеры, IP
- Платное обучение, вебинары
- Регистрация в каталогах
- Копирайтинг, переводы
- Дизайн
- Usability: консультации и аудит
- Изготовление сайтов
- Наполнение сайтов
- Прочие услуги
- Не про работу
Что делать, если ваша email-рассылка попала в спам
10 распространенных причин и решений
Екатерина Ткаченко
Авторизуйтесь или зарегистрируйтесь, чтобы оставить комментарий
Имеется VPS(2GB оперативы, Hetzner) с Ubuntu,lighttpd,mysql,php и парочкой сайтов с общим онлайном до 5к уников в сутки.
Решил набросать примитивную защиту от DDOS на уровне iptables. И задумался, а не попадут ли у меня поисковые роботы под эти ограничения? Кто-нибудь может сказать насколько активно они индексируют сайт? Может и по самим настройкам, что подскажите? Спасибо.
Эта защита от DDOS не поможет, разве что от школьного флуда, когда всем классом заходят на сайт и жмут F5
Эта защита от DDOS не поможет, разве что от школьного флуда, когда всем классом заходят на сайт и жмут F5
На большее и не рассчитываю, хотя бы от F5 и siege http://host.com -c 300 защититься бы пока:)
Я в больше степени переживаю не забанятся ли у меня поисковики таким образом.
Правил, которые ограничат работу поисковиков я здесь не вижу.
Но и полезность многих ваших правил сомнительна.
Например, не ясна цель
iptables -A INPUT -i eth0 -p tcp --sport 22 -j ACCEPT
Это правило при ддосе переполнит системный лог, если начнет срабатывать.
iptables -A INPUT -p tcp --dport 80 -m connlimit --connlimit-above 85 -j LOG --log-prefix "WWW: "
к тому же 85 слишком высокое значение для ограничения ддоса, лучше поставить около 30.
Не ясно зачем вы заносите правила в цепочку FORWARD
iptables -t filter -A FORWARD -p icmp -m limit --limit 250/sec --limit-burst 500 -j QUEUE
iptables -t filter -A FORWARD -p icmp -j DROP
По моему опыту намного лучшие результаты для программной защиты от ддос дает, если обнаружить IP ботов в логах и в netstat и забанить флудящие IP занеся их все в отдельную цепочку iptables. Атаку до 500-1000 ботов таким способом вполне можно отбить.
Например, не ясна цель
iptables -A INPUT -i eth0 -p tcp --sport 22 -j ACCEPT
Сам сижу по SSH, чтобы не закрыть себе доступ прописал это правило, разве не так нужно?:)
Это правило при ддосе переполнит системный лог, если начнет срабатывать.
iptables -A INPUT -p tcp --dport 80 -m connlimit --connlimit-above 85 -j LOG --log-prefix "WWW: "
к тому же 85 слишком высокое значение для ограничения ддоса, лучше поставить около 30.
Сейчас включено, чтобы тестить, что запросы действительно блокируются. Да и на логротатор надеюсь. А 30 не мало будет? Боюсь, что поисковые боты могут сразу много сессий открывать или люди, которые сидят за NAT.
iptables -t filter -A FORWARD -p icmp -m limit --limit 250/sec --limit-burst 500 -j QUEUE
iptables -t filter -A FORWARD -p icmp -j DROP
А как бы вы посоветовали поступить в этом случае?
По моему опыту намного лучшие результаты для программной защиты от ддос дает, если обнаружить IP ботов в логах и в netstat и забанить флудящие IP занеся их все в отдельную цепочку iptables. Атаку до 500-1000 ботов таким способом вполне можно отбить.
Ну мониторить логи тоже планировал? А нет ли какой утилиты для "детектирования" ддосеров по логам?
На самом деле хотелось защититься хотя бы от банального siege с одной машины. А то сам проводил исследование у себя в области - 80% крупных порталов не выдержали и 1 минуты запросов siege host -c 300 -b с VPS в Германии на 100Мб
Для открытия доступа по SSH это правило
iptables -A INPUT -i eth0 -p tcp --sport 22 -j ACCEPT
не подойдет
Его нужно изменить на
iptables -A INPUT -i eth0 -p tcp --dport 22 -j ACCEPT
22 - это порт назначения у входящих на сервер SSH пакетов, а не источника.
---------- Добавлено 28.03.2012 в 18:29 ----------
Цепочка FORWARD используется для фильтрации транцитного трафика. Его вообще можно полностью запретить
echo '0' >/proc/sys/net/ipv4/ip_forward
смысла заносить что то в цепочку
iptables -t filter -A FORWARD
я не вижу.
---------- Добавлено 28.03.2012 в 18:40 ----------
А нет ли какой утилиты для "детектирования" ддосеров по логам?
Готовых утилит для мониторинга логов есть много.
Это различные скрипты на shell.
Правда в большинстве случаев они дают много ложных срабатываний и против ддоса от них мало пользы, что бы они стали эффективными их нужно очень основательно доводить до ума.
Спасибо, поправил.
Есть еще что-то, что нужно добавить, на Ваш взгляд?