DoS атака с ip spoofing

Ну как же нет смысла, если они созданы с целью снижать негативные эффекты синфлуда и служат для проверки ip? Пока верный cookie не придет, соединение не доходит до nginx.

Если даже нижлежащий уровень не справляется со 100 мбит, то что ж там за сервер ? совсем дохлый? Поэтому некоторые и сомневаются в том, что действительно имеет место syn-флуд.

Все-так попробуйте с провайдером договориться.

Если флуд исходит из вашего же датацентра, то провайдер будет только будет рад найти, заблокировать и присвоить остаток денег. Если из чужого, то какой-то другой провайдер будет рад.

разуй глаза школоло хецнеровское, где я написал что это способ защиты? я лишь имел ввиду что на дедике можно такой траф переварить без какой либо фильтрации на пути до сервера.

В каком месте я вам грубил, вьюнош?

По отсутствию (редкости) ДЦ/провайдеров, которые позволяют в XXI веке подобное безобразие. Я таких придурков давно уже не видел.

Дяди вам советовали синкуки включать - отож...

Просто лог вебсервера покажите, чем продолжать фантазировать о бесконечностях.

Ну, а если действительно син-флуд - см. выше совет андрейки.

По моему здесь как раз syn флуд с поддельными обратными адресами, а не HTTP флуд, так как сервер отвечает пакетами synack

Но в ответ не получает ни ack, ни rst.

87.110.74.127.35758 > 62.76.186.149.http: S 4991762:4991762(0)

62.76.186.149.http > 87.110.74.127.35758: S 2773058894:2773058894(0) ack 4991763

Хотите сказать что синфлуд с подделкой адреса отправителя не возможен?

Я тестировал много раз. syn пакеты с фальшивыми обратными адресами отлично ходят между датацентами.

Похоже, но это совсем небольшой кусок лога. Точно такое же бывает и при приличном HTTP-флуде. Стоит либо посмотреть tcpdump с фильтрующими ключиками, либо лог побольше - либо лог вебсервера (как предлагали).

Только что проверил: самый рядовой провайдер. Не пущает мрась из сети.

Возможно, такое и сейчас встречается - но мне давно не попадалось. А возможно, вы так "тестировали".

Пришло сообщение от саппорта, на самом деле спуфят ip.

Коль уж такое дело, где брать нормальный dedicated server?

Как на счет http://www.uk2.net/dedicated-servers/ с 1Gbit каналом?

тут описание про их firewall

http://www.uk2.net/dedicated-servers/managed-firewall-protection/

ДЦ: KIAEHOUSE

ДЦ: Оверсан-Меркурий

и там и там работает спуфинг (по крайней мере на серверах где стоит cloud-hosting)

Вы читали #3 пост? Я же привел свой sysctl конфиг, и там как-раз таки стоят синкуки. Я о том что никакого эффекта он не дает - что отправляй, что не отправляй - куки уйдут на спуффнутый ip, с которого уже не будет syn запроса.

myhand, ну и что теперь в 21 веке провайдеры перестали жадничать и оптимизировать работу оборудования ? в прошлом году тестировал и обнаружилось, что по некоторым направлениям спуфить все-таки можно. Или можно, но с оговорками. Например, можно изобразить пакеты от соседей в том же датацентре.

Тогда это, прежде всего, проблема дц.

Читал, конечно, но наличие синфлуда из этого не следует. Откуда может следовать - я написал.

Ну, спуф от соседей в ДЦ - это все-таки редкость. Кстати, что и как вы тестировали: между ДЦ, обычные интернет-провайдеры в качестве источника?

myhand, /ru/forum/comment/9329136

а что, собственно говоря, вы ожидали от syn-кук? что атака прекратится магическим образом? син-куки экономят память не запоминая эти левые коннекты, на этом их работа заканчивается. вы их выключите ради эксперимента, посмотрите на расход памяти, заодно узнаете, работают они у вас или нет. если ничего не изменится - значит либо они у вас не работают, либо это действительно не син-спуф.