Про ddos

НСы не причем. Если не валят их специально, то с ними ничего не приключится. И по ним определить ДДОС довольно трудно, хотя и можно.

Сколько бы ни было ботов им придется зайти на сайт намного больше одного раза. А к НСам они обратятся один раз и сутки больше к ним обращаться не будут.

ДДОС бывает разный. Можно pps'ами валить, а можно канал перегрузить, а еще лучше дыры в системе и ПО найти.

НСы не причем.

а ну да...

ясно, так оно в принципе и должно было быть, просто смутил совет определять сайт на который идет атака по большому числу обращений к днс

получается, что даже если изменить ип адрес домена то сервер еще некоторое время будут ддосит

а вот если клиент попался сильно "умный" и у регистратора домена указал нейм сервера не хостера, а какие-то другие (самого регистратора или какие-либо еще, например того же яндекса) что тогда делать хостеру??? ведь даже если удалить этот домен с сервера то все равно на то чтобы вернуть 404 будут тратится ресурсы и при большом количестве ботов ресурсы сервера могут исчерпаться

Первоисточник для обнаружения HTTP флуда это анализ запросов к вебсерверу.

Проще всего это посмотреть в логах access.log вебсервера и в команде netstat.

Детали можно посомтреть в tcpdump

Способы защиты такие.

1) Поставить фронтэндом nginx и задать в нем лимиты на количество запросов и коннектов с одного IP к динамическим файлам. Заметьте именно к динамическим, а не статическим. Так как статика может запрашиваться пользователями раз в 10-30 чаще.

2) Иногда полезно создать ограничевающее правила в iptables. Хотя часто это не дает многим движкам нормально работать. Нужно настраивать параметры под каждый движек сайта.

iptables -I INPUT -p tcp --syn --dport 80 -m connlimit --connlimit-above 20 --connlimit-mask 24 -j DROP

iptables -I INPUT -p tcp --syn --dport 80 -m hashlimit --hashlimit-above 1/second --hashlimit-burst 20 --hashlimit-mode srcip --hashlimit-srcmask 24 --hashlimit-name blip -j DROP

можно TCP/IP стек подкорректировать

net.ipv4.tcp_max_syn_backlog = 4096

net.ipv4.tcp_syncookies=1

net.ipv4.tcp_synack_retries=1

net.ipv4.tcp_keepalive_time=60

net.ipv4.tcp_keepalive_intvl=10

net.ipv4.tcp_keepalive_probes=2

net.ipv4.tcp_fin_timeout=15

Самый эффективный способ от HTTP-флуда, это обнаружить атакующие IP и занести их в фаервол.

iptables –A ban –s 11.22.33.44 –j DROP

Это позволяет отбить HTTP флуд с ботнета примерно до 10к ботов или до величины канала.

Не всегда софтверные методы помогают уйти от Ддоса, даже на самом крутом дедике. Сама софтверная защита может создавать нагрузку. Анализ логов nginx при атаке потребляет много ЦП и ОЗУ.

Идеальное решение - проксирование.

Проксирование ведь тоже можно делать софтовыми методами.

Берется один или несколько выделенных серверов специально для фильрации трафика и проксирования его на сервер с сайтом.

Купить выделенный сервер для фильтрации стоит дешевле, чем специализированное антиддос железо (цена которого доходит до 1,5 миллиона рублей)

Ну конечно дешевле... Но какой ДЦ тебе отдаст такой сервер который будет всегда под ДДосом с каналом 100Мбит или 1Гбит?

меня смутили вот такая статья http://wiki.keyweb.ru/index.php?_m=knowledgebase&_a=printable&kbarticleid=213

в частности

далее в статье идет речь про установку А записи домена в 127.0.0.1 и там уже правильно говорится, что запись должна разойтись. Но так как читал давно, в голове засела мысль Это запретит преобразование домена, и боты не смогут получить IP домена-жертвы. Но это не спасет от тех ботов, у которых закешировался IP, они все равно будут продолжать атаку, поэтому данный совет не совсем корректен, и именно это меня интересовало. Теперь все стало понятно, поэтому тему можно закрыть, всем спасибо.

kabayashi, например те, на которых размещаются сейчас сервера антиддос-контор. Проще говоря, все, у которые предоставляют каналы большие с учетом трафика или без учета но по "хорошей" стоимости.