защита от ддос

Походу таки не успокоились :( за ночь 30 000 000 дропнутых пакетов и еще 2500 IP в блэклисте...

Вчера хотел сделать так, что если мой вебсервер отдал определенное количество раз, скажем 403 то IP идет в бан. Сегодня с утра сообразил как это сделать на одних iptables без дополнительного софта...

Когда меня досили, я перенастроил logrotate на каждые 5 минут и парсил логи каждые 5 минут на аномальную активность. Всё левое, такое как кривые рефереры, однотипные множественные запросы с одного IP идущие в цикле, запросы с одного IP к разным страницам в течение одной секунды и прочая странная лабуда, после проверки на принадлежность к поисковикам, улетало в ipset. Правда, ipset-ов пришлось два делать, ибо за сутки побанилось около 75к зомби :D.

Основная масса отвалилась уже в первый час, а остальные ещё неделю где-то прибивались.

Если досят по хтмл и знаешь, как работает твой движок, такой парсер на коленках на пхп за 10 минут пишется.

А вот когда мне днс-ы начали валить каким-то аццким флудом, тут уж пришлось во всякие tcpdump-ы впервые в жизни лезть. Но и там, какбе, в течение часа разобрался и снова - крон -> пхп -> ipset -> давайдосвиданья :D

Любые ковырялки с nginx при Syn-flood'е или смешанной атаке - бесполезны!

Надо использовать все возможные методы

1) nginx

2) против синфлуда включить синкуки

3) настройка параметров tcp/ip

4) правила iptables

Хотя по моему опыту 95% атак это только HTTP флуд. И самое эффективное для его обнаружение анализ логов nginx.

Все методы, или хотя бы один из них, тот же анализ логов nginx займет дополнительный ресурс VDS'а. Нормальный провайдер залочит IP сервера в то время пока вы занимаетесь подбором более бюджетного варианта.

Если хотите хоть как то защитится, то пользуйтесь проксированием (без переноса сайтов). По цене ~ 4-5к руб/мес.

Настройка Iptables может помочь только от школоддоса.

Серьезные атаки бывают не часто.

Если атаку можно отбить настройкой сервера, какой смысл платить за проксирование?

К тому же проксирование замедляет доступ к серверу.

По моему опыту настройкой сервера можно отбивать атаки:

На ВПС до 400 одновременно атакующих ботов.

На выделенном сервере до 1500 одновременно атакующих ботов.

Это около 80% атак.

Провайдер залочит только при синфлуде, и только ненормальный провайдер. Нормальный сам отобьет :)

---------- Добавлено 09.10.2012 в 12:08 ----------

Так 95% ддоса и есть школоддос.

Solmyr

Не буду спорить.

zexis

Вам виднее. Если работа сайта ставиться в приоритет бизнесу, то я бы не стал заморачиваться с постоянной головной болью мониторинга этого VDS или дедика в плане нагрузок, атак и пр. Атаки бывают разные, какая та из них положит Ваш сервер, а вы понесете убыток. Проксирование, в моем случае ничуть не повлияло на индексацию ПС или "открытию" сайта. В 21 веке уже живем. Мерить пинги до ресурса - старое дело.

нормальный отправит ip в null route в случае угрозы для ост клиентов.