Форум Сайтостроение Администрирование серверов

Помогите избавиться от ддос

Q
На сайте с 01.04.2006
Offline
143
querty
1599

Подскажите, пожалуйста, как защитится от ддос атаки (стоит nginx+apache на Ubuntu). Какими средставми блокировать, как читать логи и чем анализировать?

мощность атаки: 

Sum 21.029 flows/300s (70 flows/s), 21.431.000 packets/300s (71.436 packets/s), 0,798 GByte/300s (21 MBit/s)

External 133.9.85.26, 2 flows/300s (0 flows/s), 2.000 packets/300s (6 packets/s), 0,000 GByte/300s (0 MBit/s)

External 77.76.73.10, 2 flows/300s (0 flows/s), 2.000 packets/300s (6 packets/s), 0,000 GByte/300s (0 MBit/s)

.........

Спамные запросы в основном такого плана 

1.64.225.210 - - [06/Jan/2013:18:06:42 +0400] "POST / HTTP/1.0" 504 182 "k03m25188.ru" "Mozilla/5.0 (compatible; MojeekBot/2.0; http://www.45122a254m.com/bot.html)"

1.64.225.210 - - [06/Jan/2013:18:06:43 +0400] "POST / HTTP/1.0" 200 73252 "3vl879f2me.info" "Mozilla/5.0 (compatible; Pogodak.hr/3.1)"

1.64.225.210 - - [06/Jan/2013:18:06:43 +0400] "POST / HTTP/1.0" 200 73257 "4c67n3hukv.com" "Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 6.1; Trident/4.0; SLCC2; .NET CLR 2.0.50727; .NET CLR 3.5.30729; .NET CLR 3.0.30729; Media Center PC 6.0; Tablet PC 2.0)"

1.64.225.210 - - [06/Jan/2013:18:06:43 +0400] "POST / HTTP/1.0" 200 73259 "e0tjhr.info" "Mozilla/4.5 [en]C-CCK-MCD {RuralNet} (Win98; I)"

1.64.225.210 - - [06/Jan/2013:18:06:43 +0400] "POST / HTTP/1.0" 200 73305 "phz2otc66vjek.info" "Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 6.0)"

1.64.225.210 - - [06/Jan/2013:18:06:44 +0400] "POST / HTTP/1.0" 200 73223 "2osqbdw8v945.info" "Mozilla/4.0 (compatible; Vagabondo/4.0Beta; webcrawler at wise-guys dot nl; http://d19ou.wise-guys.nl/)"

1.64.225.210 - - [06/Jan/2013:18:06:44 +0400] "POST / HTTP/1.0" 200 73223 "e1bpind7054b.biz" "Mozilla/4.0 (compatible; MSIE 6.0; MSIE 5.5; Windows NT 5.1) Skampy/0.9.x [en]"

1.64.225.210 - - [06/Jan/2013:18:06:45 +0400] "POST / HTTP/1.0" 502 172 "60cn0u9jyiyylc.com" "Mozilla/4.08 [en] (WinNT; U)"

1.64.225.210 - - [06/Jan/2013:18:06:45 +0400] "POST / HTTP/1.0" 504 182 "1iv6oe98v2.biz" "Mozilla/5.0 (X11; U; Linux i686; en-GB; rv:1.7.6) Gecko/20050405 Epiphany/1.6.1 (Ubuntu) (Ubuntu package 1.0.2)"

1.64.225.210 - - [06/Jan/2013:18:06:48 +0400] "POST / HTTP/1.0" 200 73311 "5r98e0ba.biz" "Mozilla/4.0 (compatible; MSIE 5.0; www.galaxy.com; www.5ke7b359sox.com/; http://www.p57rp779.com/info/crawler.html)"

1.64.225.210 - - [06/Jan/2013:18:06:48 +0400] "POST / HTTP/1.0" 200 73336 "580885.com" "Mozilla/5.0 (X11; U; Linux i686; en-US; rv:1.8.1.1) Gecko/20061205 Iceweasel/2.0.0.1 (Debian-2.0.0.1+dfsg-2)"

1.64.225.210 - - [06/Jan/2013:18:06:48 +0400] "POST / HTTP/1.0" 504 182 "t8omwqt.net" "Mozilla/5.0 (compatible; Scrubby/2.2; http://www.8728e1.com/)"

1.64.225.210 - - [06/Jan/2013:18:06:49 +0400] "POST / HTTP/1.0" 504 182 "fx47ef.com" "Mozilla/3.0 (compatible; oh44papww73.com/2.56)"

1.64.225.210 - - [06/Jan/2013:18:06:51 +0400] "POST / HTTP/1.0" 200 73220 "922n0a4301.ru" "Mozilla/5.0 (compatible; heritrix/1.7.0 +http://www.6ln3n287r86yb.com/)"
zexis
На сайте с 09.08.2005
Offline
388
zexis
#1

Забанить ботов вручную.

iptables –A INPUT –s 1.64.225.210 –j DROP

Обратиться ко мне. Настрою программный анализ логов, при котором боты будут баниться автоматически. ICQ#: 1699три8679

WD
На сайте с 07.01.2013
Offline
1
WebDefer935
#2

zexis, Привет нужна грамотная настройка ВДС !Цена?

Evas EvaSystems
На сайте с 31.05.2012
Offline
116
Evas EvaSystems
#3

Здравствуйте. Как вариант - вам необходимо отсекать запросы версии 1.0.

А так, вам необходимо корректно настроить nginx, а также правила iptables.

Атака довольно слабая и всё это можно заблокировать без каких либо усилий.

Могу помочь с этим

Системный администратор Linux. Настройка, сопровождение и оптимизация серверов. Отзывы - searchengines.guru/ru/forum/1017473
Search Console начал оповещать WordPress хочет помочь сайтам Переезд с HTTP на
Den73
На сайте с 26.06.2010
Offline
523
Den73
#4

60cn0u9jyiyylc

это не ддос) это лочится несколькими строчками в конфиге.

Andreyka
На сайте с 19.02.2005
Offline
822
Andreyka
#5

Временно отрубить post через nginx?

Не стоит плодить сущности без необходимости
Den73
На сайте с 26.06.2010
Offline
523
Den73
#6
Andreyka:
Временно отрубить post через nginx?

http://linuxguru.ru/zashhita-ot-ddos/zashhita-ot-ddos-v-nginx-ot-tupyx-botov-s-krivym-referer/

M
На сайте с 24.10.2011
Offline
173
michaek
#7

Den73, какой кошмар там написан

if ($http_referer !~ ^(-$|http))
{  return 503;   }
Den73
На сайте с 26.06.2010
Offline
523
Den73
#8
michaek:
Den73, какой кошмар там написан
if ($http_referer !~ ^(-$|http))
{  return 503;   }

не должно работать по вашему, точно уже не вспомню в чем у мя была проблема но пустой реферер это не -

M
На сайте с 24.10.2011
Offline
173
michaek
#9

Den73, писал по памяти, посмотрел, у меня конструкция вот такая

if ($http_referer !~ ^(-|http|$))
Den73
На сайте с 26.06.2010
Offline
523
Den73
#10
michaek:
Den73, писал по памяти, посмотрел, у меня конструкция вот такая
if ($http_referer !~ ^(-|http|$))

ну я так тоже делал сперва, потом проблема вылезла, позже тогда проверю отпишу.

Авторизуйтесь или зарегистрируйтесь, чтобы оставить комментарий