ddos,dos для теста нужен клиент.

12
pupseg
На сайте с 14.05.2010
Offline
339
#11

ну меня ддосят уже месяц от 30 до 100мбит (возможности порта). держу без проблем. но ддос тупой. post-запросы во все порты :) и даже в почту с фтп .

Качественная помощь в обслуживании серверов. (/ru/forum/661100) Бесплатных консультаций не даю, не помогаю, не обучаю. Минималка от 100$. Как пропатчить KDE-просьба не спрашивать. Есть форумы (http://linux.org.ru) и полезные сайты (http://www.opennet.ru/).
madoff
На сайте с 01.12.2009
Offline
235
#12
pupseg:
ну меня ддосят уже месяц от 30 до 100мбит (возможности порта). держу без проблем. но ддос тупой. post-запросы во все порты :) и даже в почту с фтп .

А моя тема каким боком к тебе ?, или ты решил понтонутся ? :)

Администратор Linux,Freebsd. (/ru/forum/494299) построения крупных проектов. ICQ#: 241606.
pupseg
На сайте с 14.05.2010
Offline
339
#13

madoff, как каким?!:)

ожидаю просьбы о доступе к ресурсу, что бы попробовать применить свою защиту, итд. может опытом обменяемся.

в моем случае - ничего сверх-гениального, вытащенный фаерволл, sysctl и ipset, +парсинг логов ПО, которое биндит порты, на котороые прет атака. в основном - pop3, smtp,https, http, когда пересаживаю порт апача на другой номер - боты через какое то время находят его, и начинают долбить в этот порт - ну - это как опция ботнета. так же порт фтп - в него льют траф.

решения такие:

пересадил imap - на локалхост. от pop3-отказался. да, bat, outlook не будут работать. только веб-интерфейс.

фтп - кнопка для тех, кому нужно на фтп типа "да, я не бот".

провел инспекцию по всем службам, в паблик-интернет смотрят только те, кому это нужно.

баню ipset'ом логи netstat , nginx , exim'овский main.log и тд, named'овский лог и еще десяток логов.

откровенную шалупу в блэкхол зароутил сразу подсетями стран по совету kxk - типа камбоджи, малайзии , но с вайт-листами, так как есть белые клиенты из китая, дальнего востока, въетнама. за 2 суток набегает 70к ботов.

[root@host3 /]# ipset list | wc -l

19702

[root@host3 /]#

вот сейчас столько штук ботов после ipset flush где то часа три назад.15к ботов приезжает в бан сразу. остальные уже добегают.

в чем заключается твоя защита? может быть опытом поделишься, может я чего подскажу.

ибо вот эту хероту уже, как наступил второй месяц - ощущаю (нормальный трафик для этого проекта - 5-15мбит исходящего трафика, 0.5-1.5мбит - входящего. все белое, пушистое, никому не мешающее):

при как следуюет применянных мерах - все работает. проблем нет.выпаданий - нет, остановок нет. но морально напрягает такая ситуация. из неудобств - поменял очередность загрузки ПО.

PS: упырек-говно-ддосер, тебе адресовано: я уверен, что ты с этого форума, уверен,и даже знаю кто ты, но не в мои задачи входит тебя учить уму разуму. Раз ты продолжаешь докупать ботов на говнофорумах - то даю подсказку - на флуд у тебя денег не хватит.:) более того - я знаю кто ты, и у кого покупаешь ботов.две страны азии тебя выдали:)

PPS: сервер в хецнере, обычный ex4s, без наворотов, 100мбитный порт,centos-6.4, 2.6-кернел. могу авторитетно опровергнуть факт того - что хецнер при малейшем сетевом чехе блочит серверы. это не так.

madoff
На сайте с 01.12.2009
Offline
235
#14
ожидаю просьбы о доступе к ресурсу, что бы попробовать применить свою защиту, итд. может опытом обменяемся.

О каких доступах речь идёт? опыт какой ? у нас железка не костыли.

Если быть точным, мне нужен клиент которого досят что бы проверить работу нашей защиты.

pupseg
На сайте с 14.05.2010
Offline
339
#15

моего клиента ддосят, что бы небыло подобных костылей, готов два его домена форворднуть на вашу железку. важно - фильтроваться должен весь трафик.

как минимум по портам 110, 25, 443, 21, 80 , 8383, 53. как раз - хочу убрать все костыли, направить трафик куда то и получить очищенный.

zexis
На сайте с 09.08.2005
Offline
358
#16
pupseg:

когда пересаживаю порт апача на другой номер - боты через какое то время находят его, и начинают долбить в этот порт - ну - это как опция ботнета.

Порт Апача вообще не должен быть виден из вне. К нему доступ должен быть лишь через localhost.

Если у вас в бане 19702 ботов, то имеет смысл посмотреть, атакуют ли они все.

Если нет, то нет смысла держать их все в фаерволе.

Также полезно найти подсети из которых ботов много и забанить такие подсети одним правилом, а не каждый IP по отдельности.

Это позволит снизить количество правил в фаерволе.

Для поиска подсетей в фаерволе из которых ботов более N у меня написан софт.

madoff
На сайте с 01.12.2009
Offline
235
#17
pupseg:
моего клиента ддосят, что бы небыло подобных костылей, готов два его домена форворднуть на вашу железку. важно - фильтроваться должен весь трафик.
как минимум по портам 110, 25, 443, 21, 80 , 8383, 53. как раз - хочу убрать все костыли, направить трафик куда то и получить очищенный.

Да тут уже обратились двое, я тебя учту, надо было сразу написать, позже если что свяжемся.

12

Авторизуйтесь или зарегистрируйтесь, чтобы оставить комментарий