Первый VPS, первый DDoS

Всем привет!

Преамбула такова. Делал себе и клиентам спокойно сайты, размещал на хостинге. Проблем особо не имел. Пару месяцев назад пришла идея сделать свой городской сайт с объявками и рекламой. Сделал, запустил на хостинге и начал немного пиарить по местынм сайтам и соц.сетях. Через несколько дней сайт заддосили так что хостер его отключил. Так продолжалось несколько раз (ддосили обычно дня по 3), пока не "предложили" перейти на VPS. Мол там бороться легче, ресурсов и возможностей больше. Правда не предупределили что теперь администрация сервера полностью моя проблема. -))

Вобщем переехал на VPS (1х2,6Ghz, RAM 512 Мб, 20 Гб HDD, 100 Мбит/с сеть). Стоит SentOS 6, Apache 2, ISPmanager. Сайт региональный, максимальное число посетителей до 1000 в день (это очень круто!), а обычно в пределах 200-300 чел. Поэтому думаю ресурсов должно хватать, даже с запасом.

Несколько дней все летало пока опять не начался ддос. Сервер в итоге ушел в полный аут. Хостер открстился, что по их правилам они администрировать не могут, разбирайтесь сами. Вот тут и начался полный капец. Я полный чайник в этом и понятия не имел куда двигаться и что делать. Знакомых админов нет, денег на их содержание тоже пока нет. Так что приходиться учиться и самому разбираться.

На сегодняшний день пока смог немножко изменить настройки сервера. Делал на основе советов с инета. Насколько они правильны затрудняюсь ответить.

# TimeOut: The number of seconds before receives and sends time out.

TimeOut**60



# KeepAlive: Whether or not to allow persistent connections (more than

# one request per connection). Set to "Off" to deactivate.

KeepAlive**On



# MaxKeepAliveRequests: The maximum number of requests to allow

# during a persistent connection. Set to 0 to allow an unlimited amount.

# We recommend you leave this number high, for maximum performance.

MaxKeepAliveRequests**50



# KeepAliveTimeout: Number of seconds to wait for the next request from the

# same client on the same connection.

KeepAliveTimeout**15



## Server-Pool Size Regulation (MPM specific)



# prefork MPM

# StartServers: number of server processes to start

# MinSpareServers: minimum number of server processes which are kept spare

# MaxSpareServers: maximum number of server processes which are kept spare

# ServerLimit: maximum value for MaxClients for the lifetime of the server

# MaxClients: maximum number of server processes allowed to start

# MaxRequestsPerChild: maximum number of requests a server process serves

<IfModule prefork.c>

*StartServers	5

*MinSpareServers	5

*MaxSpareServers	10

*ServerLimit	50

*MaxClients	50

*MaxRequestsPerChild**	3000

</IfModule>

Это дало небольшие результаты, ну хоть по ssh можно зайти на сервер и иногда в ispmanager.

Далее пока моих знаний хватило установить (D)DoS Deflate с запуском по крону. Вот сейчас опять похоже ддосят, но он похоже не справляется.

Не совсем понял лог запросов. Вот пример из последнего. Я правильно понимаю, что это с яндекса ,гугла и контакта шуруют запросы? Но не в таком же количестве. Анализатор логово показал 2536 запросов с гугла. И запросы идут уже вторые сутки не прекращаясь!

192.210.148.89 - - [06/May/2013:00:00:56 +0300] "GET /?False HTTP/1.1" 200 30239 "http://yandex.ru/" "Mozilla/5.0 (iPad; U; CPU OS 4_3 like Mac OS X; en-us) AppleWebKit/533.17.9 (KHTML, like Gecko) Version/5.0.2 Mobile/8F190 Safari/6533.18.5"

190.0.6.158 - - [06/May/2013:00:00:55 +0300] "GET /?False HTTP/1.1" 200 30239 "http://google.com/" "Mozilla/5.0 (compatible; Konqueror/4.5; Windows) KHTML/4.5.4 (like Gecko)"

116.228.55.184 - - [06/May/2013:00:00:56 +0300] "GET /?False HTTP/1.1" 200 30151 "http://google.com/" "Mozilla/5.0 (Windows; U; Windows XP) Gecko MultiZilla/1.6.1.0a"

91.203.89.142 - - [06/May/2013:00:00:56 +0300] "GET /?False HTTP/1.1" 200 30239 "http://vk.com/" "Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.2; WOW64; Trident/5.0)"

89.218.0.34 - - [06/May/2013:00:00:57 +0300] "GET /?False HTTP/1.1" 200 30239 "http://yandex.ru/" "Mozilla/5.0 (compatible; Googlebot/2.1; +http://www.google.com/bot.html)"

114.80.136.171 - - [06/May/2013:00:00:56 +0300] "GET /?False HTTP/1.1" 200 30239 "http://google.com/" "Mozilla/5.0 (Macintosh; Intel Mac OS X 10.6; rv:5.0) Gecko/20100101 Firefox/5.0"

178.253.253.82 - - [06/May/2013:00:00:58 +0300] "GET /?False HTTP/1.1" 200 30239 "http://google.com/" "Mozilla/4.0 (compatible; MSIE 5.5; Windows 98; Win 9x 4.90)"

89.218.101.138 - - [06/May/2013:00:00:58 +0300] "GET /?False HTTP/1.1" 200 30239 "http://google.com/" "Mozilla/5.0 (Windows; U; Windows XP) Gecko MultiZilla/1.6.1.0a"

89.218.0.69 - - [06/May/2013:00:00:58 +0300] "GET /?False HTTP/1.1" 200 30239 "http://google.com/" "Mozilla/5.0 (compatible; Googlebot/2.1; +http://www.google.com/bot.html)"

190.25.232.102 - - [06/May/2013:00:00:58 +0300] "GET /?False HTTP/1.1" 200 30151 "http://google.com/" "Mozilla/5.0 (Windows NT 5.1; rv:5.0) Gecko/20100101 Firefox/5.0"

189.4.97.89 - - [06/May/2013:00:00:56 +0300] "GET /?False HTTP/1.1" 200 30151 "http://yandex.ru/" "Mozilla/4.0 (compatible; MSIE 5.5; Windows 98; Win 9x 4.90)"

212.119.105.65 - - [06/May/2013:00:00:59 +0300] "GET /?False HTTP/1.0" 200 30239 "http://yandex.ru/" "Mozilla/4.0 (compatible; MSIE 5.5; Windows 98; Win 9x 4.90)"

89.144.190.9 - - [06/May/2013:00:01:00 +0300] "GET /?False HTTP/1.1" 200 30239 "http://yandex.ru/" "Mozilla/5.0 (Windows; U; Windows XP) Gecko MultiZilla/1.6.1.0a"

95.159.105.2 - - [06/May/2013:00:01:00 +0300] "GET /?False HTTP/1.0" 200 30239 "http://yandex.ru/" "Mozilla/5.0 (Windows; U; Windows XP) Gecko MultiZilla/1.6.1.0a"

116.228.55.217 - - [06/May/2013:00:00:59 +0300] "GET /?False HTTP/1.1" 200 30239 "http://vk.com/" "Mozilla/4.0 (Windows NT 6.1; Win64; x64; rv:4.0a1) Gecko/20110621 Firefox/7.0a1"

89.218.0.162 - - [06/May/2013:00:01:08 +0300] "GET http://vnikopole.net/?False HTTP/1.1" 404 1942 "http://vk.com/" "Mozilla/4.8 [en] (Windows NT 5.1; U)"

Вопросов много, главный что сделать, чтобы сайт заработал и как избавиться от таких атак?