вопрос по antiddos-решениям

pupseg, Подсказываю, есть такая прелесная команда, можно даже сказать секретная:

ip route add blackhole нужный вам ip

Держит легко и 30к ip в бане ненагружая сервер совершенно, есть практически в любом Линуксе, не требует никаких танцев с бубнами.

Про флуд в mail сервер это конечно весело, но mail проще уже полисить чем-то вроде Джунипера на входе, чем каждый раз изобретать всё новые педальки на скриптах.

В целом рынок ддос услуг можно сказать не умнеет, а дурнеет, особенно учитывая новые(хорошо забытые старые) методы атак вроде днс усиления где вам ни одна педалька непоможет, ибо влетает гигабит так 25 и других вариантов кроме как обращаться к нам просто нету, тк ни 1 апстрим в здравом уме клиента с дедиком за 100-500-1000 уе от мульти атак защищать небудет.

С уважением, Владимир

---------- Добавлено 02.04.2013 в 13:21 ----------

pupseg, К стати подсказка, чтобы не влетать на трафик при минимальных атаках забудьте про Хетзнер и Российские датацентры и всё у вас будет хорошо.

Да я то вот принципиально уже не использую для своих целей хецнер и клиентов отговариваю, но немцы эти в РФ - велики. упадет хецнер - упадет нафиг пол рунета :)

а так ДЦ, с, по крайней мере , анлимитным ВХОДЯЩИМ каналом найти можно, это да ...

блекхол щас попробую на сервере.

рядом в стойках стоят srx-240 4штуки. нагрузки на них никакой. но .. они тут, а клиент в хецнере. да и из пушки по воробьям - заряжать на 20-30 мбит железяки, тем более каналы тут - тоже не резиновые.

а упырек меж тем не успокаивается, не положил, не смотря на дырку на графике, это snmpd был стопнут, передохнул на день-полтора - и снова час назад вдул 20-30мбит.

сервер с графика выше в теме - как ддосил, так и ддосит, это другой сервер.... эх печаль..не дают спокойно работать...

PS: прямо интересно, сколько же правил прожует ipset.

голые таблесы на 15к уже плотно приседали ...

pupseg, ipset жуёт на моей практике 50к правил, потом начинает тупить

тема интересная, но помогите понять, если суть анти DDoS действий сводится к созданию/удалению правила ipset(iptables для < 7k правил) чем так ужасен fail2ban ?

Нашёл(но не применял) решение на основе nginx http://habrahabr.ru/post/84172/

дальше ведь можно натравить на /var/log/nginx/error.log fail2ban и получить частично profit :)

---------- Добавлено 03.04.2013 в 00:41 ----------

* там автор предлагает

musitann Всё зависит от ситуаций. Не всегда на основе простых выборок логов и т п можно решить проблему.

fail2ban написан на языке программирования высокого уровня, система под ддосом и так нагружена, ценен каждый мегабайт памяти, поэтому при более-менее высоких атаках никакие скрипты на perl, python и иже с ними не приемлемы. Все эти скрипты-банилки, которыми так полон интернет не помогут, так как при предобработке трафика - лягут первыми, до tcp\ip в ядре дело просто не дойдет...

идеально - это демон-сниффер на с\с++, висящий й в памяти как процесс, и пропускающий трафик через себя.

меня вот ддосят уже 4ые сутки с перерывами от 20 до 40мбит, сам fail2ban просто ложится, не успевая прожевать лог, который ему дают.

пошел другим путем, вспомнил универские, 10летней давности, познания в с++, накалякал поделку, компильнул, запустил с таймингом на раз в 30 секунд.... пока вот банит..

бета тестирование на таблесах положило сервер при 10к правил..

срочно мигрировал на ipset - уже 17к правил - пока полет нормальный, не ощущается нагрузки вообще...

коллега тут посоветовал в блэкхол роутить плохие айпишники - тоже затестю .....

но вообще конечно - не нужно льстить себе, поставьте какой-либо визуализатор типа мунина, посматривайте, как только атака до 30-40мбит доползет - начинайте искать антиддос сервисы, пока присматривайтесь и предворительно договаривайтесь..

понятное дело что сервером можно отбить и 10гбитный ддос - но оооооочень сильно зависит все от типа ддоса и параметров сервера, но в обще-среднем случае от 20мбит до 70мбит хватает , что бы сервер завалить. Предположу что хецнеру хватит и 50.

ну и канал - он не резиновый, что не говори...

а по поводу fail2ban - штука хороша как плюшка, сам вот использую как банилку левока на ДНС и левока на ссш. Скормить ей 600Мбайтный лог, что бы он его посчитал и разпарсил на питоне , или на чем там она - это тяжелый для сервера процесс не на одну минуту, в то время когда на вас атака - счет идет на секунды.

pupseg - я не пойму чем тебе мешает POST запрос на Mail вроде LA не растёт активности почтовик не должен проявлять нафиг ты паришься ну идёт дос 30 мегабит ну пусть идёт.

Да, слышал такое. Там умельwы на хабре написали свой - log2ban

Там же в коментах, цитата #

я далёк от темы, поэтому интересно вкусить :)

утро бодрое!

ну во-первых почтой пользуются, во-вторых если в том же exim'е поставить например max-connections=500, то эти 500 тут же забиваются ботами и ЛА растет....

тут дело не столько в ЛА, а в том, что бы при наличае атаки все сервисы работали хотя бы как то...

ибо успешное баниво через ipset коннектов на сайт и глухое прикрытие всех остальных сервисов в мир - не есть отбитие ддоса, ибо сервер в таком виде работает на 50%(((((

вот и пытаюсь почту сохранить, необходимый 3306 в мир (к сожалению skip-networking нельзя), 1500 от isp, 25ый, 80ый и даже 81ый. Ибо ддосилка школьника переодически nmap'ит порты...

от использования бата и аутлука клиентам пришлось отказаться в ременно, пересадил imap и pop3 на локалхост, что бы хотя бы roundcube авторизовался нормально..

---------- Добавлено 03.04.2013 в 08:04 ----------

ну на самом деле все зависит от силы и от типа ддоса.

каждый интернет-порт (порт сервера, порт коммутатора и т д) обладает рядом характеристик кроме скорости подключения, например количеством пакетов в секунду и вас флудят мелкими, по 1байтику пакетиками, просто выводя из строя вашу карту на сервере, это не так часто - но бывает и у меня было пару раз, выглядет примерно так:

все тормозит, сервер не обрабатывает клиентский трафик, еле-еле на себя по ssh пускает при этом в top - все в норме.... загрузка канала - в норме (один из главных признаков ддос), la - в норме, нагрузка на ОС в норме.... а клиент психует, что ничерта не работает. Попросили ДЦ покрутить порт со своей стороны - поогло. Кстати - один из противнейших ддосов. банилки на сервере не помогут однозначно, никакие лоу-кост ДЦ не пойдут на кастомную конфигурацию порта клиента, т.е. пришлось бы лежать, если ДЦ был бы хецнер или какой нить OVH.

ну и обратный пример:

10мбайтный POST-запрос в апач, все лежит с полпинка в логах не палится, загрузка канала взлетает моментально, нагрузка на сервер так же растет, а откуда этот трафифк - сразу не видно.

мне слали чтото типа: POST %20HOSU-DESU-HOSU-DESU-HOSU-DESU и так на 10мбайт текста каждый запрос...

в общих чертах да - 10к - это не ботнет, правильный ботнет: 80-100к, а вот 5-10 или 100мбит - очень может быть как и детской шалостью так и сильнейшей атакой

fail2ban плох тем что в нем слишком простые алгоритмы.

В нем нет

1. Белых списков IP

2. Автоматического увеличения лимитов, когда нет атаки, чтобы не банить быстрых пользователей.

3. Множества других эффективных алгоритмов анализа логов

fail2ban делает слишком много ложных срабатываний и банит пользователей.

Настолько много, что его нельзя применять для большинства посещаемых сайтов, так как будет очень много жалоб от пользователей, которые не могут зайти на сайт.

Писать анализатор логов на С++ идея хорошая, но нужно для этого быть программистом и потратить на разработку и отладку софта несколько месяцев.