да, если исключить то что их можно записать короче
Трафика.
Не пытайтесь. Для Вас обычно является непомерной задачей сформулировать собственные "мыслИ". Не хочу отвлекать Вас от этого - авось когда-нибудь получится...
Часто. За секунду - я только в приведенном куске вижу до 5 штук одинаковых IP.
Максимально изолируя пользователей друг от друга.
Где там "по одному запросу"? Даже я, не особо приглядываясь - нашел в листинге несколько идентичных IP.
Атака мощнее знаний "защитника". Но вообще, это не самое страшное - я бы поставил на то, что атакующий сможет "вломить" и больше.
zexis, be warned! А вообще, попробуйте редирект ботам подсовывать или JS. Авось они не шибко умные, хоть и много...
Настроить сервер нормально надо, исходя из его физических возможностей обслужить запросы. Чтобы даже в максимально допустимом пике нагрузки все запросы к апачу (+ mysql или что там) - не отжирали все что можно.
Проблема в том, что кто-то разрешил им это делать. Насколько я понимаю, Вы впервые столкнулись с более-менее солидной атакой.
Ну вот учитесь - защита начинается не с банов, а с грамотного лимитирования системных ресурсов. Для этого умные люди и нанимают системного администратора, а не первого попавшегося "защитника" ;)
Да. Прочитать, наконец, его мануал и узнать про директиву MaxClients.
У Вас nginx жрет ресурсы? Разве не толпа апачей, которую Вы бездумно наплодили?
Я уж молчу про iptables, которая висит у Вас в топе. Отучайтесь от того, чтобы вызывать эту команду по первому чиху - узнайте про iptables-save/restore. А еще лучше - ipset.
PS: И этот человек "защищает Ваш сервер от ddos" :D
REJECT уже делает дополнительные телодвижения, по сравнению с DROP.
Ну, уже больше похоже на правду. У некоторых проблемы начинаются куда раньше 50k и связаны они далеко не с тучей "тупых" правил, типа приведенного а с работой совсем других модулей.
Для этого не нужно вообще что-то покупать.
Что значит "работали"? Естественно, они работают - в том смысле что учитываются при прохождении трафика. Все 60k. Пакет будет отклонен, если попадает в одно из правил.
Не надо такого в общем случае.
Ну а если _очень_ надо это делать автоматически - вокруг --save/--restore несложно и скрипт сочинить. Заказывайте - сделаем.
PS: Есть готовые rpm-ки (я видел для федоры) с нужными Вам init-скриптами.
С ipset я и не сравниваю.
Хотя, к Вам тоже вопрос про использование -m state. Только что создал 60к правил - все более чем живо.
Подозреваю, что сравнивали ужа с ежом. Как может быстрее работать то, на что, как минимум, _дополнительно_ тратятся системные ресурсы? Мы ведь не просто DROP - мы слать пакеты пытаемся, стараемся...
В iptables точно никаких правил не было помимо банов? Особенно с -m state.
