Ну к радости нашей, цена там фиксированая, так что этакая ситуация не произойдет. :)
Спасибо за предложения.
В общем действия были таковы:
Настроил сквид (транспарент прокси, редирект порта 80) как фронтенд для апача.
В конфигурации сквида добавил фильтрацию, для отклонения http запросов ботнета, в данном случае GET /80
На данный момент, сервер да и сайт работают стабильно.
Благодарим за советы.
Теперь нужно только надеется, чтоб идущая атака не превысила 100мб канал.
Здравствуйте,
Меня попросили проанализировать атаку в сабже этой темы, и предоставить краткую информацию.
Вид Атаки:
Явно не Syn Flood атака.
Но BotNet HTTP-Flood атака.
Лог запроса в апаче (пример с одного из атакуещих IP): "GET /80 HTTP/1.1" 404 284 "-" "Opera/9.02 (Windows NT 5.1; U; ru)"
Атакуещий ботнет настроен на http-flood атаку с запросом GET /80. (явно такой страницы на сайте не существует).
Как было уже описано в этой теме, использовался netstat скрипт для блокировки атакуещих IP с помощью iptables или же APF. Скрипт запускался каждую минуту, но к сожалению эффективность мала (не успеет заблокировать атакующие IP, как сразу много других). Канал 100мб, большое количество атакуещих IP адресов с этого ботнета.
ДЦ никакой фильтрации не предоставляет, так что речи о сенсорных системах и шлюзах не может быть (нет у ДЦ такой технологии).
В общем апач не выдерживает столько запросов одновременно, вот тебе и ДДоС.
Предложения, советы, идеи?
