Вот только понимают это многие уже после кидка.
А пока кидка не было, заемщик такой классный парень: со всеми вежливый, гарантирует возврат при любом раскладе.
Просто в голове не укладывается, что такой может кинуть.
Тут такие персонажи были, которые даже опытных старичков развели, как маленьких детей.
:)
pkts bytes target prot opt in out source destination 3895 214K DROP tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:80 flags:0x17/0x02 #conn/24 > 2 934K 46M DROP tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:80 flags:0x17/0x02 limit: above 30/min burst 3 mode srcip srcmask 24
Это через 10 секунд после сброса счетчиков iptables -Z
помоему банить всю подсеть С, если из нее больше 10 ботов решение правильное в случае большого ботнета.
Писать абузы по ботнету из которого каждые сутки по 10 000 новых ботов приходит бесполезно.
ОС Debian.
Вот такие правила фаервола использую для отсечения самых шустрых ботов.
iptables -I INPUT -p tcp --syn --dport 80 -m connlimit --connlimit-above 2 --connlimit-mask 24 -j DROP
iptables -I INPUT -p tcp --syn --dport 80 -m hashlimit --hashlimit-above 30/minute --hashlimit-burst 3 --hashlimit-mode srcip --hashlimit-srcmask 24 --hashlimit-name blip -j DROP
Плюс анализатор находит в логах IP ботов и заносит в фаервол.
Плюс сделал такую штуку.
- Если из какой то сети класса /24 более 10 ботов, банится вся эта подсеть /24.
Кому интересно расскажу продолжение истории.
Атака на сайт этого клиента продолжается.
Взяли более мощный сервер.
Intel(R) Core(TM) i7 CPU 970 @ 3.20GHz
Перенесли сайт. Сегодня началась атака.
Вот лог access.log начала сегодняшней атаки.
http://ddosviewer.narod.ru/access.log.gz
Размер архива 1 Мб.
Длительность лога 11 секунд.
Количество строк в логе 103579
Количество уникальных IP за 11 секунд этого лога 3099.
Всего в бан сегодня ушло около 10 000 ботов.
Атаку удается на новом сервере отбивать.
ТС, как вы померили сколько мегабит у атаки?
Покажите вывод
sar -l
( apt-get install atsar )
tcp_syncookies включены?
Включи.
echo '1'>/proc/sys/net/ipv4/tcp_syncookies
echo '1'>/proc/sys/net/ipv4/tcp_synack_retries
echo '60'>/proc/sys/net/ipv4/tcp_keepalive_time
echo '10'>/proc/sys/net/ipv4/tcp_keepalive_intvl
echo '3'>/proc/sys/net/ipv4/tcp_keepalive_probes
echo '15'>/proc/sys/net/ipv4/tcp_fin_timeout
Тоже думаю, что сейчас чистый SYN флуд не используется.
Скоре всего у вас HTTP флуд.
Но так как ваш сервер не может ответить на все входящие запросы, вам кажется что это SYN флуд
Вот еще попробуйте
В логах вебсервера запросы ботов есть?
Дамы и господа, прошу быть внимательными.
Мошенник с аськи 632638559 (632-638-559) стучится к тем кто отписался о успешном обмене, пишет в своей аське в поле имя чужой ник (в данном случае мой) и пытается кинуть.
Мошенник выдает себя за меня, говорит, что в оборот попали грязные деньги и просит вернуть ему деньги на его кошелек.
Не попадитесь на удочку мошенника.
Для начала подумать головой, как задавать вопрос и что в вопросе указать.
Если у вас у самого выделенный IP то закройте доступ к служебным портам со всех IP и оставьте только доступ со своего IP.
Или с диапазона своего провайдера.
В интернете слишком высокие проценты по кредитам.
60% - 120% годовых.
При этом суммы кредитов не высоки и обычно не превышают 2-3к$
По моему, те кто берут деньги под такие высокие проценты, не умеют планировать свой бюджет, раз не могут сами скопить сумму средней месячной зарплаты.
А от людей, которые не могут планировать свой бюджет можно ожидать любых сюрпризов, даже если изначально кидать они не планировали.
Во вторых нет надежных способов идентификации заемщика при выдаче кредита, и надежных, законных методов возврата долга, если должник добровольно не отдает.
Это приводит к тому, что многие должники считают, что отдавать долг в интернете не обязательно.
Если вам должны деньги и не отдают, то кроме как ловить должника в реале и отрывать конечности, ему и сделать то не чего нельзя. Нормальный человек на это не пойдет из за пары тысяч баксов
Дожники это прекоасно понимают и чувствуют себя спокойно.
