Есть.
/ru/forum/494324
Если ддосит профессионал, то поймать его довольно сложно.
Так как есть масса надежных спомобов остаться хакеру ананимным.
Prihhost, для начала нужно определить причину большой нанрузки.
Выяснить есть ли атака и какая именно, а уже потом решать какие защитные скрипты ставить.
Согласен, что вменяемый хостер не должен сам без согласования с клиентом контролировать (и тем более блокировать по своим правилам) трафик к серверу клиента.
Делать это нужно лишь по просьбе клиента и за оговариваемую плату.
Да и проблемы такой нет. Я не слышал о случаях, что бы какие то IP блокировались лишь по инициативе хостера.
Наоборот, большинство хостеров чаще всего не желают вникать в проблемы атак на клиентов.
Когда же система обнаружения атак строится самим владельцем сайта или же с его участием, то тогда такая система будет действительно полезна.
Так как системы обнаружения атак строятся на обнаружении аномалий трафика. Часто лишь владелец сайта может решить какой трафик считать аномальным, а какой легитимным.
Здесь я говорю НЕ о защите от ддос. Так как при ддосе трафик анамален более явно. Это можно определить и без участия владельца сайта.
Про какой ДЦ идет речь? Для каких задач?
Можно найти сетевое оборудование и сервера по доступной цене, так что создать свой ДЦ не проблема при желании.
Подсетями начинаю банить, когда количество атакующих IP ботов превышает 5 000.
При атаках большим ботнетом каждый бот может делать не более 1-3 запроса в минуту.
Приходилось сталкиваться с такими атаками.
Поэтому для быстрейшего блокирования атаки большого ботнета блокировака подсетями оправдана.
Если вы получили список IP ботонета та надо его просто занести в фаервол командой
iptables –A INPUT –s 11.22.33.44 –j DROP
или забанить всю подсеть
iptables –A INPUT –s 11.22.33.44/24 –j DROP
11.22.33.44 – это пример IP одного из ботов, который баним.
Вы наверное как то иначе заносили в фаервол, поэтому и не получилось.
Заносить IP ботов в geoIP – вообще смысла не вижу.
Конфигурация сервера зависит
1. от вашей задачи
2. используемого софта,
3. Требований к надежности и бесперебойности работы.
Отсюда и вытекает, сколько нужно памяти, какой нужен процессор, раид и так далее
Core 2 Quad – это не серверной процессор, а для настольного компьютера.
При равной цене он на много опережает по производительности Xeon.
К тому же системные платы для Xeon существенно дороже.
Поэтому если у вас НЕ критически важная по надежности задача, то выгодней использовать процессоры для настольных компьютеров.
Железо позволяет использовать одновременно SAS и SATA диски, но может не позволить температурный режим сервера и ваш сервер будет глючить из за плохой вентиляции и перегрева.
Лучше использовать на сервере все диски объедененные в рейд, а не отдельные диски.
А для бекапев использовать другой сервер или хостинг. Это будет надежнее.
OC берите ту в которой лучше разбираетесь и под которой будут работать ваши скрипты. Если вам без разницы, то берете самую распространенную линукс.
Конкретно Snort не пользовался, но считаю что “системы обнаружения атак” (СОА) очень полезны для сервера.
Например, полезен скрипт, который будет автоматически регулярно просматривать логии вебсервра access.log и обнаруживать там URL с подстроками
passwd
mysql
../../..
union
select
etc
admin
Если на сайте нет ссылок с такими именами, то будут хорошо видны попытки сканирования уязвимостей.
Или, например, контроль количества коннектов одновременно сделанных с одного IP – очень важен и позволяет реально отбить атаку на сервер, когда злоумышленник попытается открыть 10 000 коннектов с нескольких IP, что бы на сервере закончились TCP/IP сокеты.
Сейчас большинство серверов вообще не имеют защиты. Их можно завалить простейшим способом с одного IP адреса просто открыв 10 -20 тысяч коннектов на 80-й порт и оставив их открытыми.
По моему эти и другие ловушки, помогающие обнаружить злонамеренные действия хакеров, жизненно необходимы на сегодняшний день для всех серверов подключеных к Интернет.
webmaste – это пользователь с правами которого запускается апач.
Для обслуживания каждого коннекта на 80-й порт создается свой процесс апача.
Так что большое количество копий апача – это нормальная ситуация.
Здесь нужно искать причину торможений или в неоптимизированных запросах к mysql или не оптимальных скриптах PHP.
Установите nginx в качестве форнт-енд.
Nginx – даст много преимуществ по сравнению с голым апачем.
Поставьте для mysql лог медленных запросов, в который будут попадать запросы выполняющиеся дольше определенного времени.
Тема оптимизации Apache + PHP + MySQL – очень большая, очень много чего можно порекомендовать.
Для начала смотрите server-status апача.
