Интересно узнать какие атаки вам уже приходилось успешно отбивать?
Сколько объем трафика?
Сколько атакующих IP?
Лучше сделать подкаталоги, что бы в одной папке было не более 100-1000 файлов.
Так как в случае необходимости открыть папку с миллионом файлов в midnight comander, сделать это будет довольно сложно.
К тому же технически разбить на подкаталоги не составляет труда и не нужно будет думать тормозит систему много файлов в одной папке или нет.
Я как то пользовался услугами хостинга с защитой от ддос nic.ru.
Это они говорят, что у них именно такой хостинг.
Предупредил их перед переездом к ним, что сайт ддосят.
Суппорт мне ответил: “нет проблем, у нас защита от ддос включена во все тарифные планы. Осуществляется с помощью CISCO Guard”
В итоге когда я переехал к ним и начался ддос (http-флуд), то сайт лежал неделю и супоорт, говорил что нечего не может сделать.
Потом уже самостоятельно научился блокировать http флуд и syn флуд, если он меньше канала.
Сейчас атака в 1 Гб в сутки проблемы для работы сайта не создает, но я думаю о том что если атака увеличится и превысит пропускную способность канала, тогда вся защита на сервере будет бесполезна.
К счастью такую атаку я видел только 1 раз, когда за 1 час пришли HTTP запросы
GET / HTTP/1.1 с 30 000 разных IP.
Я не строю свой ДЦ, я всего лишь защищаю свой не большой личный сайт и сервер от регулярных ддос атак.
Один психически больной хакер уже полгода устраивает разные пакости.
При этом делает он это довольно упорно НЕ за деньги, а по каким то не ясным мне причинам. Так как заказчиков ДДОСА я так понял нет.
Общался с ним в ICQ – толку мало. От него один лишь мат и оскорбления.
Ощущение что у человека полностью снесло чувство приличия из за того что он уверен в своей безнаказанности, анонимности и управляет довольно крупным ботнетом.
Поэтому пришлось освоить довольно много новых тем для меня.
Сайт у меня малобюджетный, так что платить более 100$ в месяц за защиту я не буду.
К тому же мне интересно самому освоить эту тему.
zexis добавил 21.04.2010 в 15:03
На мой вопрос в датацентр, есть ли механизм резать паразитный UDP трафик перед моим сервером получил простой ответ из 3 слов: «такого механизма нет»
Вопрос.
Существует ли датацентр, который предоставляет клиентам, размещающим свои сервера, управлять правилами блокировки трафика к их серверу на маршрутизаторах датацентра?
То есть нужно следующие.
Я отправляю куда то файл со списком IP и эти IP не пропускаются маршрутизаторами датацентра к моему серверу.
Сейчас плачу за размещение сервера 4000 рублей в месяц.
Трафик у сайта не большой. До 1 ТБ в месяц.
Не поможет.
Так как сервер все равно не отвечает на этот входящий трафик.
Никакие правила iptables на сервере не могут остановить поток входящего трафика к серверу.
Резать нужно на маршрутизаторах до сервера.
Написал письмо в датацентр, может они чем то помогут.
В идеале было бы резать атакующий трафик на маршрутизаторах ближе к атакующему.
Kxk говорит, что такие методы есть.
Но он не расскажет о них даже под пытками :)
Kxk, я бы хотел сам разобраться как можно удаленно заблокировать поток UDP трафика.
Что бы он резался на маршрутизаторах еще до поступления в мой датацентр.
Какие инструменты и протоколы есть для этого?
Kxk, ваши услуги я заказывать не планирую.
Я тему создал для того что бы разобраться в этой проблеме
Владельцы компьютера, с которого идет этот трафик, даже не знают о нем.
Так как их компьютер заражен вирусом, который по команде хакера атакует нужную цель.
Жалоба направлена на то что бы владельцы компьютера удалили вирус.
Они ведь тоже страдают от его присутствия.
Какими методами делается блокировка?
Как же тогда бороться с таким флудом?
Чаще всего ломают через дырки в скриптах PHP, передающих данные в mysql, введенные пользователем.
Без проверки корректности введенных данных.
Nmap - сканер портов. Определяет открытые порты и службы на удаленном сервере.
Входит в дистрибутив linux.
Во FreeBSD наверное тоже есть.
