Защита вашего сервера от ддос

а как насчет разблокировки? например, если пользователь по ошибке заблокирован, то ему выдается страница с капчей, для разблокировки IP

Разблокировка забаненных IP осуществляется автоматически через заданный период времени (Например через сутки или несколько суток)

Также администратор может просмотреть логи работы программы, выяснить кого забанили и почему и разбанить, если нужно.

Я не вижу возможности выдавать уже забанненым капчу.

Так как весь смысл защиты от ддос – это не отвечать атакующим и не тратить на это ресурсы сервера и канала.

Если ботам отдавать капчу, то это создаст большую нагрузку на сервер и очень быстро приведет к блокировке работы сервера.

Я не использую капчу по той причине, что мной разработаны алгоритмы анализа лог файлов, которые эффективно находят ботов и процент забаненных легитимных пользователей не велик.

Минимальное количество забаненных легитимных пользователей достигается в том числе тем, что алгоритмы анализа включаются лишь в минуты атаки (когда суммарное количество запросов на сервер превысит заданный порог) После запуска алгоритмов анализа, IP ботов обнаруживаются за 1-4 минуты, заносятся в фаервол и нагрузка на сервер снижается, что приводит к тому что алгоритмы поиска ботов отключаются до начала следующей атаки.

Чаще всего боты ведут себя на сайте не так как пользователи и их удается отличить от пользователей безошибочно. И не приходится применять радикальных алгоритмов бана всех кто зашел в пик атаки.

ТС, а как Ваши алгоритмы относятся к ботам ПС, которые в свою очередь, иногда имеют свойство "беситься"?

Подсети IP адресов, которые принадлежат основным поисковикам, известны.

Их подсети IP заносятся в белый список.

Для ботов из белого списка разрешенные лимиты для алгоритмов анализа существенно увеличены, что бы боты поисковиков не забанились.

всегда считал что подобные защиты - лишние

может проще увеличить мощности железа и расширить канал, да заодно оптимизировать сам сайт (положить сайт на не оптимизированном движке очень просто даже рядовым пользователям)

P.S. вообще в большинстве случаях достаточно перевести всё в статику и отказаться от баз данных :)

burunduk, вы когда ни будь встречались с ддосом?

Например, когда вас атакуют со 100 зараженных машин и каждая машина отправляет по 20 запросов в секунду к тяжелой динамической странице.

В сумме это 2000 запросов в секунду.

Даже мощный сервер не выдержит нагрузки в 2000 запросов в секунду.

А ведь ботнет из 100 атакующих – это маленькая атака на сегодняшний день.

Часто бывают атаки с нескольких тысяч машин.

Увеличение мощности сервера и канала будет стоить несколько тысяч долларов и защитит лишь от маленькой атаки.

Даже если все перевести на статику, то такой сайт легко будет блокирован 1000 атакующих ботов.

А ведь на большинстве сайтов от базы данных отказаться не возможно.

Намного проще и дешевле защитится от ддоса, если обнаружить IP ботов и занести в фаервол.

Сейчас довольно много мелких пакостников, которые имея всего лишь несколько зараженных компьютеров могут заблокировать почти любой сайт, на котором нет защиты.

Я считаю, что сейчас на каждом сайте должен ставится автоматический анализатор логов для поиска ддос. Который постоянно мониторит поступающие запросы и коннекты.

Что бы не получилась смешная ситуация (а для владельца сайта трагичная) , когда какой ни будь, сопливый, обиженный школьник с помощью 5 компьютеров с минимальными расходами блокирует работу целого сайта.

оптимизировать :)

на большинстве сайтов базы данных просто лишние :)

zexis, я не спорю что защищаться нужно, просто во многих случаях сайт ложится не из-за атаки мелкого пакостника, а от неграмотной настройки сайта (не оптимизированные/лишние запросы к бд), просто кривых (дырявых) скриптов, очень слабого железа :)

Оптимизировать скрипты конечно нужно, никто с этим не спорит.

Но оптимизацию начинают обычно с самого узкого места.

Тогда оптимизация даст максимальный эффект.

Если в момент ддос атаки к вам идет, например, 1000 паразитных запросов в секунду, то будет намного эффективней заблокировать эти паразитные запросы через фаервол, а не пытаться наращивать мощь железа, ширину канала и оптимизировать скрипты для обслуживания этих паразитных 1000 запросов каждую секунду.

zexis, я свои сайты насиловал с нескольких IP скачивание в 100 потоков - держат :)

P.S. сайты на html, один раз насиловали интернет магазин (цмс) с 2 IP скачивание в 100 потоков сайт не лег :)

Когда атакующих IP меньше 10 – это не ддос, а мелкие пакости пионеров.

Но даже с 10 машин хулиганы могут создать существенную нагрузку, которая хоть и не заблокирует полностью мощный, оптимизированный сервер, но сделает реакцию сайта более медленной.

Зачем вам это нужно неделями обслуживать запросы хулиганов, вместо того что бы обнаружить их IP и блокировать?

Когда же атакуют несколько тысяч IP то настройка скриптов будет малоэффективна.

Блокировка атакующих через фаервол в этом случае более надежно защитит от атаки.