DDos ят сайт, есть опыт?

Для некоторых подобные атаки не будут стоить денег, только времени да и ддосом сложновато это назвать) Мусорные запросы есть или тупо заходы массовые?

А проанализировать принадлежность всех IP к определенным подсетям?

Или, к определенным провайдерам? Или по гео?

Может удастся блокировать траф по какому-нибудь из этих критериев?

Быстро вы переобуваетесь в оценке сайта-то )

С каких пор сайт с посещаемостью 40-70к в сутки считается захудалым?

Никаких закономерностей не нашел, в отчете куча разных городов, но в основном все росссия, украина.

Четко выделяющихся подсетей так же не замечено, либо я криво анализирую.

---------- Добавлено 29.01.2019 в 23:14 ----------

Можно подробнее пожалуйста?

Вот типичный пример запроса:

213.108.55.76 - - [27/Jan/2019:20:15:08 +0300] "GET / HTTP/1.1" 403 3835 "-" "Mozilla/5.0 (Windows NT 10.0; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/67.0.3396.103 YaBrowser/18.7.1.855 Yowser/2.5 Safari/537.36"

---------- Добавлено 29.01.2019 в 23:16 ----------

С момента, когда я смотрю на статистику в адсенсе, при условии, что ты работаешь сам, ок, если нанял 1-2 человек, ну как бы и все, весь бизнес закончился.

+ стоит понимать, что положив мой сайт, часть людей пойдет дальше по выдаче (я далеко не топ 1), т.е попытаться слить меня в выдаче через ддос, не кажется ли это слишком затратной затеей?

При условии, что года 2 назад у меня месяц висела метка от яндекса о вредоносности сайта, я получал с яндекса 10% трафика, и спустя пол года и год я вернул себе трафик, так как люди идут на контент, и если контента на сайтах конкурентов нет, они ползают по выдаче.

south_park, ваш сайт на https? http2 присутствует?

Второй вопрос - мусорные запросы с каких стран? Ваша целевая аудитория из какой страны? Я к тому что может есть смысл отрубить на время все страны кроме ЦА + белый список для ip ботов.

Пишется маленький скрипт, который разгребает логи и составляет таблицу айпишников с аномальной активностью. Ну, типа, несколько обращений к главной странице за определённый промежуток времени. Дальше, весь списов в ipset->iptables и всё. Скрипт пихаете в крон с интервалом минут в пять.

Если логи большие, то чтобы сам скрипт колом не встал, можно этим же скриптом logrotate пинать.

И почему у вас главная 403 отдаёт?

Долго же он будет "разгребать логи" :D

Основная проблема с DDOS - то что трафик нужно кому-то принять, до его "разгребания" ;)

При таком раскладе на главную ставим пустую HTML заглушку со ссылками на остальные разделы + счетчик какого-нибудь мэйла, по нему будет наглядно видна ситуация.

А еще можно самую тяжелую страницу конкурента в IFRAME засунуть :) Ну это так, на случай если есть подозрения.

Способ абсолютно рабочий. Многократно проверен мной же на своих серваках 🙄

Логи писать в tmpfs, дабы диск не напрягать.

Формат логов привести к минимуму (ip+uri)

В nginx - limit_req/limit_conn (кстати, по нему еще и логи загребать проще).

Чуть больше ляма запросов в минуту, ну, значит запускать скрипт каждую минуту с постротацией логов.

Поначалу, конечно, будет подтупливать. Но ботнеты не бесконечны.

После отражения атаки, надо бы ещё проверить - не попали ли случайно в ipset поисковые боты. У меня такая проверка идёт ещё до добавления, но если нет времени писать отдельную приблуду, проверяющую адрес, это можно сделать постфактум.

При совсем уж глобальном трындеце, можно стартстопить nginx и в промежутках логи разгребать.

Естественно, это всё будет работать, пока в гигабит десятку не нальют.

Но это уже другая история 😂

https, редирект с http.

Запросы с россии, аудитория тоже.

---------- Добавлено 30.01.2019 в 16:33 ----------

403 отдавало когда я nginx тормознул видимо, посмотрел логи, сначала ботам 200 отдавалось.

Я тут нуб полный к сожалению