Вернуться   Форум об интернет-маркетинге > >
Ответ
 
Опции темы
Старый 06.03.2012, 19:39   #21
masskill
Аспирант
 
Регистрация: 11.01.2012
Адрес: Украина, г. Киев
Сообщений: 143
Репутация: 7605
Отправить сообщение для masskill с помощью ICQ Отправить сообщение для masskill с помощью Skype™
Социальные сети Профиль в ВКонтакте

По умолчанию Re: Защита вашего сервера от ддос

Вы ставите фильтр канала или просто устанавливаете\настраиваете фаервол\доп ПО на сервере ?
masskill вне форума   Ответить с цитированием

Реклама
Старый 11.03.2012, 22:09   #22
zexis
Академик
 
Аватар для zexis
 
Регистрация: 09.08.2005
Сообщений: 3,977
Репутация: 765388

ТопикСтартер Re: Защита вашего сервера от ддос

Цитата:
Сообщение от masskill Посмотреть сообщение
Вы ставите фильтр канала или просто устанавливаете\настраиваете фаервол\доп ПО на сервере ?

Я делаю следующее.

1) Устанавливаю анализатор логов access.log и коннектов netstat, который обнаруживает IP ддос ботов и заносит их в штатный фаервол iptables. Благодаря нескольким удачным алгоритмам удается обнаруживать IP ддос ботов в логах с низкой вероятностью ложных срабатываний.
Например, бан ботов начинается только при превышении суммарного количества запросов некоторого порога, то есть только во время ддос атаки.

2) В nginx задаю лимиты limit_zone и limit_req_zone для снижения нагрузки от быстрых ботов при начале атаки.
Пример.
limit_zone limz $binary_remote_addr 10m;
limit_conn limz 10;
limit_req_zone $binary_remote_addr zone=lphp:10m rate=1r/s;
limit_req zone=lphp burst=10 nodelay; # ставтся только в location / {

3) корректирую параметры стека tcp/ip для лучшей работы в условиях ддос.
Пример.
echo '1'>/proc/sys/net/ipv4/tcp_syncookies
echo '2'>/proc/sys/net/ipv4/tcp_synack_retries
echo '60'>/proc/sys/net/ipv4/tcp_keepalive_time
echo '10'>/proc/sys/net/ipv4/tcp_keepalive_intvl
echo '2'>/proc/sys/net/ipv4/tcp_keepalive_probes
echo '60'>/proc/sys/net/ipv4/tcp_fin_timeout

4) Создаю правила фаервола, которые ограничивают количество входящих пакетов с одного IP.
Пример.
iptables -I INPUT -p tcp --syn --dport 80 -m connlimit --connlimit-above 20 --connlimit-mask 24 -j DROP
iptables -I INPUT -p tcp --syn --dport 80 -m hashlimit --hashlimit-above 1/second --hashlimit-burst 20 --hashlimit-mode srcip --hashlimit-srcmask 24 --hashlimit-name blip -j DROP

Последний раз редактировалось zexis; 11.03.2012 в 22:26..
zexis вне форума   Ответить с цитированием
Старый 19.03.2012, 20:59   #23
Lunatig
Студент
 
Регистрация: 01.11.2007
Сообщений: 43
Репутация: 1986

По умолчанию Re: Защита вашего сервера от ддос

Спасибо огромное zexis. Очень быстро поднял мой сервер с колен и дал доблесный отпор беспощадным хакерам.
Можно спать спокойно. надеюсь затраты моих конкурентов будут в 100 раз выше стоимости этой защиты )
Lunatig вне форума   Ответить с цитированием
Старый 16.04.2012, 12:40   #24
Donchenko
Студент
 
Регистрация: 30.01.2008
Адрес: Украина
Сообщений: 13
Репутация: 5331
Отправить сообщение для Donchenko с помощью ICQ Отправить сообщение для Donchenko с помощью Skype™
Социальные сети Профиль на Хабрахабре

По умолчанию Re: Защита вашего сервера от ддос

Видел работу ТС на сервере одного из клиентов, впечатляет.
Рекомендую.
Donchenko вне форума   Ответить с цитированием
Старый 29.04.2012, 13:23   #25
zexis
Академик
 
Аватар для zexis
 
Регистрация: 09.08.2005
Сообщений: 3,977
Репутация: 765388

ТопикСтартер Re: Защита вашего сервера от ддос

удалено, удалено, удалено
zexis вне форума   Ответить с цитированием
Старый 29.04.2012, 14:22   #26
bizmania
Дипломник
 
Регистрация: 11.09.2010
Сообщений: 86
Репутация: 6166

По умолчанию Re: Защита вашего сервера от ддос

Расскажу и я про свой случай, дос был пять дней, хостер что то пытался сделать, но сервер все равно работал с большими перебоями, потом он сказал, что раз сервер наш, то и разбирайтесь сами, хотя я предлагал решить проблему за деньги. В общем оставили меня один на один с проблемой - приходилось отбивать атаки в ручную. Можно сказать почти случайно забрел в эту тему, обратился к TC и через несколько минут случилось чудо Все работает как часы. За что ему большое спасибо! Теперь знаю к кому если что обращаться в случае проблем.
bizmania вне форума   Ответить с цитированием
Старый 01.05.2012, 21:53   #27
kostich
newbie
 
Регистрация: 24.03.2004
Сообщений: 2,503
Репутация: 61158
Отправить сообщение для kostich с помощью ICQ Отправить сообщение для kostich с помощью Skype™

По умолчанию Re: Защита вашего сервера от ддос

Цитата:
Сообщение от zexis Посмотреть сообщение
Я делаю следующее.
эти манипуляции спасают только от 10% хттп ддосов... таки почему Ваших клиентов оставшиеся 90% ддос атак не трогают?
__________________
проверенная ддос защита -> http://ddos-protection.ru, бесплатный тест, цена от размера атаки не зависит.
kostich вне форума   Ответить с цитированием
Старый 01.05.2012, 22:26   #28
netwind
Академик
 
Регистрация: 06.05.2007
Сообщений: 6,010
Репутация: 490997

По умолчанию Re: Защита вашего сервера от ддос

kostich, когда-нибудь думал о сегментации рынка ? работает и пусть работает себе. Кого не сможет обслужить, тот уйдет к другому.

Я, кстати, не могу с этой оценкой согласиться. Почти всегда имел дело с обычным dos на HTTP, потому что это позволяет нагрузить наиболее тяжелые участки сайта не таким уж большим ботнетом.
Или это разделение 10/90 исходя из трафика рассчитано, а не по штукам инцидентов ? Ну так все нормальные люди вас поймут неправильно.
netwind вне форума   Ответить с цитированием
Старый 01.05.2012, 23:32   #29
ddos-guard
Студент
 
Регистрация: 27.04.2012
Сообщений: 13
Репутация: 10
Отправить сообщение для ddos-guard с помощью Skype™

По умолчанию Re: Защита вашего сервера от ддос

Манипуляции с настройкой сервера действительно неплохо помогают в очень многих случаях. Очень хорошо, что есть люди, несущие знания по тонкой настройке серверов в массы.
С тяжелыми случаями (мультигигабитные флуды, большие ботнеты и т.д.) вполне можно обратиться к профессионалам.
__________________
http://ddos-guard.net - защита от профессионалов
ddos-guard вне форума   Ответить с цитированием
Старый 01.05.2012, 23:39   #30
madoff
[root@local ~]#
 
Регистрация: 02.12.2009
Адрес: world
Сообщений: 3,122
Репутация: 121254
Отправить сообщение для madoff с помощью ICQ Отправить сообщение для madoff с помощью Skype™

По умолчанию Re: Защита вашего сервера от ддос

Цитата:
Сообщение от ddos-guard Посмотреть сообщение
Манипуляции с настройкой сервера действительно неплохо помогают в очень многих случаях. Очень хорошо, что есть люди, несущие знания по тонкой настройке серверов в массы.
С тяжелыми случаями (мультигигабитные флуды, большие ботнеты и т.д.) вполне можно обратиться к профессионалам.
ddos-guard >
1) К тем, которые даже не могут описать систему защиты своей ?
2) К тем, которые как мартышки тыкают плацами на кнопки ?
3) К тем, которые понятие не имеют что делать но знают куда жать ? в. т. пункт 2

Что вы пытаетесь сказать ? много вас таких было, и будет наверное.


netwind - прав, всё решит рынок.
__________________
Администратор Linux,Freebsd.
построения крупных проектов.
ICQ#: 241606.
madoff вне форума   Ответить с цитированием
Сказали спасибо:
Ответ



Опции темы

Быстрый переход


Регистрация Справка Календарь Поддержка Все разделы прочитаны