Реализована программная защита от DDOS атак.

> Отловить по логу ip, которые получают 50x и зобанить

50 хитов в секунду?? Этож много...меня по 10 в сек задалбливают большим кол-вом ип в аут )

Если правильно рассмотреть то дос для пхп, поэтому в логе можно смотреть только пхп строки и если например за последние 5 сек было 10 запросов с одного IP, то можно и бан дать.

Если пойти далее то можно ещё и смотреть по кол-ву таких активностей, если более 10 то начался дос ботнета, и банить нужно быстро)

Проверять можно по LA, превывисло то читаем лог, анализируем, добавляем правила в Iptables для каждого IP?

Несколько вопросов

1. Что если будет много IP правил для iptables, нагружать не будет??

2. Как вам такая реализация? правильная?

3. Если дос пойдет на статику, nginx ведь будет держать и покрайней мерий сервер от этого не зависнет, правильно?

4. Как быстро iptables начинает действовать после добавления правил? Мне кажется что у меня оно вообще не работает )

Всем спасибо за помощь, тему нужно развивать, потому что досом в наше время балуются даже ламеры и заказать его можно недорого..

Ман большой и толстый %( Намекните хоть как примерно называется то, что мне нужно..

Как показывает практика, IPTABLES при большом PPS сильно грузит проц и мало поддается твику через sysctl.

Мгновенно.

Ну, если дос будет представлять из себя просто HTTP запросы – то еще ничего, но все равно надо ограничивать кол-во коннектов.

При SYN флуде все умрет, и Nginx мало чем поможет =)

pass in on $int proto tcp from any to $http_server port 80 (max-src-conn 100, max-src-conn-rate 50/5, overload <hackers> flush)

Банит при более чем 50-и коннектах в течение 5 секунд.

Думаю, да. По моим наблюдениям, фря порой богаче линукса.

Dimanych, это я просто пример привёл. Не думая, что именно он сделает.:)

Вообще, это такое же правило, как и обычно.

Определяете условие для отслеживания нарушителей и вместо "-j DROP" пишете "-j LOG 'error' ".

Или вставляете LOG после всех правил об ACCEPT-ах, так определите кто и куда к вам ломится.

И лучше использовать limit в таких правилах, чтобы не зафлудился журнал :)

Немного освоился с iptables

Написал анализатор лога nginx, находит все запросы к пхп, сортирует по ип и выводит список ип превышающих, в моём случае 1 запрос в сек к пхп (1 даже много если за периуд времени). Отпределяет время начала и конца лога последних 5000 строк.

После чего эти ип отправляются в iptables -A INPUT -p tcp -s $ip -j DROP

После 3х запусков скрипта, банилось только по 1-2 ип, видимо новые боты или тормазнутые )

./firewall.sh

92 92.112.6.125

307 89.41.100.64

LOG PHP-runs with limit 1 req/sec/ip | logfile of 62 seconds

1488 requests | 24 req/sec

DOS from 2 ips | 399 requests

Как говорится инструмент для борьбы уже есть )

НО теперь стоит задуматься о поисковиках, есть ли списки ипов поисковиков, дабы они не попали в бан? Как часто они делают запросы?

IPTABLES при большом PPS сильно грузит проц - при каком приблизительно, какой процесс для наблюдения? )

Пробовал

iptables -A INPUT -p tcp -s 123.123.123.123 -m limit --limit 1/s -j ACCEPT

iptables -A INPUT -p tcp -s 123.123.123.123 -m limit --limit 5/m -j ACCEPT

почему то принимал более 1 подключения в сек и уж точно белее 5 в минуту ((

Что нетак, подскажите плиз )

А есть ли сведения, как активно поисковики парсят сайты?

Боты бывают разные. Сайты бывают разные. Например, сегодня у меня бот mail.ru тянул по 2-3 страницы в секунду. Google 1-2 страницы в секунду.