Мощный сервер спокойно падает от ДДоса

Покажите мне примеры полноценной защиты. Единственное, что я нашел, это скрипт, который парсит айпишники из логов nginx, которые получили ошибки 444, 505 и другие. Но при тестировании ни один айпишник не получил блок.

grisha2217, полноценная защита это комплекс мер и настроек не только Вашего сервера, но и фильтрующего оборудования, никто не выдаст Вам такого, так как это готовая техническая часть для бизнеса.

Вы можете попытаться собрать это самостоятельно, но Вам понадобятся более углубленные знания по части системного администрирования и программирования, чем у Вас есть, плюс понадобится очень много времени. (именно поэтому никто и не поделится)

Либо если Вам действительно нужна защита от ddos - попробуйте обратиться к компаниям, которые уже прошли этот путь и занимаются коммерческой защитой - так будет надежней, и Вам нет необходимости напрягаться по этому поводу.

V2NEK, + Нужны связи и вложения, дата-центры когда видят "клиента с улицы" под ддосом обычно сразу же отключают его ип адреса не разбираясь зачем и почему, чтобы не страдали соседи.

Мне нужно добиться такого результата, чтобы отбивать ддос хотя бы 10к ботов...

Скрипт barf.pl отлично парсит и успешно заносит в ФВ. очень советую.

10k тупых ботов - одно, 10к умных ботов - другое

Утро доброе, коллеги.

хотел было поумничать, но все уже в теме сказали.

ТС, пожалуйста вникните в вопрос с нуля, в котором ковыряетесь.

Вы копипастите из говно-бложиков команды не понимая что connlimit уже давно не в моде и не в составе iptables из коробки, вы не до конца понимаете - что iptables - это фаерволл и как и на уровне чего он работает.

как Андрейка выше написал - 10к ботов - это неверный эталонный порог.

Что вы будите делать, если я с 10-20 серверов буду в вас слать пакеты огромного размера по 4-5-20мбайт ?

То, что вам проверяет ваш друг - это очередной супер-ддосер со школоло-форумов типа злого, античата и прочего интернет-мусора, он вас флудит по http, не более, разпарсите лог настроенного nginx и занесите этих ботов в бан-лист и все. не через iptables , iptables вам и 5000правил будет дооолго прожевывать.

дам бесплатный намек - ipset

еще один бесплатный намек - в теме, которую я создавал около полугода назад про antiddos странице этак на 5-ой или 4-ой мне kxk дал неплохой бесплатный совет, который мне чего то сразу не пришел на ум. :)

Если же вы хотите, ТС, что бы вам бесплатно подсказали и поправили ваши конфиги - то не на этом форуме. 20$ за работу и настройку ? Вы сами себе купили результат, не знаю как коллеги выше, но я лично не буду сидеть пол дня онлайн на связи с вашим другом, просить его флудить, а я - подкручивая параметры - выставлять оптимальный результат и т д, меньше чем за 170-250$ то есть 6000-8000руб. 20$ - как то даже оскорбительно исполнителю.... 600руб - это три бутылки хорошего пива:) антиддос-настройки за пиво .... дожили )))

PS: репутации вам добавил, а то закидали вас шпалами

pupseg, вообще то второй намек без первого никак :)

Метод конечно далеко не 100%, но основную массу отрежет.

это вы про /ru/forum/comment/11618405 что-ли??

или про "блокировка по ISO (коды стран вида: ru,ua,kz) через базы Maxmind"

ValdisRu, Нет он наверное об этом: