DDOS и борьба с ним
Ilyxa 9 мая, 2007 - 17:47
Надоело тупо смотреть как падает сервер, нашел 2 варианта борьбы с этим
1) скриптом (при значительном числе висящих соединений ESTABLISHED) очищать ip_conntrack
2) Поставить лимит скорости на подключение к порту
Кто еще как борется с этой напастью ?
»
- Для комментирования войдите или зарегистрируйтесь
по пункту два
по пункту два :
возможно неправ, но имхо, палка на двух концах? "укоротишь" скорость -будет легче "забить" канал.
по первому сабжу, а поможет? и если можно скрипт, интересно поглядеть ...
вообще в
вообще в patch-o-matic была такая фича которая позволяла блокировать сканы и ддос...
_________________
Gentoo GNU/Linux 2.6.21 GCC 4.1.2 Dual Xeon
Working on Gentoo for iPAQ hx4700 :-)
Re: вообще в
спасибо, не слышал про него, надо будет посмотреть.
интересно каким методом производится "блокировка ддоса" только...
Re: вообще в
limit ? дак это и есть пункт 2
я в свое время
я в свое время писал пару скриптов для анализа доса и автоматической блокировки. но эти скрипты подходят только для случаев когда DDoS организуется с каких-то определенных подсетей.
Если ДОС идет граммотный с большого количества IP адресов с разных подсетей, то тут бороться очень сложно.
Первый скрипт - connections_stats.sh анализ текущего состояния.
запускать в shell.
http://sidorov.be/connections_stats.sh
Второй check_dos.sh - необходимо прописать в cron и запускать периодически (можно каждую минуту).
http://sidorov.be/check_dos.sh
Я тут нашел
Я тут нашел полезную фичу в xinet.d
per_source - ограничивает количество подключений для каждого хоста
А Gentoo не использут xinet.d ...
emerge sys-apps/xinetd,
emerge sys-apps/xinetd, однако... ;))
ну апач не
ну апач не через xinetd вертится.
а ДОС чаще всего падает на него. выявляется какая-нить тормозная страница, и на нее скопом валятся запросы с разых IP.
Еще есть идея:
Еще есть идея: использовать списки с IP адресами спам-машин от RBL-списков фаерволом, для отсечения их на 1 стадии. Мож подобное что т уже есть ?
Re: Еще есть идея:
а что это за списки "спам-машин" такие ? О_о
и где они есть -то?)
нет. это не
нет. это не вариант.
спам к досу отношения не имеет.
Re: нет. это не
Имеет, как раз с этих Бот машин и идут атаки, так что на 60% тебе будет спокойнее
Re: нет. это не
да?
что-то я не слыхал, чтобы с ботнета спамили =)
ботнеты
ботнеты используют в основном для спама и ddos
тогда лучше
тогда лучше вообще полмира отрежь и будет тебе спокойней.
и откуда эта цифра 60%?
что у тебя за
что у тебя за ДОС?
на какие порты валится? с определенных подсетей или хаотично? и сколько максимум соединений показывает netstat в пиковые моменты?
У меня досят
У меня досят postfix
PS На этой ноте думаю откланятся, за не имением оригинальных идей, будем бить собственными силами