iBBi Oct 7 2009 at 00:17

DDoS — как выжить от школьников?

3 min

5.4K

Network technologies*

+18

Comments 15

Andrey_Rogovsky Oct 7 2009 at 00:27

Справедливости ради наверное следует добавить, что про блокировку классического DDOS через string я первым описал тут еще в 2008 году.

iBBi Oct 7 2009 at 00:39

Да я и не говорю что я первый :) сам читал раньше Ваш dedic.ru
С Вашим опытом… Собрать бы Вам все мысли в кучу и написать полноценную статью.

Klimka Oct 7 2009 at 04:51

Или книгу!

iBBi Oct 7 2009 at 09:18

в точку! но с уклоном для хотеров.

postdig Oct 7 2009 at 00:30

mod_evasive — ерунда и баловство, реально не помогает. Лучше напишите скрипт что будет висеть на логе апача и файрволить частые обращения например к корню сайта (пример на bash были на хабре, но увы не найду)

а насчет файрвола, вот вам кусочек, в общем-то только его хватит чтоб сервер не умирал от слабой атаки, особенно если прижать вниз лимит в нем, да еще желательно подтвикать еще конфиг апача ;)

/sbin/iptables -N DDOS_HTTP_FILTER
/sbin/iptables -F DDOS_HTTP_FILTER
# чтобы свободно к самому себе скрипты могли обращаться
/sbin/iptables -A DDOS_HTTP_FILTER -p tcp --dport 80 -s _ип_нашего_сервера -j RETURN
# все что удовлетворяет этому hashlimit-у — пропускаем, то есть те син пакеты что идут реже лимита
/sbin/iptables -A DDOS_HTTP_FILTER -p tcp --syn --dport 80 -m hashlimit \
--hashlimit-name DDOS --hashlimit-mode srcip \
--hashlimit 40/min --hashlimit-burst 120 \
--hashlimit-htable-size 32768 --hashlimit-htable-max 32768 \
--hashlimit-htable-gcinterval 1000 --hashlimit-htable-expire 100000 -j RETURN
# а остальные сины — дропаем
/sbin/iptables -A DDOS_HTTP_FILTER -p tcp --syn -j DROP
# и собственно направляем син пакеты идущие к нам на http на наш код
/sbin/iptables -A INPUT -p tcp --syn --dport 80 -j DDOS_HTTP_FILTER