Методы борьбы с DDoS-атаками

[offic]

Вариантов куча, можно задать порт, тип подключений и т.д., смотря какие цели приследуем…

[Bkmz]

Если ддосят корень сайта, то я просто делаю вот так:

iptables -A INPUT -p tcp -m tcp --dport 80 -m string --string "GET / HTTP" --algo kmp --to 1024 -m recent --set --name httpddos --rsource
iptables -A INPUT -p tcp -m tcp --dport 80 -m string --string "GET / HTTP" --algo kmp --to 1024 -m recent --update --seconds 10 --hitcount 2 --name httpddos --rsource -j DROP


Второй запрос на корень, в течении 10 секунд, и ты попал в бан(-j DROP) на десять секунд, если за время (10 сек) еще раз обратился, то опять (-j DROP). И все. Серверу моментально легчает. ДаДа, знаю не хорошо «стрингами» пакеты сканить, но на время атаки на заданный урл это отличный способ, также я довольно много описывал у себя в блоге способов о защите. Конечно там не все что я знаю, но большая часть. И я не уверен что я использую оптимальные варианты, но мне хватает.
Всем удачи в борьбе с ддосерами!

[poige]

> также я довольно много описывал у себя в блоге способов о защите
…
# Enables source route verification
net.ipv4.conf.all.rp_filter = 1

— Скажите, зачем вы пишите вещи, в которых не разбираетесь?

[Bo0oM]

А помойму это все есть в гугле. Да простит меня юзер, если это его авторский текст.
Но все же добавил в избранное, чтобы все было при себе.

[WuWu]

Спасибо за пост, как раз актуально для меня. В избранном.

[decanet]

+

iptables -A INPUT -m geoip --source-country PK,KZ,IN,CN,BR,EG,PL,TH,VN,ID,AR,MX,KR,TR,RO -j REJECT
iptables -A INPUT -m geoip --source-country PH,DZ,IR,MA,MY,PE,RS,SA,HK,JP,SG,IL,CL,NG,TW -j REJECT
iptables -A INPUT -m geoip --source-country CO,AR,JO,SN,NP,IN,UG,LA,SA,LY,MG,JM,SD,DO,TO -j REJECT
iptables -A INPUT -m geoip --source-country CR,KW,FJ,SN,NI,HN,EC,PS,CL,ZA,VN,BO -j REJECT

Как раз азия + африка.

[alexkbs]

А те обычные пользователи вроде меня, что живут в Азии, как попадут на ваш сайт?
Из-за таких «умников» регулярно приходится использовать прокси.

[alexkbs]

Конечно лучше хоть как-то, чем никак, но не такими методами как вы там выше советуете: REJECT для всех кроме RU и UA.

[hooey]

Да, видел я такие сайты: из Азии меня не пускают, при попытке перезагрузить страницу банят на сутки, если страница медленно загружается — отваливается коннект, и т. п.

Если уж делаете такие радикальные меры, отсекающие реальных пользователей, то потом хотя бы отключайте их, когда атака закончится.

[sumej]

Можно еще apache за nginx спрятать.

[Bkmz]

Но как инструмент, потом проще будет отбиваться

[ReaM]

правильно настроенный nginx со своими скриптами-плюшками — одно из самых важных средств защиты от ддос'а.

[vitroot]

Что за чушь? Еще как поможет.

return 444;

поможет нашему брату

[Bkmz]

Вроде это должно быть у всех сразу, без этого никуда сейчас =)

[nqhost]

Честно говоря, статья ни о чем. Если поток превышает емкость канала (до сервера, до роутера, до ДЦ), то никакие тюнинги ОС и прятанье apache за nginx не помогут.

[Bkmz]

Согласен, но это уже малость другой и особый случай. Который не такт часто возникает, в сравнении с HTTP Flood

[nqhost]

По нашему опыту, как раз HTTP flood — это «детский» и нечасто возникающий DDoS, с которым бороться-то дело добровольное. В большинстве случаев нормально настроенный сервер сам справится.

А вот когда идет поток в 300-400 мегабит и 20-30к пакетов в секунду — тут только аппаратные решения в виде пропускания трафика через тот же Cisco Guard.

[timukas]

С детским флудом и sslswamp'ом можно без особых напрягов полжить и нормально настроенный сервер, если на нём есть https без железного ssl ускорителя.

[kozyabozya]

Зачем нужен "/1" в cron?

[azxc]

Привычка. Результат ни на что не влияет все равно.

[offic]

собираем кол-во подключений каждую минуту

[kozyabozya]

Если вы отвечали мне, то спрошу по другому: почему не "* * * * *", а "*/1 * * * *"?

[offic]

можно и так, можно и раз в 5 минут.

[z123]

очередная статья на тему самоделкина-защитника от ддос. таких статей в интернетах уже тысячи. обычно ещё любят писать про ipset, но тут, похоже, автор поленился/ниасилил…

[nxs]

Так напишите же толковую статью!

[z123]

та я как бы не писатель, да и местные ограничения типа кармы не позволяют

[z123]

и, похоже, так будет и дальше :)

[mihass]

Дизайн у сайта из статьи вырви глаз.*

_*offtop

[flx]

--string «GET / HTTP» отнюдь не бесплатен хоть и работает в контексте ядра.

[amarao]

Какое-то слабенькое описание. И DDoS'ы какие-то тоже слабые (в смысле, если у вас сервер способен что-то из крона запустить, значит DDoS не настоящий, или каналы слабые).

[0din]

забавляет, когда пишут про Cisco Guard, считая этот девайс панацеей от DDoS, при этом ни разу не видев его… молчу, что он уже как год end of sale.
Последний релиз софта был выпущен 13/NOV/2009… нужно ли говорить, что с тех пор много воды утекло?

[Bkmz]

А вы что предложите?

[pietrovich]

TippingPoint не вариант?

[loginex]

Программно-аппаратный комплекс Kaspersky DDoS Prevention, например. На редкость эффективная штука…

[equand]

Широкие каналы, хороший бордер рутер способный фильтрануть UDP флуд в 17 гбит, дроп на UDP/ICMP в случае атаки.
Что еще?
Если больше 17 гбит — don't bother just nullroute. Больше трех дней канальщики не позволят лить такой траффик к Вам.

[flx]

Если больше 17Gbps — добро пожаловать к нам. Именно поэтому построили распределенную сеть, не завязанную на одного оператора.

[equand]

Да это и самому можно с anycast сделать, если уж так надо. РАЙП без проблем выделит IP под цели мультипиринга, что в anycast необходимо.

[flx]

попробуйте и сделайте. откроете для себя много нового и интересного: например про петли в bgp.

[equand]

path cost для лохов? :)

[flx]

они решают вопрос статических петель, но не динамических.
пара удачно проставленных localpref могут неизбывно доставить…

[flx]

ну и потом, если все так просто и чудесно — делайте. нам будет интересно.

[equand]

В планах, если кто закажет услугу. Ясно что это не стоит 500 евро в месяц, а как минимум 15к евро в месяц, чтобы 3-4 локации очистить от левого траффика, грубо говоря 30-40 гбит без проблем снять.

[flx]

ну а вот теперь представьте себе качество услуги если первый клиент — он-же бета тестер.
да еще не за 500 евро а за 100500.
считаете нормальная практика когда он и услугу и R&D оплачивает, да еще и тестировщик?

знаю отличный пример создания такой услуги в «укртелекоме». где-то в архиве хабра лежит статейка как они за 100500M евро ЦОТ строили.
какая здесь экономическая целесообразность?

а ведь ЦОТ не только построить надо, он должен еще и развиваться и масштабироваться.
а это сколько стоить будет? и пойдет-ли заказчик-ангел на такие расходы?

есть некоторая разница в «knowing the way» и «walking the way». и это замечательно.
P.S. июнем прошли марку в 56Gbps. выстояли, пусть и с 5 минутной заминкой.

[equand]

Почему бета-тестер? Локальная система готова фильтровать 17 гбит, можно либо локально ее размножить либо через anycast в мире, что логичнее, чем переплачивать за международный траффик дома.
Поставить в 5-10 IX по миру и фильтровать нужно будет уже в пределах 10 гбит, что дешевле.
А насчет 15000 евро — имхо это реальная стоимость услуги защиты от любой угрозы, меньше — это просто несерьезно (ну разве что посадить десяток проблемников и молиться чтобы 3-4 ботнета-миллионника разом не ударили).

[0din]

Отдать на откуп специалистам: услуга у оператора/хостера или специализированного сервиса.

Если ознакомиться с прайсом многих сервисов, то окажется, что цена вопроса минимальна (в контекте того ddos который вы описали).

Промышленное решение на стороне клиента — бессмысленно! Поэтому и рассматривать их не стоит.
Как совет, вне зависимости от того существует ли потенциальная опасность быть атакованным или нет, на этапе выбора хостера или оператора смотрите на тех, кто предоставляет услуги по фильтрации трафика, как минимум вам не нужно будет переезжать в другой ДЦ и это позволит сократить вам время подключения к услуге.

А все что вы описали выше + еще 1001 метод защиты неплохо знать в качестве общеобразовательной программы от совсем легкого флуда.

[loginex]

ну да, около 650 тысяч рублей за действительно эффективную защиту:
soft.softline.ru/kaspersky/kaspersky-ddos-prevention/

[0din]

инцидент с ассистом продемонстрировал «эффективную» защиту)). цены у касперского самые высокие на рынке. защиты от описанного в статье флуда будет стоить не дороже 5тыс руб.

[flx]

у касперского достаточно примитивный классификатор который пройдет атака уровня приложения с хорошо распределением и джиттером в запросах.

[gunya]

От легкого флуда также неплох CSF + LFD.

[z3apa3a]

Был такой широко известный в узких кругах персонаж, Николай Федотов. Так вот он любил говорить, что лучший способ защиты от DDoS-атак — не хамить в чатах. Не такой уж плохой совет, если подумать.

[JerryJJ]

«или у вас десятки (а то и сотни) серверов, и Вы не успеваете физически “мониторить” их все» — а автоматизировать мониторинг нельзя?

[azxc]

Такой способ хорош для DoS, а не DDoS.

[medvoodoo]

Если у злоумышленника тыква вместо головы, как показано на рисунке, то да, эти методы помогут.

«Используйте директиву MaxClients» — вы сделаете так, что ваш сайт будет недоступен. что и хотят злоумышленники.

fail2ban забыт, вместо него используются дибильные велосипеды.

habrahabr.ru/blogs/personal/71694/ здесь умнее и больше. :)

[flx]

apache не имеет ни единого шанса. by design.
1. нет возможности ограничить размер принимаемых от клиента данных
2. недостаточно хорошо настраиваются таймауты.
3. выделение воркера происходит в момент accept() на соединение.

[medvoodoo]

Осталось выяснить, при чем здесь апач? Здесь вообще бредняк написан.
В той статье которую я привел, там при прочих равных ipconfig правится, плюс как бы название доставляет.

[flx]

1. mod_evasive — (mod_dosevasive)
дальше можно не читать.