DDoS атаки режим ооочень просто. Главное выявить ip реального пользователя от бота. Как? очень просто. На примере: висит програмулька, мониторит нагрузку канала. Возрастает до 80% загрузка канала, активируем panicMode, на всех сайтах автоматом догружается скрытый iframe. Боты не используют бровзер, соотвественно этот скрытый iframe не видят, а реальный клиеты грузят. IP реальных клиентов поподают в белый список(через запрос этого iframe, все остальный в бан на iptables.
Нагрузка канала спадает до 70% iptables сбрасывается, panicMode выключается и всё ок.
SYN атаки нормально настроенной системой режутся в разы.
Ага, в линейке cisco это cisco guard xt, плюс к ней нужно cisco PIX firewall…
первая весь трафик смотрит и в случае аномалии отправляет сигнал PIX и тот блокирует траф…
цены конечно кусаются от 30к зеленых =)
Как-то всё это в один стереотип треугольника неправильно, всё по ситуации, люди разный бывают. Вот что правда в роли жертвы нафиг, а кто наглеет гнать в шею. На елку залезть и попу не ободрать
в smtpd_recipient_restrictions = также бы посоветовал вставить проверку на подделку собственного домена, много спама идет с
user@mydomian.com на user@mydomian.com
в /etc/postfix/disallow_my_domain вставить
mydomian.com 554 lincoln-grp.com spameer?
таким оброзом если приходит письмо от user@mydomian.com с не локальной сети (permit_mynetworks) и не от пользователя с smtp аутентификацией (permit_sasl_authenticated) шлём лесом!
в /etc/postfix/header_checks также
/^From=/ DISCARD
/^From:*$/ DISCARD
/^From:/ DISCARD
от совсем кривых спаммеров.
Всё это на продакшине более чем на 10 серверов, помогает и жалоб небыло.
Если каждый blade обходится почти как оди котейнер забитый обычными pc серверами, то данное изобритение разве что пойдет под проэкты вроде личные фото и файлы Челси
Нагрузка канала спадает до 70% iptables сбрасывается, panicMode выключается и всё ок.
SYN атаки нормально настроенной системой режутся в разы.
первая весь трафик смотрит и в случае аномалии отправляет сигнал PIX и тот блокирует траф…
цены конечно кусаются от 30к зеленых =)
lincoln-grp.com заменить на mydomian.com
с рабочего конфига тянул )
user@mydomian.com на user@mydomian.com
permit_mynetworks,
permit_sasl_authenticated,
check_sender_access hash:/etc/postfix/disallow_my_domain
в /etc/postfix/disallow_my_domain вставить
mydomian.com 554 lincoln-grp.com spameer?
таким оброзом если приходит письмо от user@mydomian.com с не локальной сети (permit_mynetworks) и не от пользователя с smtp аутентификацией (permit_sasl_authenticated) шлём лесом!
в /etc/postfix/header_checks также
/^From=/ DISCARD
/^From:*$/ DISCARD
/^From:/ DISCARD
от совсем кривых спаммеров.
Всё это на продакшине более чем на 10 серверов, помогает и жалоб небыло.
А Хрум где?
блин под какой рынок их делают?
ps: молодца конечно!