Как защититься от DDos-атак!

Ограничение может сделать только оператор на оборудовании до сервера, в нашем случае CISCO

а вобще заткнуть можно любую дырку. Есть клиенты кто оплачивает пару гигабитных каналов и сидят пару админов блочат траф левый, для того чтобы проекты под ддос жили.
 
Добрый день. Расскажите, как настроить.

Поставил. В первый же день IP Яндекса оказался в htaccess. Убрал, **х.

Вам надо создать белый список и внести туда список разрешенных адресов, в который и будут входить поисковики и нужные Вам IP...


Нашел несколько дополнительных пакетов и надстройчик фаервола iptables...
Юзаем...


Желаю удачи... И чтоб никого не ддосили...
 
Да, большенство людей что писали коменты не знают что такое ДОС и ДДОС,
все скрипты (ПХП) что были выще изложены ето бред сивой кобылы,
поскольку WWW сервер отвечает ДДОСЕРУ и ддосер все больше и больше занимает сокетов и
забирает процесорного времени на сервере, в конце концов наступит кернел паник
или как минимум процесы попадут в режым ЗОМБИ, из собственного опыта знаю.

Все что может спасти от выше изложеного
1) Фаервол
2) И красиво настроен веб сервер!

Примеры
1) Фаервол, я использую PF ибо все остальное гавно.



Мини мануал по командам PF
pfctl -f /etc/pf.conf - Загрузить правила из файла /etc/pf.conf
pfctl -nf /etc/pf.conf - Проверить валидность правил из файла /etc/pf.conf - НО НЕ ЗАГРУЖАТЬ
pfctl -Nf /etc/pf.conf - Загрузить только правила NAT
pfctl -Rf /etc/pf.conf - Загрузить только фильтрующие правила
pfctl -sn - Посмотреть активные правила NAT ТРАНСЛЯЦИИ
pfctl -sr - Посмотреть активные правила фильтра
pfctl -ss - Показать текущую таблицу состояний (state table)
pfctl -si - Показать статистику
pfctl -sa - Показать ВСЁ что можна

2) WWW сервер
Выкладовать конфигурацию веб сервера не имеет смысла но принцып таков.
У меня на сервере стоит два веб сервера Nginx and Apache 1.3
Етих 2 веб сервера в паре просто бомба.
На порту 80 работает Nginx а на 8080 работает Apache 1.3
Дуступ к порту 8080 разрешен только из интерфейса lo0 и соответственно из моих IP.
Тобиж у нас есть быстродействие Nginx и функционал Apache плюс само собой пашет mod_rewrite и PHP работает как Вам захотелось хоть mod_php хоть FastCGI.
И того Nginx выступает в качестве кешырующего веб сервера а апач в качестве выполняймого.
И вот когда Вас ДОСЯТ или ДДОСЯТ Nginx первый раз берет страничку у апача а второй и все последующие отдайот из кеша и сразу рубает линк с ДДОСЕРОМ.

Извинаюсь за то что обидел кого нить за выражения в посте и безграмотность.

Если кто нить хочет увидить пример конфига Nginxa по желанию дополню.

Если Вам был интересен пост пишите в личку помогу реализовать застчиту БЕЗСПЛАТНО.

Чють не забыл ОС FreeBSD и OpenBSD

А с Вами stooper я в полне согласен ибо автор данного текста по поводу mod_evasive я и автор статьи за линком Для просмотра ссылки Войди или Зарегистрируйся тоже, на момент написания стати я был под жестоким ддосом и у меня небыло времения изучение все остального!
 
Хотелось бы увидеть пример конфина NGINX, но если честно, то для меня не это главное:ah:, я фаер совсем не знаю, лучше конфиг фаера увидеть (интерисует закрытие порта Apache от внешнего мира) чтобы на мир смотреть только NGINX-ом
 
pass quick proto { tcp } from { IP_интерфейса_Вашего_сервера, IP_интерфейса_Вашего_сервера, 127.0.0.1/8 } to any port { 8080 }
block proto { tcp } from any to any port { 8080 }

Если что пишыте смогу помочь настроить Ваш фаервол.
 
С закрытием апача для всех, справился, в панели ISPmanager такое действие делается 2 кликами, хотя оно и так двумя кликами делается и панель не нужна :)

Фаером еще не плохо закрывать localhost, чтобы БД не беспокоили, PhpMyadmin, если она в стандартных директорях лучше перепрятать или отключить (я так делаю). SSH разрешить только себе, и как-то полегчало :ay:
 
С закрытием апача для всех, справился, в панели ISPmanager такое действие делается 2 кликами, хотя оно и так двумя кликами делается и панель не нужна :)

Фаером еще не плохо закрывать localhost, чтобы БД не беспокоили, PhpMyadmin, если она в стандартных директорях лучше перепрятать или отключить (я так делаю). SSH разрешить только себе, и как-то полегчало :ay:

Панель управления ISPmanager в разделе Сервисы делает опрос с каждому процесу непосредственно на порт так что зыкрывать локал хост НЕ НУЖНО!
 
PHP:
Сайт в данный момент подвергается DDOS атаке, если Вы не машина-зомби атакующая сайт нажмите на кнопку, иначе Ваш IP (<?=$ad_ip?>) будет заблокирован!!!  
<form method="post">  
<input type="submit" name="ad_white_ip" value="Кнопка">  
</form>
а можно как нибудь сделать так чтоб вместо нажатии кнопки нужно будет вводить стандартну капчу от DLE ? :)
 
  • Заблокирован
  • #69
Извиняюсь, если такое уже было, можно скачать скрипт

Работает довольно просто — каждую минуту по крону запускается команда
netstat -ntu | awk '{print $5}' | cut -d: -f1 | sort | uniq -c | sort -n
и выбираются все айпишники число соединений с которых превышает заданное в конфиге ограничени(по умолчанию 150).
Время бана тоже настраивается в конфиге. Также можно выбрать с каким файрволом работать — iptables или apf(надстройка над iptables).

Спасет от небольших ддосов.
 
1) Ниодного реального отведа на конкретний вопрос
2) Нет разници какая ОС у тебя стоит
3) От ДОС атак спасают только Хорошие сетевие адаптери, и ето еталон всего что можно накрутить. (никакой софт вас не спасет, если у вас на сервере стоит Риалтек бгг)

совет: Луче всего Юзать FreeBSD, с льогкими движениями руки "БСД + самапальний фаярвол" становитсо не пробиваемим любим количеством доса. (Если у кого будет нужда посоветоватсо на щет сервера пишите в личку, постараюсь ответить всем. И даже на счет настройки и установки БСД (договоримсо))
 
Назад
Сверху