Несколько вопросов по DDoS

Тема в разделе "Десктопный Linux", создана пользователем nops, 15 дек 2009.

Статус темы:
Закрыта.
Модераторы: Цукер
  1. nops

    nops

    Регистр.:
    10 дек 2008
    Сообщения:
    262
    Симпатии:
    7
    Друзья! Всем привет!

    Имеем CentOS 5.2 На нём биллинг и хостинг

    Вопрос в следующем.
    Есть сервер, на нём хостится 8 сайтов, 3 домена 2-го уровня, а остальные субдомены каждого из верхнего уровня.
    Есть подозрение, что мой сервак атакуют, а именно DDoS.
    У меня сначала возрастают пинги с 50мс до 400-600мс и даже до 2000 мс. Так он держится минут 10-15 и потом не отвечает. У меня написан скрипт, если не пингуется IP-адрес в сети интернет, то сервак сам идёт в перезагрузку.
    Спустя время, от 5 минут до нескольких часов сервер наконец-то начинает отвечать, и с нормальными пингами от 30 до 60 мс.

    Вопрос в следующем, как определить что именно произошло с сервером, почему он перестал отвечать, и если подтвердится что это DDoS, то как определить какой именно домен атакуют...

    Заранее благодарен.
     
  2. usasoft

    usasoft

    Регистр.:
    9 янв 2008
    Сообщения:
    200
    Симпатии:
    107
    собственно, вот это должно помочь думаю, если разберетесь, и все заработает, отпишите)

    http://forum.xaknet.ru/showthread.php?t=8122
     
  3. sultan347

    sultan347

    Регистр.:
    25 апр 2009
    Сообщения:
    230
    Симпатии:
    7

    mysql_query("DELETE FROM table WHERE datetime<DATE_SUB(NOW(),INTERVAL 2 MINUTE)");
    mysql_query("REPLACE INTO table SET ip='".$_SERVER['REMOTE_ADDR']."',datetime=NOW()
     
  4. nops

    nops

    Регистр.:
    10 дек 2008
    Сообщения:
    262
    Симпатии:
    7
    А это что? Работа с базой данных MySQL? Что это такое и что с этим делать?

    Добавлено через 14 минут
    если честно, то не разобрался, что нужно сделать с этим скриптом?
     
  5. sultan347

    sultan347

    Регистр.:
    25 апр 2009
    Сообщения:
    230
    Симпатии:
    7
    Суть в том, фиксируется обращения тебе за последние 2 минуты
     
  6. penguen

    penguen

    Регистр.:
    7 янв 2007
    Сообщения:
    824
    Симпатии:
    94
    Логи для чего придумали? Просмотрите их, может на что-то попадете.
    Я в apache22 добавил модуль mod_evasive
    http://www.lissyara.su/articles/freebsd/www/mod_evasive/
    Также в ipw добавил пару правил. Ось Фря 7.2
     
  7. Citadel

    Citadel Писатель

    Регистр.:
    10 июн 2007
    Сообщения:
    8
    Симпатии:
    1
    На сервере крутится БД? Если да, то посмотри что с ней творится - может есть какие-то проблемы в оптимизации или же медленные запросы висят толпами и грузят процессор. То же касается и скриптов на твоём хостинге.

    И хорошо бы написать какая конфигурация железа, статический или динамический IP, может проблему не там ищешь...

    P.S. DDOS лучше всего определять и ликвидировать с помощью iptables+limit+log, в нете масса инфы на эту тему.
     
  8. nops

    nops

    Регистр.:
    10 дек 2008
    Сообщения:
    262
    Симпатии:
    7
    раньше всё было нормально, изменений никаких не делал.
    Началась такая фигня. При чём бывает что серв по нескольку раз за вечер уходит в даун, а бывает 3 недели без проблем работает.
     
  9. pikasun

    pikasun Постоялец

    Регистр.:
    23 сен 2009
    Сообщения:
    117
    Симпатии:
    9
    Посмотрите снифером на кол-во соединений по 80 порту

    http://tty.org.ru/node/30
    http://dd0s.blogspot.com/
    http://it-man.su/2009/04/27/netstat-smotrim-kolichestvo-podklyuchenijj/
     
    nops нравится это.
  10. nops

    nops

    Регистр.:
    10 дек 2008
    Сообщения:
    262
    Симпатии:
    7
    Друзья. Так-то разобраться не могу. Смотрю по биллинговой системе. Какие запросы и пакеты куда проходили. В результате смотрю, и оказалось, что на 80-й порт запросов оч мало.
    Вот скрин из биллинга:
    [​IMG]

    Может я что-то не понимаю?
    Из скрина видно, что серв был в дауне с 0:19:40 до 2:47:41(это время)
    Затёртые это мой IP.
     
Статус темы:
Закрыта.