Несколько вопросов по DDoS

nops · 15 Дек 2009

Друзья! Всем привет!

Имеем CentOS 5.2 На нём биллинг и хостинг

Вопрос в следующем.
Есть сервер, на нём хостится 8 сайтов, 3 домена 2-го уровня, а остальные субдомены каждого из верхнего уровня.
Есть подозрение, что мой сервак атакуют, а именно DDoS.
У меня сначала возрастают пинги с 50мс до 400-600мс и даже до 2000 мс. Так он держится минут 10-15 и потом не отвечает. У меня написан скрипт, если не пингуется IP-адрес в сети интернет, то сервак сам идёт в перезагрузку.
Спустя время, от 5 минут до нескольких часов сервер наконец-то начинает отвечать, и с нормальными пингами от 30 до 60 мс.

Вопрос в следующем, как определить что именно произошло с сервером, почему он перестал отвечать, и если подтвердится что это DDoS, то как определить какой именно домен атакуют...

Заранее благодарен.

usasoft · 15 Дек 2009

собственно, вот это должно помочь думаю, если разберетесь, и все заработает, отпишите)

Для просмотра скрытого содержимого вы должны войти или зарегистрироваться.

sultan347 · 15 Дек 2009

Для просмотра скрытого содержимого вы должны войти или зарегистрироваться.

nops · 16 Дек 2009

sultan347 написал(а):
*** скрытое содержание ***

А это что? Работа с базой данных MySQL? Что это такое и что с этим делать?

Добавлено через 14 минут

usasoft написал(а):
собственно, вот это должно помочь думаю, если разберетесь, и все заработает, отпишите)
*** скрытое содержание ***

если честно, то не разобрался, что нужно сделать с этим скриптом?

sultan347 · 16 Дек 2009

nops написал(а):
А это что? Работа с базой данных MySQL? Что это такое и что с этим делать?

Суть в том, фиксируется обращения тебе за последние 2 минуты

penguen · 16 Дек 2009

Логи для чего придумали? Просмотрите их, может на что-то попадете.
Я в apache22 добавил модуль mod_evasive
Для просмотра ссылки Войди или Зарегистрируйся
Также в ipw добавил пару правил. Ось Фря 7.2

Citadel · 20 Дек 2009

На сервере крутится БД? Если да, то посмотри что с ней творится - может есть какие-то проблемы в оптимизации или же медленные запросы висят толпами и грузят процессор. То же касается и скриптов на твоём хостинге.

И хорошо бы написать какая конфигурация железа, статический или динамический IP, может проблему не там ищешь...

P.S. DDOS лучше всего определять и ликвидировать с помощью iptables+limit+log, в нете масса инфы на эту тему.

nops · 20 Дек 2009

раньше всё было нормально, изменений никаких не делал.
Началась такая фигня. При чём бывает что серв по нескольку раз за вечер уходит в даун, а бывает 3 недели без проблем работает.

pikasun · 21 Дек 2009

nops написал(а):
раньше всё было нормально, изменений никаких не делал.
Началась такая фигня. При чём бывает что серв по нескольку раз за вечер уходит в даун, а бывает 3 недели без проблем работает.

Посмотрите снифером на кол-во соединений по 80 порту

Для просмотра ссылки Войди или Зарегистрируйся
Для просмотра ссылки Войди или Зарегистрируйся
Для просмотра ссылки Войди или Зарегистрируйся

nops · 24 Дек 2009

Друзья. Так-то разобраться не могу. Смотрю по биллинговой системе. Какие запросы и пакеты куда проходили. В результате смотрю, и оказалось, что на 80-й порт запросов оч мало.
Вот скрин из биллинга:

Может я что-то не понимаю?
Из скрина видно, что серв был в дауне с 0:19:40 до 2:47:41(это время)
Затёртые это мой IP.

Несколько вопросов по DDoS

nops

Участник

usasoft

Постоялец

sultan347

Участник

nops

Участник

sultan347

Участник

penguen

Постоялец

Citadel

Писатель

nops

Участник

pikasun

Постоялец

nops

Участник