Настроить VDS против DDOS - для чайника...

Тема в разделе "Администрирование серверов", создана пользователем E-body, 26 дек 2010.

Модераторы: mefish, stooper
  1. E-body

    E-body

    Регистр.:
    6 сен 2007
    Сообщения:
    983
    Симпатии:
    320
    Доброе времени суток.
    Так уж сложилось что имнея сайт и форум (субдомен) одной тематики, стали ддосить постоянно. На шаред хостингах больше недели не задерживался - саппрт писал повестку на с**бывание с хоста поскольку им не нужны клиенты мешащие другим. Был приебретен VDS (впервые столкнулся с вдс, имея опыт ранее только с шаред хостингами) от xlhost, все нормально работает вроде бы быстро но подозрительно что при обычном онлайне в 20-80 человек, после открытия сразу в 300-700 коннектов, надо это както усмирить.

    Подскажите словом или линками (на позновательные статьи) как можно настроить VDS чтоб блочил DDOS не навредив при эом поисковым системам.

    Подскажите чайнику, с линуксом мало знаком поскольку виндовс основная ОС.
     
  2. alica

    alica

    Регистр.:
    28 июл 2008
    Сообщения:
    243
    Симпатии:
    76
    Банить по ip только, это можно например сделать через Перейти по ссылке для apache, какими точно настройками это зависит от того, что делают эти боты, самое замечательное было бы если они просто конектились к одной странице или к несуществующей с одним юзер агентом, тогда не надо было бы писать исключение к настройкам для поисковых ботов.
     
  3. E-body

    E-body

    Регистр.:
    6 сен 2007
    Сообщения:
    983
    Симпатии:
    320
    судя по логам и хвастань ботнетовода - ботнет настраивается на любую страницу вплодь до лбого обращения к пост и гет запросам. Но в основном это опять же судя по логам боты которые с фейк реферами с популярных сайтов обращатся к / главной странице
     
  4. NafanjaUa

    NafanjaUa

    Регистр.:
    12 мар 2007
    Сообщения:
    243
    Симпатии:
    42
    Тут nginx и iptables-ом блокируют атаки от 50мбит
    http://habrahabr.ru/blogs/infosecurity/84172/
     
  5. Alexandr3

    Alexandr3

    Заблокирован
    Регистр.:
    22 апр 2008
    Сообщения:
    429
    Симпатии:
    96
    От небольшого доса мож прописать в iptables правила
    #############################################################################
    # Лимит на 20 запросов в секунду для интерфейса eth1
    iptables --new-chain lim1
    iptables --insert OUTPUT 1 -p tcp --destination-port 80 -o eth1 --jump lim1
    iptables --append lim1-m limit --limit 20/sec --jump RETURN
    iptables --append lim1--jump DROP
    # Максимум 10 одновременных соединений с одного IP
    iptables -A INPUT-p tcp --dport 80 -m iplimit --iplimit-above 10 -j REJECT
    # Блокировка более 10 SYN
    sbin/iptables -I INPUT -p tcp --syn --dport 80 -j DROP -m iplimit --iplimit-above 10
    # 20 соединений на сеть класса С
    iptables -p tcp --dport 80 -m iplimit --iplimit-above 20 --iplimit-mask 24 -j REJECT
    #############################################################################
     
    E-body нравится это.
  6. barabula

    barabula

    Регистр.:
    21 май 2009
    Сообщения:
    470
    Симпатии:
    77
    Я зашишаюсь иптаблесом, и нгинкс, + конфиги переделаны.
    Но всё равно время от времени есть убытки, котоыре начинают досить, тогда если зашита не справляетсья, я в ручную ей помогаю )

    P.S. Кто-то подскажите хорошую зашиту от флуда ? )
     
  7. Tele2

    Tele2

    Регистр.:
    14 апр 2006
    Сообщения:
    784
    Симпатии:
    94
    От ддоса, 100% защиты нет. Лучше обратится в ДЦ, чтобы они что-то сделали на уровне сети, это будет эффективнее, чем софтовая защита
     
  8. help40

    help40

    Регистр.:
    1 окт 2006
    Сообщения:
    252
    Симпатии:
    26
    если ползуется APACHE, то не забываем про

    "antiloris" так как DoS - "slowloris" блокирует апач даже если интернет связ атакера очень медленая

    (если комуто не ясно что slowloris и антилорис ... гоогле цом)
     
  9. absurdo

    absurdo

    Регистр.:
    22 мар 2007
    Сообщения:
    314
    Симпатии:
    8
    От умеренного ддоса спасает защита на уровне CMS. Например в Битриксе такой модуль есть, мне пока хватает.
     
  10. E-body

    E-body

    Регистр.:
    6 сен 2007
    Сообщения:
    983
    Симпатии:
    320
    lol что? Как битрикс спасает вебсервер от ддоса?