Настроить VDS против DDOS - для чайника...

Тема в разделе "Администрирование серверов", создана пользователем E-body, 26 дек 2010.

Модераторы: mefish, stooper
  1. E-body

    E-body

    Регистр.:
    6 сен 2007
    Сообщения:
    982
    Симпатии:
    319
    Доброе времени суток.
    Так уж сложилось что имнея сайт и форум (субдомен) одной тематики, стали ддосить постоянно. На шаред хостингах больше недели не задерживался - саппрт писал повестку на с**бывание с хоста поскольку им не нужны клиенты мешащие другим. Был приебретен VDS (впервые столкнулся с вдс, имея опыт ранее только с шаред хостингами) от xlhost, все нормально работает вроде бы быстро но подозрительно что при обычном онлайне в 20-80 человек, после открытия сразу в 300-700 коннектов, надо это както усмирить.

    Подскажите словом или линками (на позновательные статьи) как можно настроить VDS чтоб блочил DDOS не навредив при эом поисковым системам.

    Подскажите чайнику, с линуксом мало знаком поскольку виндовс основная ОС.
     
  2. alica

    alica

    Регистр.:
    28 июл 2008
    Сообщения:
    243
    Симпатии:
    76
    Банить по ip только, это можно например сделать через fial2ban с дополнительными настройками для apache, какими точно настройками это зависит от того, что делают эти боты, самое замечательное было бы если они просто конектились к одной странице или к несуществующей с одним юзер агентом, тогда не надо было бы писать исключение к настройкам для поисковых ботов.
     
  3. E-body

    E-body

    Регистр.:
    6 сен 2007
    Сообщения:
    982
    Симпатии:
    319
    судя по логам и хвастань ботнетовода - ботнет настраивается на любую страницу вплодь до лбого обращения к пост и гет запросам. Но в основном это опять же судя по логам боты которые с фейк реферами с популярных сайтов обращатся к / главной странице
     
  4. NafanjaUa

    NafanjaUa

    Регистр.:
    12 мар 2007
    Сообщения:
    243
    Симпатии:
    42
    Тут nginx и iptables-ом блокируют атаки от 50мбит
    http://habrahabr.ru/blogs/infosecurity/84172/
     
  5. Alexandr3

    Alexandr3

    Заблокирован
    Регистр.:
    22 апр 2008
    Сообщения:
    429
    Симпатии:
    96
    От небольшого доса мож прописать в iptables правила
    #############################################################################
    # Лимит на 20 запросов в секунду для интерфейса eth1
    iptables --new-chain lim1
    iptables --insert OUTPUT 1 -p tcp --destination-port 80 -o eth1 --jump lim1
    iptables --append lim1-m limit --limit 20/sec --jump RETURN
    iptables --append lim1--jump DROP
    # Максимум 10 одновременных соединений с одного IP
    iptables -A INPUT-p tcp --dport 80 -m iplimit --iplimit-above 10 -j REJECT
    # Блокировка более 10 SYN
    sbin/iptables -I INPUT -p tcp --syn --dport 80 -j DROP -m iplimit --iplimit-above 10
    # 20 соединений на сеть класса С
    iptables -p tcp --dport 80 -m iplimit --iplimit-above 20 --iplimit-mask 24 -j REJECT
    #############################################################################
     
    E-body нравится это.
  6. barabula

    barabula

    Регистр.:
    21 май 2009
    Сообщения:
    470
    Симпатии:
    77
    Я зашишаюсь иптаблесом, и нгинкс, + конфиги переделаны.
    Но всё равно время от времени есть убытки, котоыре начинают досить, тогда если зашита не справляетсья, я в ручную ей помогаю )

    P.S. Кто-то подскажите хорошую зашиту от флуда ? )
     
  7. Tele2

    Tele2

    Регистр.:
    14 апр 2006
    Сообщения:
    784
    Симпатии:
    94
    От ддоса, 100% защиты нет. Лучше обратится в ДЦ, чтобы они что-то сделали на уровне сети, это будет эффективнее, чем софтовая защита
     
  8. help40

    help40

    Регистр.:
    1 окт 2006
    Сообщения:
    252
    Симпатии:
    26
    если ползуется APACHE, то не забываем про

    "antiloris" так как DoS - "slowloris" блокирует апач даже если интернет связ атакера очень медленая

    (если комуто не ясно что slowloris и антилорис ... гоогле цом)
     
  9. absurdo

    absurdo

    Регистр.:
    22 мар 2007
    Сообщения:
    314
    Симпатии:
    8
    От умеренного ддоса спасает защита на уровне CMS. Например в Битриксе такой модуль есть, мне пока хватает.
     
  10. E-body

    E-body

    Регистр.:
    6 сен 2007
    Сообщения:
    982
    Симпатии:
    319
    lol что? Как битрикс спасает вебсервер от ддоса?