Как защититься от DDos-атак!
- Автор темы Zeratul
- Дата начала
- Регистрация
- 3 Апр 2006
- Сообщения
- 554
- Реакции
- 895
- Модер.
- #13
Поможет но неудобно
не поможет, так как при обращении ддосовском, загруджается весь процесс апача, что нагружает и процессор и память.
выход - использовать nginx. но там можно и ставить кукис, и анализировать его наличие, и редиректить средствами самого сервера... без html файлов со скриптами.
Снорт не спасет от ддосана самом сервере IDS snort + ipfw (заточеный под прямые руки)
ну и как минимум ядро bsd должно быть скомпилено с опцией drop syn finдругие рекомендации можно найти на opennet и других ресурсах :tcl:
.Вообще, первые рекомендации по настройке сервера в целом (на примере фрибзд) - компиляция ядра с опциями типа TCP_DROP_SYNFIN, как сказал stooper, а также грамотная настройка sysctl, типа проставлений таймстампов от фингерпринтинга, увеличения количества открытых сокетов, размеры tcp-окна, ttl и т.д. У меня около 40 параметров в системе для контроля всех коннектов. Многие полезные параметры можно найти на опеннете, например, так: Для просмотра ссылки Войди
Еще я писал скрипты на перле, позволяющие отслеживать абсолютно все коннекты к серверу, и в случае превышения, предположим, лимита на коннект к какому-либо порту, ставился бан ипу посредством заноса в таблицу нелегитимных ипов фаервола pf. Надо сказать, получилось довольно эффективно, при ддосе на сервер моего знакомого, более 70% ддос-трафика отсекалось.
Однако от действительно мощного и разветвленного грамотно построенного ддоса все равно ничего не спасет. Ведь и яха, и мелко-мягкие ложились под напором распределенных атак. Что уж говорить о среднестатистическом сервере.
Что могу сказать по данному обсуждению.... Практически не одного коректного совета нет.
Естественно нужно понимать что защиты от DDOS пока и в ближайшем времени существовать не будет.
Скинуть часть настоящего (2 и более Gb/s) можно только апаратными жилезками типа cisco Guard и то нивсегда помогает, так как их не многие умеют проффесинально конфигурить, да и стоит это дорого от 1000$ в месяц за защиту одного сервера.
Если дос детский до 40mb/s то нужно естественно отказываться от apache (покрайней мере на frote) и уж точно не вкоем случаи не использовать htaccess , а должны быть полностью выключена возможность их юзать.
Далее ставиться на front чтолибо типа nginx и парсяться все пакеты, а уж после на основании анализа и дальнейшие действия по блокировки производяться.
Естественно ещё в таких случая тюниться ip стек операционки.
Ну это так в кратце, еслиб это было можно описать одним ответом в топике, у меня небылобы такой зарплаты
Естественно нужно понимать что защиты от DDOS пока и в ближайшем времени существовать не будет.
Скинуть часть настоящего (2 и более Gb/s) можно только апаратными жилезками типа cisco Guard и то нивсегда помогает, так как их не многие умеют проффесинально конфигурить, да и стоит это дорого от 1000$ в месяц за защиту одного сервера.
Если дос детский до 40mb/s то нужно естественно отказываться от apache (покрайней мере на frote) и уж точно не вкоем случаи не использовать htaccess , а должны быть полностью выключена возможность их юзать.
Далее ставиться на front чтолибо типа nginx и парсяться все пакеты, а уж после на основании анализа и дальнейшие действия по блокировки производяться.
Естественно ещё в таких случая тюниться ip стек операционки.
Ну это так в кратце, еслиб это было можно описать одним ответом в топике, у меня небылобы такой зарплаты
AchiLLeSS
Мой дом здесь!
- Регистрация
- 13 Дек 2006
- Сообщения
- 848
- Реакции
- 437
Для просмотра скрытого содержимого вы должны войти или зарегистрироваться.
Нас ддосили бот сетью. В итоге помогло только
deny from .....
Но для пущей уверенности, пробили кому принадлежат айпишники, все оказались из нашего города, прыгнули в машину, взяли биты. Оказалось что люди не причём и они в бот сети.
Говорят единственная панацея - железные фаервол. Остальное онанизм в присядку.
deny from .....
Но для пущей уверенности, пробили кому принадлежат айпишники, все оказались из нашего города, прыгнули в машину, взяли биты. Оказалось что люди не причём и они в бот сети.
Говорят единственная панацея - железные фаервол. Остальное онанизм в присядку.
Неправда. И железные фаеры валятся будь здоров. Причем, наотмашь. Стопроцентного, или хотя бы около того, варианта защиты не существует, есть только общие рекомендации (причем по конкретным случаям), исходя из которых можно что-то решать.
Установка mod_evasive и mod_dosevasive
# wget Для просмотра ссылки Войдиили Зарегистрируйся
# tar -xzvf mod_evasive_1.10.1.tar.gz
# cd mod_evasive
# /usr/local/apache/bin/apxs -i -a -c mod_evasive.c
# /etc/init.d/httpd restart
редактирование конфига апача
# vi /usr/local/apache/conf/httpd.conf
-------------------------------------------------
<IfModule mod_evasive.c>
DOSHashTableSize 3097
DOSPageCount 2
DOSSiteCount 50
DOSPageInterval 1
DOSSiteInterval 1
DOSBlockingPeriod 10
</IfModule>
-------------------------------------------------
перезапуск вэбсервера
# /etc/init.d/httpd restart
Оптимизация конфига httpd.conf
# vi /usr/local/apache/conf/httpd.conf
исправить значения у оригинала
MaxKeepAliveRequests 50 (100)
KeepAliveTimeout 60 (30)
после этого отредактировать значения
Timeout
KeepAliv
MinSpareServers
MaxSpareServers
MaxClients
Timeout луче поставить 15
у кого APF можно поставить мини скрипт защиты от ддос
# wget Для просмотра ссылки Войдиили Зарегистрируйся
# sh install.sh
не забудте добавить его в крон
кто не знает
# crontab -e
*/5 * * * * /usr/local/ddos/ddos.sh >/dev/null 2>&1
и наконец
ручная блокировка )))
поиск айпишек
netstat -ntu | awk '{print $5}' | cut -d: -f1 | sort | uniq -c | sort -n
и их блок
# iptables -I INPUT -s АЙПИАДРЕС -j DROP
# service iptables save
# service iptables restart
и блок в APF
# vi /etc/apf/deny_hosts.rules
<Add the IPs at the end>
# service apf restart
P.S. большинство хостеров используют APF
кому интересно напишу как установить
для апача можно еше использовать mod_limitipconn
Для просмотра ссылки Войдиили Зарегистрируйся
но с виртуалхостами у него тяжко
# wget Для просмотра ссылки Войди
# tar -xzvf mod_evasive_1.10.1.tar.gz
# cd mod_evasive
# /usr/local/apache/bin/apxs -i -a -c mod_evasive.c
# /etc/init.d/httpd restart
редактирование конфига апача
# vi /usr/local/apache/conf/httpd.conf
-------------------------------------------------
<IfModule mod_evasive.c>
DOSHashTableSize 3097
DOSPageCount 2
DOSSiteCount 50
DOSPageInterval 1
DOSSiteInterval 1
DOSBlockingPeriod 10
</IfModule>
-------------------------------------------------
перезапуск вэбсервера
# /etc/init.d/httpd restart
Оптимизация конфига httpd.conf
# vi /usr/local/apache/conf/httpd.conf
исправить значения у оригинала
MaxKeepAliveRequests 50 (100)
KeepAliveTimeout 60 (30)
после этого отредактировать значения
Timeout
KeepAliv
MinSpareServers
MaxSpareServers
MaxClients
Timeout луче поставить 15
у кого APF можно поставить мини скрипт защиты от ддос
# wget Для просмотра ссылки Войди
# sh install.sh
не забудте добавить его в крон
кто не знает
# crontab -e
*/5 * * * * /usr/local/ddos/ddos.sh >/dev/null 2>&1
и наконец
ручная блокировка )))
поиск айпишек
netstat -ntu | awk '{print $5}' | cut -d: -f1 | sort | uniq -c | sort -n
и их блок
# iptables -I INPUT -s АЙПИАДРЕС -j DROP
# service iptables save
# service iptables restart
и блок в APF
# vi /etc/apf/deny_hosts.rules
<Add the IPs at the end>
# service apf restart
P.S. большинство хостеров используют APF
кому интересно напишу как установить
для апача можно еше использовать mod_limitipconn
Для просмотра ссылки Войди
но с виртуалхостами у него тяжко