Хостинг - Обзор: эпицентр русскоязычного хостинга

Здравствуйте, гость ( Вход | Регистрация )

> ДДОС атака.. как защитить сервер?
Vadim.K.
сообщение 01.07.2011, 20:13
Сообщение #1





Группа: Старые пользователи
Сообщений: 16
Регистрация: 20.01.2010
Пользователь №: 11,186


Репутация: 186


Сервер подвергся ДДОС атаке в 500 мбит/с.

Какие есть варианты защиты?

Сервер используется для авторизации программы клиента. Программа клиаета посылает запрос к серверу 1 раз в 1-20 секунд.
Запрос к серверу идет максимум в 400 байтов.

Сейчас сервер ложится от ДДОС'а из-за больших запросов, в общем 500 мбит/с.

Возможно ли как-то банить на определенное время IP у которых запрос больше 400 байтов к серверу (желательно блокировку к определенному порту или нескольким)?

Сервер - Apache/2.2.11 (Ubuntu) PHP/5.2.6-3 ubuntu 4.6 и mysql

Сообщение отредактировал Vadim.K. - 01.07.2011, 21:51
User is offlineProfile CardPM
Go to the top of the page
+Quote Post
 
Reply to this topicStart new topic
Ответов(1 - 15)
Ivan
сообщение 01.07.2011, 21:19
Сообщение #2


Отдыхаю


Группа: Старые пользователи
Сообщений: 3,533
Регистрация: 02.08.2002
Из: ЗАО "Рувеб"
Пользователь №: 35


Репутация: 260


возможно.
Файрвол какой?


и кста pps какой?
User is offlineProfile CardPM
Go to the top of the page
+Quote Post
Ivan
сообщение 01.07.2011, 21:35
Сообщение #3


Отдыхаю


Группа: Старые пользователи
Сообщений: 3,533
Регистрация: 02.08.2002
Из: ЗАО "Рувеб"
Пользователь №: 35


Репутация: 260


Апач перед смертью в лог писать успевает? грепать пробовали?
User is offlineProfile CardPM
Go to the top of the page
+Quote Post
Vadim.K.
сообщение 01.07.2011, 21:43
Сообщение #4





Группа: Старые пользователи
Сообщений: 16
Регистрация: 20.01.2010
Пользователь №: 11,186


Репутация: 186


Файрвол не был установлен.

Иван, какой файрвол для моих целей вы посоветуете? и хватит ли одного файрвола чтобы сделать такую блокировку что выше я написал?

PPS - даже в гугле не нашел что это.


P.S. как началась атака, немецкий хостер отключил доступ и после заблокировал сервер. Но на вопрос логов ответили только что идет сильная атака в 500 мбит и они будут исправлять... на другой день, сегодня закончилось тем, что сервер больше не будет доступен и деньги не вернут, так как трафик стоит денег.

Сообщение отредактировал Vadim.K. - 01.07.2011, 21:48
User is offlineProfile CardPM
Go to the top of the page
+Quote Post
Anatoly Bogdanov
сообщение 01.07.2011, 21:55
Сообщение #5





Группа: Старые пользователи
Сообщений: 2,505
Регистрация: 18.07.2004
Из: RU, SPb
Пользователь №: 553


Репутация: 233


Цитата(Vadim.K. @ 01.07.2011, 20:13) *

Сервер подвергся ДДОС атаке в 500 мбит/с.

Какие есть варианты защиты?

выключить сервер...

как вариант
User is offlineProfile CardPM
Go to the top of the page
+Quote Post
Vadim.K.
сообщение 01.07.2011, 22:03
Сообщение #6





Группа: Старые пользователи
Сообщений: 16
Регистрация: 20.01.2010
Пользователь №: 11,186


Репутация: 186


Цитата(Anatoly Bogdanov @ 01.07.2011, 21:55) *

выключить сервер...

как вариант



Как я написал выше - сервер был выключен через какое-то время, но ддос продолжалась и хостер "отобрал" сервер и деньги не будут возвращены, так как траффик большой и он денег стоит.
ZyWALL USG 2000 хорош, но сервер нужен в Германии и может все же файрволом можно обойтись для ограничения величины (400 байтов) запроса к серверу и если величина больше, то блокировать IP автоматически (например на час или сутки).
User is offlineProfile CardPM
Go to the top of the page
+Quote Post
Ivan
сообщение 01.07.2011, 22:13
Сообщение #7


Отдыхаю


Группа: Старые пользователи
Сообщений: 3,533
Регистрация: 02.08.2002
Из: ЗАО "Рувеб"
Пользователь №: 35


Репутация: 260


500 мбит это небольшой ддос. Если у него не большой PPS ( packets per second ), ну меньше 10 Mpps к его выдержит и недорогой железный файрвол и сервер с гигабитным портом с настроенным софтовым.

Файрвол - тот что знает ваш админ. В линуксе это обычно iptables, в фре ipfw. Железные есть и от длинк и от циск с джунипером - зависит от бюджета.

В любом случае вы попали на гигабитный порт - вы готовы его оплачивать? Стоит от 500 до нескольких тысяч долларов в месяц.


PS. Немецкий дедикатор, навсегда кладуший сервера за жалкие 500 мбит? Мне есть чего сказать людям, берущим там сервера из за дешевизны (IMG:style_emoticons/default/smile.gif)
User is offlineProfile CardPM
Go to the top of the page
+Quote Post
Vadim.K.
сообщение 01.07.2011, 22:54
Сообщение #8





Группа: Старые пользователи
Сообщений: 16
Регистрация: 20.01.2010
Пользователь №: 11,186


Репутация: 186


Спасибо за ответ и за информацию!

Сервер был взят естественно из-за дешевизны, так как для нужд хватало ресурсов и канала на 100мбит/с .. (запрос на 400 байт и ответ на 100 байт).
Гб канал естественно дорого выхидит.

Как я понимаю, на бюджетном сервере сделать блокировку фаерволом не получится, так как канал нужен не 100мбит/с ?


Сообщение отредактировал Vadim.K. - 01.07.2011, 23:06
User is offlineProfile CardPM
Go to the top of the page
+Quote Post
eSupport.org.ua
сообщение 02.07.2011, 07:15
Сообщение #9


Одесский сисадмин


Группа: Старые пользователи
Сообщений: 5,200
Регистрация: 18.11.2004
Из: Одесса
Пользователь №: 823


Репутация: 262


Скорее всего на том сервере, который хостер предоставил раньше что-то было. И вот на это что-то послали атаку.

P.S. А вообще конечно интересный вариант - денег не возвращать и доказательств DDOS не предоставлять.
User is offlineProfile CardPM
Go to the top of the page
+Quote Post
Anatoly Bogdanov
сообщение 02.07.2011, 09:06
Сообщение #10





Группа: Старые пользователи
Сообщений: 2,505
Регистрация: 18.07.2004
Из: RU, SPb
Пользователь №: 553


Репутация: 233


Цитата(eSupport.org.ua @ 02.07.2011, 07:15) *

Скорее всего на том сервере, который хостер предоставил раньше что-то было. И вот на это что-то послали атаку.

P.S. А вообще конечно интересный вариант - денег не возвращать и доказательств DDOS не предоставлять.

наверно не на сервере а на IP
приличные хостеры, прежде чем передать оборудование новому клиенту, проводят зачистку винта.
User is offlineProfile CardPM
Go to the top of the page
+Quote Post
eSupport.org.ua
сообщение 02.07.2011, 10:49
Сообщение #11


Одесский сисадмин


Группа: Старые пользователи
Сообщений: 5,200
Регистрация: 18.11.2004
Из: Одесса
Пользователь №: 823


Репутация: 262


Это я и имел в виду - на IP.
User is offlineProfile CardPM
Go to the top of the page
+Quote Post
Schastlivaya
сообщение 03.07.2011, 15:36
Сообщение #12





Группа: Старые пользователи
Сообщений: 2
Регистрация: 03.07.2011
Из: Крым
Пользователь №: 14,872


Репутация: 177


вот эти ДДОС атаки! всех уже замучили! и меня в том числе!
User is offlineProfile CardPM
Go to the top of the page
+Quote Post
Anatoly Bogdanov
сообщение 03.07.2011, 18:53
Сообщение #13





Группа: Старые пользователи
Сообщений: 2,505
Регистрация: 18.07.2004
Из: RU, SPb
Пользователь №: 553


Репутация: 233


Цитата(Schastlivaya @ 03.07.2011, 15:36) *

вот эти ДДОС атаки! всех уже замучили! и меня в том числе!

а что у вас за тематика ресурса?
User is offlineProfile CardPM
Go to the top of the page
+Quote Post
Lolth
сообщение 07.11.2011, 21:00
Сообщение #14





Группа: Старые пользователи
Сообщений: 160
Регистрация: 21.10.2011
Пользователь №: 16,151


Репутация: 177


В любом случае, вам придется менять хостинг. Иначе этот сценарий вполне может повториться, а деньги опять уйдут в никуда. Оно вам надо?
User is offlineProfile CardPM
Go to the top of the page
+Quote Post
acumc
сообщение 13.05.2013, 11:49
Сообщение #15





Группа: Старые пользователи
Сообщений: 1
Регистрация: 13.05.2013
Из: dedicatesales.com
Пользователь №: 25,685


Репутация: 166


Цитата(Vadim.K. @ 01.07.2011, 21:43) *

Файрвол не был установлен.

Иван, какой файрвол для моих целей вы посоветуете? и хватит ли одного файрвола чтобы сделать такую блокировку что выше я написал?

PPS - даже в гугле не нашел что это.
P.S. как началась атака, немецкий хостер отключил доступ и после заблокировал сервер. Но на вопрос логов ответили только что идет сильная атака в 500 мбит и они будут исправлять... на другой день, сегодня закончилось тем, что сервер больше не будет доступен и деньги не вернут, так как трафик стоит денег.

у большинства хостеров это любимый прием, меня с таймвеб точно также выкинули, после того как я 3 года у них сидел.
User is offlineProfile CardPM
Go to the top of the page
+Quote Post
Avokado
сообщение 10.07.2013, 08:33
Сообщение #16





Группа: Старые пользователи
Сообщений: 0
Регистрация: 21.05.2013
Из: indonesia,Kuta, Bali,jl.Padma Utara
Пользователь №: 25,766


Репутация: 166


(IMG:style_emoticons/default/blink.gif) обалдеть, ни когда бы не подумал, что сами хостеры своих клиентов досят и выкидывают, отжав деньги-трындец(
User is offlineProfile CardPM
Go to the top of the page
+Quote Post

Reply to this topicStart new topic
1 чел. читают эту тему (гостей: 1, скрытых пользователей: 0)
Пользователей: 0

 



- Текстовая версия Сейчас: 28.03.2024, 20:21
Яндекс.Метрика