Версия для печати темы

Нажмите сюда для просмотра этой темы в обычном формате

Онлайн-форум hostobzor.ru _ Флейм _ ДДОС атака.. как защитить сервер?

Автор: Vadim.K. 01.07.2011, 20:13

Сервер подвергся ДДОС атаке в 500 мбит/с.

Какие есть варианты защиты?

Сервер используется для авторизации программы клиента. Программа клиаета посылает запрос к серверу 1 раз в 1-20 секунд.
Запрос к серверу идет максимум в 400 байтов.

Сейчас сервер ложится от ДДОС'а из-за больших запросов, в общем 500 мбит/с.

Возможно ли как-то банить на определенное время IP у которых запрос больше 400 байтов к серверу (желательно блокировку к определенному порту или нескольким)?

Сервер - Apache/2.2.11 (Ubuntu) PHP/5.2.6-3 ubuntu 4.6 и mysql

Автор: Ivan 01.07.2011, 21:19

возможно.
Файрвол какой?


и кста pps какой?

Автор: Ivan 01.07.2011, 21:35

Апач перед смертью в лог писать успевает? грепать пробовали?

Автор: Vadim.K. 01.07.2011, 21:43

Файрвол не был установлен.

Иван, какой файрвол для моих целей вы посоветуете? и хватит ли одного файрвола чтобы сделать такую блокировку что выше я написал?

PPS - даже в гугле не нашел что это.


P.S. как началась атака, немецкий хостер отключил доступ и после заблокировал сервер. Но на вопрос логов ответили только что идет сильная атака в 500 мбит и они будут исправлять... на другой день, сегодня закончилось тем, что сервер больше не будет доступен и деньги не вернут, так как трафик стоит денег.

Автор: Anatoly Bogdanov 01.07.2011, 21:55

Цитата(Vadim.K. @ 01.07.2011, 20:13) *

Сервер подвергся ДДОС атаке в 500 мбит/с.

Какие есть варианты защиты?

выключить сервер...

как http://zyxel.ru/content/catalogue/classifier/7/23/1054

Автор: Vadim.K. 01.07.2011, 22:03

Цитата(Anatoly Bogdanov @ 01.07.2011, 21:55) *

выключить сервер...

как http://zyxel.ru/content/catalogue/classifier/7/23/1054



Как я написал выше - сервер был выключен через какое-то время, но ддос продолжалась и хостер "отобрал" сервер и деньги не будут возвращены, так как траффик большой и он денег стоит.
ZyWALL USG 2000 хорош, но сервер нужен в Германии и может все же файрволом можно обойтись для ограничения величины (400 байтов) запроса к серверу и если величина больше, то блокировать IP автоматически (например на час или сутки).

Автор: Ivan 01.07.2011, 22:13

500 мбит это небольшой ддос. Если у него не большой PPS ( packets per second ), ну меньше 10 Mpps к его выдержит и недорогой железный файрвол и сервер с гигабитным портом с настроенным софтовым.

Файрвол - тот что знает ваш админ. В линуксе это обычно iptables, в фре ipfw. Железные есть и от длинк и от циск с джунипером - зависит от бюджета.

В любом случае вы попали на гигабитный порт - вы готовы его оплачивать? Стоит от 500 до нескольких тысяч долларов в месяц.


PS. Немецкий дедикатор, навсегда кладуший сервера за жалкие 500 мбит? Мне есть чего сказать людям, берущим там сервера из за дешевизны smile.gif

Автор: Vadim.K. 01.07.2011, 22:54

Спасибо за ответ и за информацию!

Сервер был взят естественно из-за дешевизны, так как для нужд хватало ресурсов и канала на 100мбит/с .. (запрос на 400 байт и ответ на 100 байт).
Гб канал естественно дорого выхидит.

Как я понимаю, на бюджетном сервере сделать блокировку фаерволом не получится, так как канал нужен не 100мбит/с ?

Автор: eSupport.org.ua 02.07.2011, 07:15

Скорее всего на том сервере, который хостер предоставил раньше что-то было. И вот на это что-то послали атаку.

P.S. А вообще конечно интересный вариант - денег не возвращать и доказательств DDOS не предоставлять.

Автор: Anatoly Bogdanov 02.07.2011, 09:06

Цитата(eSupport.org.ua @ 02.07.2011, 07:15) *

Скорее всего на том сервере, который хостер предоставил раньше что-то было. И вот на это что-то послали атаку.

P.S. А вообще конечно интересный вариант - денег не возвращать и доказательств DDOS не предоставлять.

наверно не на сервере а на IP
приличные хостеры, прежде чем передать оборудование новому клиенту, проводят зачистку винта.

Автор: eSupport.org.ua 02.07.2011, 10:49

Это я и имел в виду - на IP.

Автор: Schastlivaya 03.07.2011, 15:36

вот эти ДДОС атаки! всех уже замучили! и меня в том числе!

Автор: Anatoly Bogdanov 03.07.2011, 18:53

Цитата(Schastlivaya @ 03.07.2011, 15:36) *

вот эти ДДОС атаки! всех уже замучили! и меня в том числе!

а что у вас за тематика ресурса?

Автор: Lolth 07.11.2011, 21:00

В любом случае, вам придется менять хостинг. Иначе этот сценарий вполне может повториться, а деньги опять уйдут в никуда. Оно вам надо?

Автор: acumc 13.05.2013, 11:49

Цитата(Vadim.K. @ 01.07.2011, 21:43) *

Файрвол не был установлен.

Иван, какой файрвол для моих целей вы посоветуете? и хватит ли одного файрвола чтобы сделать такую блокировку что выше я написал?

PPS - даже в гугле не нашел что это.
P.S. как началась атака, немецкий хостер отключил доступ и после заблокировал сервер. Но на вопрос логов ответили только что идет сильная атака в 500 мбит и они будут исправлять... на другой день, сегодня закончилось тем, что сервер больше не будет доступен и деньги не вернут, так как трафик стоит денег.

у большинства хостеров это любимый прием, меня с таймвеб точно также выкинули, после того как я 3 года у них сидел.

Автор: Avokado 10.07.2013, 08:33

http://balisurfing.ru/surfing обалдеть, ни когда бы не подумал, что сами хостеры своих клиентов досят и выкидывают, отжав деньги-трындец(

Русская версия Invision Power Board (http://www.invisionboard.com)
© Invision Power Services (http://www.invisionpower.com)