ДДОС атака.. как защитить сервер? |
Здравствуйте, гость ( Вход | Регистрация )
ДДОС атака.. как защитить сервер? |
Vadim.K. |
01.07.2011, 20:13
Сообщение
#1
|
Группа: Старые пользователи Сообщений: 16 Регистрация: 20.01.2010 Пользователь №: 11,186 Репутация: 186 |
Сервер подвергся ДДОС атаке в 500 мбит/с.
Какие есть варианты защиты? Сервер используется для авторизации программы клиента. Программа клиаета посылает запрос к серверу 1 раз в 1-20 секунд. Запрос к серверу идет максимум в 400 байтов. Сейчас сервер ложится от ДДОС'а из-за больших запросов, в общем 500 мбит/с. Возможно ли как-то банить на определенное время IP у которых запрос больше 400 байтов к серверу (желательно блокировку к определенному порту или нескольким)? Сервер - Apache/2.2.11 (Ubuntu) PHP/5.2.6-3 ubuntu 4.6 и mysql Сообщение отредактировал Vadim.K. - 01.07.2011, 21:51 |
Ivan |
01.07.2011, 21:19
Сообщение
#2
|
Отдыхаю Группа: Старые пользователи Сообщений: 3,533 Регистрация: 02.08.2002 Из: ЗАО "Рувеб" Пользователь №: 35 Репутация: 261 |
возможно.
Файрвол какой? и кста pps какой? |
Ivan |
01.07.2011, 21:35
Сообщение
#3
|
Отдыхаю Группа: Старые пользователи Сообщений: 3,533 Регистрация: 02.08.2002 Из: ЗАО "Рувеб" Пользователь №: 35 Репутация: 261 |
Апач перед смертью в лог писать успевает? грепать пробовали?
|
Vadim.K. |
01.07.2011, 21:43
Сообщение
#4
|
Группа: Старые пользователи Сообщений: 16 Регистрация: 20.01.2010 Пользователь №: 11,186 Репутация: 186 |
Файрвол не был установлен.
Иван, какой файрвол для моих целей вы посоветуете? и хватит ли одного файрвола чтобы сделать такую блокировку что выше я написал? PPS - даже в гугле не нашел что это. P.S. как началась атака, немецкий хостер отключил доступ и после заблокировал сервер. Но на вопрос логов ответили только что идет сильная атака в 500 мбит и они будут исправлять... на другой день, сегодня закончилось тем, что сервер больше не будет доступен и деньги не вернут, так как трафик стоит денег. Сообщение отредактировал Vadim.K. - 01.07.2011, 21:48 |
Anatoly Bogdanov |
01.07.2011, 21:55
Сообщение
#5
|
Группа: Старые пользователи Сообщений: 2,505 Регистрация: 18.07.2004 Из: RU, SPb Пользователь №: 553 Репутация: 234 |
Сервер подвергся ДДОС атаке в 500 мбит/с. Какие есть варианты защиты? выключить сервер... как вариант |
Vadim.K. |
01.07.2011, 22:03
Сообщение
#6
|
Группа: Старые пользователи Сообщений: 16 Регистрация: 20.01.2010 Пользователь №: 11,186 Репутация: 186 |
Как я написал выше - сервер был выключен через какое-то время, но ддос продолжалась и хостер "отобрал" сервер и деньги не будут возвращены, так как траффик большой и он денег стоит. ZyWALL USG 2000 хорош, но сервер нужен в Германии и может все же файрволом можно обойтись для ограничения величины (400 байтов) запроса к серверу и если величина больше, то блокировать IP автоматически (например на час или сутки). |
Ivan |
01.07.2011, 22:13
Сообщение
#7
|
Отдыхаю Группа: Старые пользователи Сообщений: 3,533 Регистрация: 02.08.2002 Из: ЗАО "Рувеб" Пользователь №: 35 Репутация: 261 |
500 мбит это небольшой ддос. Если у него не большой PPS ( packets per second ), ну меньше 10 Mpps к его выдержит и недорогой железный файрвол и сервер с гигабитным портом с настроенным софтовым.
Файрвол - тот что знает ваш админ. В линуксе это обычно iptables, в фре ipfw. Железные есть и от длинк и от циск с джунипером - зависит от бюджета. В любом случае вы попали на гигабитный порт - вы готовы его оплачивать? Стоит от 500 до нескольких тысяч долларов в месяц. PS. Немецкий дедикатор, навсегда кладуший сервера за жалкие 500 мбит? Мне есть чего сказать людям, берущим там сервера из за дешевизны (IMG:style_emoticons/default/smile.gif) |
Vadim.K. |
01.07.2011, 22:54
Сообщение
#8
|
Группа: Старые пользователи Сообщений: 16 Регистрация: 20.01.2010 Пользователь №: 11,186 Репутация: 186 |
Спасибо за ответ и за информацию!
Сервер был взят естественно из-за дешевизны, так как для нужд хватало ресурсов и канала на 100мбит/с .. (запрос на 400 байт и ответ на 100 байт). Гб канал естественно дорого выхидит. Как я понимаю, на бюджетном сервере сделать блокировку фаерволом не получится, так как канал нужен не 100мбит/с ? Сообщение отредактировал Vadim.K. - 01.07.2011, 23:06 |
eSupport.org.ua |
02.07.2011, 07:15
Сообщение
#9
|
Одесский сисадмин Группа: Старые пользователи Сообщений: 5,200 Регистрация: 18.11.2004 Из: Одесса Пользователь №: 823 Репутация: 263 |
Скорее всего на том сервере, который хостер предоставил раньше что-то было. И вот на это что-то послали атаку.
P.S. А вообще конечно интересный вариант - денег не возвращать и доказательств DDOS не предоставлять. |
Anatoly Bogdanov |
02.07.2011, 09:06
Сообщение
#10
|
Группа: Старые пользователи Сообщений: 2,505 Регистрация: 18.07.2004 Из: RU, SPb Пользователь №: 553 Репутация: 234 |
Скорее всего на том сервере, который хостер предоставил раньше что-то было. И вот на это что-то послали атаку. P.S. А вообще конечно интересный вариант - денег не возвращать и доказательств DDOS не предоставлять. наверно не на сервере а на IP приличные хостеры, прежде чем передать оборудование новому клиенту, проводят зачистку винта. |