ДДОС атака.. как защитить сервер? |
Здравствуйте, гость ( Вход | Регистрация )
ДДОС атака.. как защитить сервер? |
Vadim.K. |
01.07.2011, 20:13
Сообщение
#1
|
Группа: Старые пользователи Сообщений: 16 Регистрация: 20.01.2010 Пользователь №: 11,186 Репутация: 189 |
Сервер подвергся ДДОС атаке в 500 мбит/с.
Какие есть варианты защиты? Сервер используется для авторизации программы клиента. Программа клиаета посылает запрос к серверу 1 раз в 1-20 секунд. Запрос к серверу идет максимум в 400 байтов. Сейчас сервер ложится от ДДОС'а из-за больших запросов, в общем 500 мбит/с. Возможно ли как-то банить на определенное время IP у которых запрос больше 400 байтов к серверу (желательно блокировку к определенному порту или нескольким)? Сервер - Apache/2.2.11 (Ubuntu) PHP/5.2.6-3 ubuntu 4.6 и mysql Сообщение отредактировал Vadim.K. - 01.07.2011, 21:51 |
Ivan |
01.07.2011, 21:19
Сообщение
#2
|
Отдыхаю Группа: Старые пользователи Сообщений: 3,533 Регистрация: 02.08.2002 Из: ЗАО "Рувеб" Пользователь №: 35 Репутация: 263 |
возможно.
Файрвол какой? и кста pps какой? |
Ivan |
01.07.2011, 21:35
Сообщение
#3
|
Отдыхаю Группа: Старые пользователи Сообщений: 3,533 Регистрация: 02.08.2002 Из: ЗАО "Рувеб" Пользователь №: 35 Репутация: 263 |
Апач перед смертью в лог писать успевает? грепать пробовали?
|
Vadim.K. |
01.07.2011, 21:43
Сообщение
#4
|
Группа: Старые пользователи Сообщений: 16 Регистрация: 20.01.2010 Пользователь №: 11,186 Репутация: 189 |
Файрвол не был установлен.
Иван, какой файрвол для моих целей вы посоветуете? и хватит ли одного файрвола чтобы сделать такую блокировку что выше я написал? PPS - даже в гугле не нашел что это. P.S. как началась атака, немецкий хостер отключил доступ и после заблокировал сервер. Но на вопрос логов ответили только что идет сильная атака в 500 мбит и они будут исправлять... на другой день, сегодня закончилось тем, что сервер больше не будет доступен и деньги не вернут, так как трафик стоит денег. Сообщение отредактировал Vadim.K. - 01.07.2011, 21:48 |
Anatoly Bogdanov |
01.07.2011, 21:55
Сообщение
#5
|
Группа: Старые пользователи Сообщений: 2,505 Регистрация: 18.07.2004 Из: RU, SPb Пользователь №: 553 Репутация: 236 |
Сервер подвергся ДДОС атаке в 500 мбит/с. Какие есть варианты защиты? выключить сервер... как вариант |
Vadim.K. |
01.07.2011, 22:03
Сообщение
#6
|
Группа: Старые пользователи Сообщений: 16 Регистрация: 20.01.2010 Пользователь №: 11,186 Репутация: 189 |
Как я написал выше - сервер был выключен через какое-то время, но ддос продолжалась и хостер "отобрал" сервер и деньги не будут возвращены, так как траффик большой и он денег стоит. ZyWALL USG 2000 хорош, но сервер нужен в Германии и может все же файрволом можно обойтись для ограничения величины (400 байтов) запроса к серверу и если величина больше, то блокировать IP автоматически (например на час или сутки). |
Ivan |
01.07.2011, 22:13
Сообщение
#7
|
Отдыхаю Группа: Старые пользователи Сообщений: 3,533 Регистрация: 02.08.2002 Из: ЗАО "Рувеб" Пользователь №: 35 Репутация: 263 |
500 мбит это небольшой ддос. Если у него не большой PPS ( packets per second ), ну меньше 10 Mpps к его выдержит и недорогой железный файрвол и сервер с гигабитным портом с настроенным софтовым.
Файрвол - тот что знает ваш админ. В линуксе это обычно iptables, в фре ipfw. Железные есть и от длинк и от циск с джунипером - зависит от бюджета. В любом случае вы попали на гигабитный порт - вы готовы его оплачивать? Стоит от 500 до нескольких тысяч долларов в месяц. PS. Немецкий дедикатор, навсегда кладуший сервера за жалкие 500 мбит? Мне есть чего сказать людям, берущим там сервера из за дешевизны (IMG:style_emoticons/default/smile.gif) |
Vadim.K. |
01.07.2011, 22:54
Сообщение
#8
|
Группа: Старые пользователи Сообщений: 16 Регистрация: 20.01.2010 Пользователь №: 11,186 Репутация: 189 |
Спасибо за ответ и за информацию!
Сервер был взят естественно из-за дешевизны, так как для нужд хватало ресурсов и канала на 100мбит/с .. (запрос на 400 байт и ответ на 100 байт). Гб канал естественно дорого выхидит. Как я понимаю, на бюджетном сервере сделать блокировку фаерволом не получится, так как канал нужен не 100мбит/с ? Сообщение отредактировал Vadim.K. - 01.07.2011, 23:06 |
eSupport.org.ua |
02.07.2011, 07:15
Сообщение
#9
|
Одесский сисадмин Группа: Старые пользователи Сообщений: 5,200 Регистрация: 18.11.2004 Из: Одесса Пользователь №: 823 Репутация: 265 |
Скорее всего на том сервере, который хостер предоставил раньше что-то было. И вот на это что-то послали атаку.
P.S. А вообще конечно интересный вариант - денег не возвращать и доказательств DDOS не предоставлять. |
Anatoly Bogdanov |
02.07.2011, 09:06
Сообщение
#10
|
Группа: Старые пользователи Сообщений: 2,505 Регистрация: 18.07.2004 Из: RU, SPb Пользователь №: 553 Репутация: 236 |
Скорее всего на том сервере, который хостер предоставил раньше что-то было. И вот на это что-то послали атаку. P.S. А вообще конечно интересный вариант - денег не возвращать и доказательств DDOS не предоставлять. наверно не на сервере а на IP приличные хостеры, прежде чем передать оборудование новому клиенту, проводят зачистку винта. |
eSupport.org.ua |
02.07.2011, 10:49
Сообщение
#11
|
Одесский сисадмин Группа: Старые пользователи Сообщений: 5,200 Регистрация: 18.11.2004 Из: Одесса Пользователь №: 823 Репутация: 265 |
Это я и имел в виду - на IP.
|
Schastlivaya |
03.07.2011, 15:36
Сообщение
#12
|
Группа: Старые пользователи Сообщений: 2 Регистрация: 03.07.2011 Из: Крым Пользователь №: 14,872 Репутация: 180 |
вот эти ДДОС атаки! всех уже замучили! и меня в том числе!
|
Anatoly Bogdanov |
03.07.2011, 18:53
Сообщение
#13
|
Группа: Старые пользователи Сообщений: 2,505 Регистрация: 18.07.2004 Из: RU, SPb Пользователь №: 553 Репутация: 236 |
|
Lolth |
07.11.2011, 21:00
Сообщение
#14
|
Группа: Старые пользователи Сообщений: 160 Регистрация: 21.10.2011 Пользователь №: 16,151 Репутация: 180 |
В любом случае, вам придется менять хостинг. Иначе этот сценарий вполне может повториться, а деньги опять уйдут в никуда. Оно вам надо?
|
acumc |
13.05.2013, 11:49
Сообщение
#15
|
Группа: Старые пользователи Сообщений: 1 Регистрация: 13.05.2013 Из: dedicatesales.com Пользователь №: 25,685 Репутация: 169 |
Файрвол не был установлен. Иван, какой файрвол для моих целей вы посоветуете? и хватит ли одного файрвола чтобы сделать такую блокировку что выше я написал? PPS - даже в гугле не нашел что это. P.S. как началась атака, немецкий хостер отключил доступ и после заблокировал сервер. Но на вопрос логов ответили только что идет сильная атака в 500 мбит и они будут исправлять... на другой день, сегодня закончилось тем, что сервер больше не будет доступен и деньги не вернут, так как трафик стоит денег. у большинства хостеров это любимый прием, меня с таймвеб точно также выкинули, после того как я 3 года у них сидел. |
Avokado |
10.07.2013, 08:33
Сообщение
#16
|
Группа: Старые пользователи Сообщений: 0 Регистрация: 21.05.2013 Из: indonesia,Kuta, Bali,jl.Padma Utara Пользователь №: 25,766 Репутация: 169 |
(IMG:style_emoticons/default/blink.gif) обалдеть, ни когда бы не подумал, что сами хостеры своих клиентов досят и выкидывают, отжав деньги-трындец(
|
Текстовая версия | Сейчас: 24.09.2024, 02:51 |