Привет всем,
давно не писал, но вот возникла проблема и нужен совет..
Ничего нового, но на форуме ответы очень расплывчатые, поэтому хотелось бы снести все в одну тему. Если ответы толковые будут, готов написать статью, ну короче, хватит вступлений.

Итак последнее время участились флуд и мелкие дос/ддос атаки. С глобальными и хорошо распределенными боротся трудно, а иногда невозможно, с этим думаю мало кто посмпорит, но если разобратся, собрать толково распределенную атаку крупного масчатаба стоит и знаний и денег, что не у всех есть, зато вот мелкий флуд, и мелкий ддос это уже намного проще и дешевле. Затроянил пяток зомби, поставил график и пошел курить...а елси сайт стоит на впс, где меньше 512 озу - все смерть Вот как боротся с мелкими атаками, собственно и есть мой вопрос. Разделю его.

1) Какие аппаратные средства необходимы для защиты 4-х выделнных сервера, по 250 доменов на сервер), желательно в районе < 1000$

2) Настройка брендмауера на отдельном сервере. Временный бан повторяющихся ип адрессов, что еще реально помогает?

3) опыт борьбы с ддосом, что еще посоветуете, желательно из практики.

mod_ipdrop для первого апача, mod_limitconn для второго апача - от мелкого флуда на http помогает.

спасибо, но это не совсем то что я ищю, то же самое можно добиться примочками к iptables...и не только для http но и других протоколов...но это не суть, суть не допустить до сервера эти пакеты вообще...

limit ip в ядре включить для 80-го порта и не мучаться с модами

мужики, неужели никто не борится с атаками на уровне роутеров, pix-ы и т.д. есть ведь средства...наверняка есть такие, поделитесь опытом.

Средств много, но делится обычно на 2 части - детектор и блокировщик. Детектор детектит что именно не так (например по резкому скачку коннектов, либо по количеству поступления пакетов в единицу времени с 1 ИПа, либо по другим признакам которые обычно повторяются при атаках), затем передает лист ИП адресов для блокировки фаерволлам. В принципе если грамотно сделать обычный фаерволл на 1 ксеоне может блокировать без проблем до 200.000 уникальных ИП адресов, проверено опытом.

1 - Ваш бюджет неприемлимо мал для такой задачи в среднем ее понимании: решения на специальном железе обходятся значительно дороже.
2 Конечно помогает - только там не просто бан повторяющихся должен быть а довольно интеллектуальная программа ( простой пример - у вас сайт фирмы хостится где 30 компов жесткое начало рабочего дня NAT и у всех принудительно стоит домашней страница родной фирмы - и это самый простой случай) - реально для целей живого хостинга приходится запоминать логи активистов и строить модель поведения с несколькими параметрами.
3 Если Вы останавливаетесь на имеющемся бюджете в 1000 $ то отдельных копм с ngnix заодно убрать бэков его ( если нет SSL коннекций поможет сильно), и может получится сэкономить на аренде порта в ДЦ. правила анализа текущих логов ngnix и передача результатов их расследования фаеволу - но в большинстве случаев надо не банить несчастных а занижать полосу и на ходу менять конфиг ngnix для наглого кеширования атакуемого сайта. По настоящему нормально это можно сделать минимум на трех машинах - одна балансером - две Аксераторами (в этом случае уверенно передергиваюжтся конфиги ngnix) + на балансере проще блочить/ обрезать обнаглевшие IP,

Алгоритмы известны - но это не 1000$ и не 10 000 за железо + в несколько раз больше чем за железо за разработку и поддержку. Из личного опыта - если сайт не валится простым DDOS появляются обиженные этим фактом и валят уже канал просто.

DDOS говорите? на VPS c форумами пришел Yandex - поискать что тут нового - VPS лежит и не шевелится ( кончилась память и процессор)
если его ботам объявить - не более 5 - ти подключений в класса C ( вроде тут 5 таких сетей) - он сильно обидится ?

Если правильно объявить (service temporary unavailable) вроде не обижается - позже приходит, страницы индексирует нормально. Ручаться за яшку не буду, просто на некоторых своих ресурсоемких проектах ограничиваю - проблем с индексацией в яшке нет.