Что должен делать хостер, если на сайт клиента происходят ддос атаки? Вправе ли хостер отключить сайт и на сколько?

В зависимости от договора или правил хостинга. Если ими установлено, что нельзя создавать критическую нагрузку на сервер, то может. Срок тоже должен быть установлен документально. До отражения атаки, или вообще насовсем.

Для начала:
посмотреть логи апача на ошибки, выявить на какой аккаунт (домен) на сервере идёт ддос-атака.
Занулить домен на 127.0.0.1 до тех пор пока не стихнет. Сообщить клиенту о том, что на его сайт идёт ddos атака.

При Ddos атаке повышается LA и нагрузка на CPU с расходованием MEM. При блокировке аккаунта, можно сослаться, к примеру: чрезмерное потребление процессорного времени и/или оперативной памяти (CPU/RAM), определенное (5%/5%) Исполнителем.

Дальше работа за системным администратором.

Если пойдет настоящий DDOS, то просмотреть логи апача можно будет только локально с сервера. Ну если есть IPMI, то значит повезло.

Сколько не видел DDOS они не "включались" а как-то усиливались, так что, при нормальном мониторинге, поймать можно, другое дело что "нуление" домена не всегда помогает, бывают извращенцы которые своим ботам передают IP, не загружая их мыслями о DNS.
P.S. если хостер не подписался под защитой от DDOS и оный создает критическую нагрузку на сервер - отключать как- то . Если подписался, то пусть вспоминает на что рассчитывал.

ага, еще и вторичный днс атакуемого домена "по раздачу" попадает...

Когда идет DDOS порядка 4Gbit, то ДЦ моментально отключает сервер от сети и тут только IPMI поможет понять в чем дело

Выключить.

Имхо, на виртуале - единственный путь. На VIP - другое дело, хотя и на VIP никто не будет отражать тяжелые, многогигабитные и\или многодневные ддосы, как выше уже сказал eSupport.

Многогигабитный ддос стоит много...

Не так уж и много, достаточно украсть чьи-то ботнеты

то есть вы хотите сказать что выглядит это так:
15:01 загрузка канала в норме, сервер справляется с задачами....
15:06 - 4Gbit прет в Вашу сторону ??

Не сразу а в течении 15-и минут

По хорошему, хостеру не выгодно "стелиться" под ДДоС. Ведь для него - это указание третьих лиц с кем и как ему делать бизнес. Поэтому в рамках возможного хостеру просто откровенно выгодно помогать отражать ДДоС. Другой вопрос, что с осознанием этого не всегда у коллег хорошо.

Однако же, ДДоС действительно есть очень беспокоящий элемент в жизни хостера, ставящий под угрозу обычно ощутимую долю бизнеса. Поэтому, даже сознательный хостер предполагает помощь клиента. Как уже неоднократно и обсуждалось, и говорилось на докладах - в основном, ДДоС - суть административная проблема, а не техническая. Надо искать кто, почему и бороться с источником проблемы.

Вправе или нет? А это всё равно. Можно обсуждать этот риторический вопрос сколько угодно. Но клиент должен понимать, что ДДоС наносит серьёзный финансовый урон хостеру и невосполнимую потерю имиджа устойчивого хостинга. Поэтому, если противодействие не даёт никаких результатов, хостер стоит перед выбором - быть неправым, или не быть вообще.

Так что, в общем случае действия хостера должны балансировать между "выгодно отражать при содействии жертвы" и "потерять значительную часть или даже весь бизнес".

Как правило, не кто не парится о Ддос, есть нагрузка - если она превышена сильно - то отрубают либо базу либо сайт и всё в рамках договора, ведь действительно, какая разница, что является причиной нагрузки, ддос, поисковики или кривые скрипты - итог один.

Есть разница. Кривые скрипты - вина пользователя, поисковики пользователь может самостоятельно запретить и такой уж нагрузки они не создадут. А DDoS это мои бессонные ночи и попытка регулирования моего бизнеса третьим лицом. Как правило - никто. Но не все.

DDoS (имхо) - тоже процентов на девяносто вина пользователя. Согласитесь, редко атака начинается на ровном месте. Как правило, атакуемый сам заработал себе эти проблемы - контентом, поведением, действиями..

Естественно. Хотя, в большинстве случаев слово "вина" не уместно.

А если "вина" заключается в том, что человек занимается бизнесом и составляет кому-либо конкуренцию? Так что насчёт "заработал проблемы" я не согласен. Противоправные действия не могут быть оправданы, что мол "они сами нарвались". Это всё равно, что сказать, что и правильно что там кого-то убили в подворотне за золотые часы, нечего такие дорогие вещи носить...

сайт посвяшён шансону и только. Конечно он слегка потяснил старичков. и зайцев. ссылки прямые на файлы музыкантов( с их сайтов) . Ктому же перед публикацией мы спрашиваем разрешение у авторов. Иногда авторы просят удалить тот или иной трек. Удаляем. посещаемость выросла до 500 уникалов в день. Я даже не могу подумать кому могли перейти дорогу. У меня на сайте нет всплывающих банеров и других отвлекающих вещей. Делали как для себя) .

кстати перенес сайт на впс. впска полегла) счас буду разбирать что случилось с mysql. а сайт перенес к рбк.
кстати 2. Хоть я и люблю Исп менеджер. Но последнее время появилось отвращение ко всему что делают в россии. Начиная от батареек . заканчивая автомобилями.
кстати 3. Занулили домен на 127.0.0.1
может начать писать софт по защите от ддоса?. ))) подскажите умные книги)

Подскажу кингу, TCP/IP для чайников.

Защита от ддос = фаерволл и широкий канал.

Защита от DDOS - фильтрация на проксях = чистый трафик на сервер