Нет

А от чего это может помочь?

От обдумывания сервером информации, приходящей по другим портам/протоколам.

Механизмы есть, и защита тоже есть. Не универсальная, но есть. По крайней мере мы отразили недавно 4 ддоса по 25.000 уникальных компов, затем 320.000, затем 14.000, затем 70.000 (примерно). В случае с 320.000 мы ослабили ддос, но этого было достаточно чтобы трафик к клиенту шел нормально.

В детали углубляться не буду, скажу просто что защита сделана цепью различных сетевых механизмов (железом в том числе) перед серверами клиента (не говорю чтобы не плодить конкуренцию, и мы потратили много времени на разработку данной методики).

Частников хостеров не берем на общий хостинг, занимаемся только коло/дедиками в Норвегии. Пишите мне в привате, если интересно. Но если только 1 сайт - это не к нам.

А давайте поиграем возьмем 10 человек и начнём досить ну например resolve.ru ( у них опыт есть )а они пусть выкарабкываются
как идея Кокраз наберем опят...

"Кокраз" бан от модераторов Вы с такими идеями схлопочете. Для шуток есть отдельный раздел.

Ну кому как - если даже от обычного ДОС нельзя отбиться, тем хуже для Ваших клиентов. По крайней мере большинство нормальных провайдеров уж ДОС отбить могут легко

Методы борьбы есть, мы через это уже проходили, блокируем весьма успешно.
Правда методы свои, некоммерческие.

Это утверждение не отличается от обычного рекламного флуда.
У Вас есть чем подтвердить свои слова?

методы борьбы с каким ддосом? сильно ведь отличаются методы нападения. одно дело распределенный син-флуд на ай-пи, другое дело атака на 53 или 80 порт.
если идет атака на пример на 80 порт и идет с нормальными заголовками а не левыми, то отличить такой трафик от легитимного невозможно никакими средствами и бороться можно только путем увеличения пропускной способности веб-сервера и сети. при том что такую атаку создать можно с плечом 1:1000 если не больше.

rustelekom - откуда такой опыт что часто досят?

Есть. Спросите www.tosay.ru, www.confid.ru. В данном случае поскольку вопрос задан админом, это не является рекламным флудом.

Согласен что ддос ддосу рознь, и нельзя стандартными методами вслепую блокировать любой ддос. Но в вашем случае по ддосу на порт 53 или 80
можно хотя бы посмотреть хедеры и сравнить скорость поступления трафика на данный момент и ограничить поступления пакетов по скорости, как это например умеет Cisco. Хотя есть и самодельные варианты которые могут работать не хуже.

А у Cisco ограничение по скоростям поступления пакетов встроено достаточно давно практически в любой IOS корпоративного класса аж с 1998 года - для начала можете посмотреть http://www.cisco.com/warp/public/707/newsflash.html а оттуда можно дальше плясать по линкам в зависимости от моделей Cisco которые стоят у Вас.

а что толку смотреть их, если циски стоят в чужом дц? и к тому же обслуживают незнамо сколько серверов...
другое дело что можно завести свой отстойник где держать клиентов которых досят. а там уж разбираться то ли циской, то ли кластером, то ли фильтрами резать...

Я говорил для тех у кого свое оборудование. Если нет возможности - делайте заказ у тех кто в этом разбирается - чтобы меня за рекламу Московских центров не забанили не могу сказать где, т.к. мне уже было поставлено на вид что я дескать рекламой тут занимаюсь

А насчет отстойника - да, это также одна из возможных частей защиты. Не целиком, естественно.

Hostex, подскажите как отразить ддос на 80 порт с корректными заголовками не потеряв ни одного нужного запроса?

Залоговки корректные направлены только на один url?

См. выше - как я уже сказал ранее, если все запросы корректные все что можно сделать это не отразить ддос а ослабить его путем ограничения скорости подачи пакетов.

вопросы с цисками я в свое время не рассматривал, но вот нашел что можно простым iptables если в него вкомпилен ipt_string (вроде так зовется) что нибудь делать с запросами. сами запросы при таком ддосе идут на самом деле не такие уж корректные, но по ним ничего не вырезать поскольку у них меняется и текст и длина (это кстати мешает их вырезать с помощью ipt_lentgh) , но если натравить на порт 53 и что то делать по домену, тогда наверное можно снизить нагрузку на апач. хотя самому пострадавшему сайту от этого сильно легче не станет.
такой способ можно и на уровне сервера реализовать. особой нагрузки этот тип ддоса не дает, он ведь только забивает апач по числу клиентов. ну либо более кардинально - избавиться от апача и поставить ningx или прокси перед 80 портом и там уже подбирать временные характеристики чтобы резать этот трафик. но не факт что поможет, помнится что после подбора одного фильтра, очень быстро сменились параметры запросов.

А сколько коннектов может безболезненно сервер пропустить через ipt_string?

от памяти зависит. а еще от того как собиралось ядро и какие настройки sysctl. в свое время удавалось дропить до 10-15 тысяч коннектов на 256 мбт памяти, хотя конечно серверу приходилось очень очень тяжко.
но дропить то их не надо, достаточно режектить а на это уходит меньше ресурсов, практически никаких.

Сервер с 256 метрами был поставлен исключительно для фильтрации?

да не, это было просто очень давно в начале 2004 и ддос был стандартный, не такой изошренный. но по мощности конечно поменьше - 1-2 мбит шло два дня. а на том сервере еще и хостингн крутился кое как там не только памяти мало бы там еще и сервер был пень 800 правда в это время конечно было уже не до хостинга сайтов, но они даже открывались хоть и через раз и оччень медленно.

Спасибо за информацию, осталось проверить возможности iptables на практике.
Теоретически, можно отфильтровать мусор с 80-го порта, которым любят поливать разнообразные финансовые сайты, внеся заголовки http протокола и пропуская только их.
Другое дело, сколько потребуется ресурсов на фильтрацию 3000-5000 одновременных коннектов к вебсерверу...

а ЧТО У НИХ СПРОСИТЬ??

подозреваю что немало. возможно что придется фильтровать еше до сервера. потому что 3-5 еще может потянуть, но я видел на порядок больше и тут уже пожалуй только до сервера как то работать.

Это был ответ Админу который спросил чем можем подтвердить отражение ддос атак, был явный намек на то что человек не верит.

Подтверждаю, что в Hostex'е работают грамотные и профессиональные администраторы и с ДДОСом справились.

Явным намек был на то, что любое утверждение должно быть аргументированным, а не голословным. Тогда общаться интереснее. А игры "верю-неверю" мне уже давно неинтересны .
"Confid", спасибо, что не поленились к нам зайти.

Просмотр профиля: "Confid"

Гмммм. Авторитетная поддержка.

Выше по топику утверждалось (вроде?) что только некоторые ддосы представляют собой проблему для хостеров. Этот был из проблемных или обычных?

Admin
Я не ленюсь, просто сейчас особо нет времени учавствовать в дискуссиях на хостобзоре. Надеюсь, в скором времени начнём принимать активное участие в ваших обсуждениях.

Sdi
Специально для вас добавил информацию в свой профиль.

edogs
Продолжительную Атаку с 25к машин вы считаете обычной ? На мой взгляд это был проблемный ддос, но администрация hostex.no дала ему достойный отпор. Были конечно и проблемы, но куда без них...

помню помню тогда у меня сайт рухнул дня на 3

Мы не знаем поэтому и спросили.

Тогда это когда? До переезда в Норвегию или позже? С момента переезда confid.ru не было ни единого случая 3 дневного простоя. Если есть сомнения есть вся история этой машины с Июня месяца.

Ого! Не ожидал, что моя тема вызовет столь большой поток обсуждения. Честно говоря уже начал думать, что добросовестные хостеры отсутствуют как класс.

БТВ. Тема ещё открыта.
До текущего момента хостился на ldpr.su, но и там не смогли побороть ДДОС. В целом уровень оценить могу пока на 3+ (к сожалению). А так как они в дауне с пятницы, начинаю подискивать альтернативы.

2HOSTEX: Мы часом не знакомы по акиперу (Дарк...)
Может приютите?!

ЗЫ. Если интересно, могу назвать домен, который ДДОСЯТ

Ну вообще-то есть хостер который защищает от ddos атак, может быть попробуете на нем потеститься?
http://mastertalk.ru/topic39335.html - вот что откопал

в личку плиз, если еще актуально. По акиперу знакомы