Защита от простого Ddos надо настроить ubuntu server
#1
Отправлено 04 ноября 2011 - 14:35
#2
Отправлено 04 ноября 2011 - 15:59
Домашний хостинг? В таком случае или не париться или убрать слово "несложная ". Любой мало-мальски грамотный DDoS положит Убунту, настроенную на коленке.
Или для саморазвития? Тогда совершенно другая песня. Начинать я бы стал с литературки и профильных форумов для въезжания в общую тему. Потом только настройка.
#3
Отправлено 05 ноября 2011 - 12:01
но убунта настроена на коленке.
Цитата
ну если можно настроить от нормального ддоса то я буду только рад.
Вопрос к кому обратиться для правильной настройки.
#4 Гость_bred_*
Отправлено 05 ноября 2011 - 12:39
GerinG (04 ноября 2011 - 15:59) писал:
а мало-мальски грамотный - это какой? (сорри за неграмотность вопроса, если что, но никогда не ддосил никого))
Я как помню, в низкоуровневых стенках были настройки банить ИП, если в течение стольки-то секунд от него приходит столько-то запросов (забыл числа - толь по 3 запроса в секунду, толь что, но это настраиваемо)
Грамотность состоит в том, что подобного нет?
#5
Отправлено 05 ноября 2011 - 12:46
Поблагодарили: 1
|
#6
Отправлено 06 ноября 2011 - 19:27
#7
Отправлено 06 ноября 2011 - 19:31
#8
Отправлено 07 ноября 2011 - 10:51
#9
Отправлено 07 ноября 2011 - 11:54
#10 Гость_bred_*
Отправлено 07 ноября 2011 - 12:58
жаль, попробовать не на чем - корпсеть не допустит..
#11
Отправлено 07 ноября 2011 - 12:59
Или универсального ничего нельзя сделать и обращаться к спецам только когда уже будет реальная атака?
И спецов искать живьем или он-лайн сервисы подойдут? НА которые можно перенаправлять домен чтобы они выступали проксей?
#12
Отправлено 07 ноября 2011 - 13:10
Например можно тупо убить канал сервера icmp трафиком(отсекаем его где-нить по пути), можно убить сервер нагрузкой, очень активно делая запросы поиска(у многих сейчас ограничение на повторный поиск), можно убить http сервер простыми get запросами, может еще никто нас не ддосит, а просто проект вырос и нужно искать решение этого...
По способам диагностики- как правило в том же логе http сервера явно видны вредоносные запросы. иногда они даже от одного конкретного адреса
#13
Отправлено 07 ноября 2011 - 18:00
Соответственно, первое, что мы должны сделать, это создать максимальный запас по "мощности". Путей тут 2, это тупое увеличение производительности железа/каналов и тщательное конфигурирование системы и приложений. Например системными средствами закрыть все лишние порты правилом DROP (речь идет о Linux) или DENY, если мы хотим делать вид, что на этом порту ничего не висит, во время атаки правило DROP можно сменить на TARPIT. Conntrack желательно выключить, для IP находящегося в зоне риска (разумеется NAT на этом IP перестанет работать). Приложения тоже тщательно оттюнить, выставив минимально необходимые значения timeout. Тот же apache по возможности прикрыть при помощи nginx. Почту распределить на несколько MX серверов и в случае атаки принимать ее только от свободных на данный момент узлов.
Если атака началась и запаса "мощности" не хватило, начинать анализировать структуру атаки. В силу причин указанных вначале, универсальных средств здесь нет. tcpdump+мозг помогут понять, что происходит и заткнуть проблему.
Собственно есть еще метод, далеко не всегда применимый, но упомянуть стоит. Делаем наоборот, не врагов ищем, а закрываем доступ всем и открываем, только определенной группе, разумеется у вас должно быть средство, как эту группу вычленить.
Поблагодарили: 1
|
#15
Отправлено 24 ноября 2011 - 00:54
на украинском языке теряет смысл
Поблагодарили: 1
|