Защита от DDoS

Vasil_90

Registered
Здравейте искам да попитам как може човек да се защити от DDoS >?
*Най-сигурният начин.
 

index

Super Moderator
http://web-tourist.net/forum/viewtopic.php?p=611208#611208


Проблема е, че мегаъплоад вече го няма.
Но в този топик можеш да го намериш :
http://forum.ragezone.com/f197/kiwiguard-anti-ddos-756197/index3.html#post6779822
 

joorkataa

Registered
index каза:
http://web-tourist.net/forum/viewtopic.php?p=611208#611208


Проблема е, че мегаъплоад вече го няма.
Но в този топик можеш да го намериш :
http://forum.ragezone.com/f197/kiwiguard-anti-ddos-756197/index3.html#post6779822

Ето линк от където може да го свали :)

http://www.mediafire.com/?pr98454fa4g7bgb
 

Vasil_90

Registered
Значи разархивирам Ехе-то + папката и спират дос атаките, нали не е някой вирус или backdoor-ната програма?
 

trevata

Registered
Сигурна защита от DDoS няма, това трябва да го знаеш, особено пък тези програмки, които се слагат на твоята машина и уж защитават. Те може да не пускат пакетите, но нали се сещаш че канала ти има лимит и превиши ли се този лимит всичко спира... А и не можеш да бъдеш сигурен че не блокираш реални потребители или пък не пускаш части от атаката.

Най-сигурното нещо, което може да спре DDoS-а са фирмите специализирани в тази област като vistnet.com и prolexic.com. Цените са соленки, особено при пролексик, но резултата е впечатляващ. За пролексик нищо не гарантирам защото са ми малко скъпички, но вистнет съм ги пробвал и успешно спряха атаката. Гадното е че защитават само HTTP/HTTPS
 

nom3r1

Registered
Цитирам едно мое старо мнение.
Правиш една проверка ако страницата се рефрешва примено прекалено често (на 2 до 5 секунди (да речем)) , да добавя ip-то в .htaccess или ако си на linux , да спира достъпа чрез iptables.

Представи си ботовете, които каза по-горе не удрят домейна, а IP Address-а на сървъра, на който има 160 сайта? Какво правим? Системния администратор ще си играе да блъска във всеки сайт .htaccess.. ужас. Най-добрия вариант, както каза по-горе е с iptables.

Просто ще трябва да се опишат няколко правила и да се напиши един прост .sh файл, с който да реже достъпа. Работата не е сложа.

И както @proba каза, ако се настрой самата машина да има от един IP Address не повече от 7/8 connect-а и при 9-та например да режа достъпа на атакуващия сървъра няма да падне.

Обаче, ако пуснеш Интернет 54MB/s на сървър гарантирам ти, защото ще падне сървър, ако е и със слаба сигурност. При 260 бота не само, защото ще се скапе Apache сървър, а и цялата машина и ще трябва да се занимаваш да връщаш файлове и т.н.

То по-принцип, ако нямаш никакви защити ще се скапе. Windows въобще и не мисля, защото ще ти свърши работа, така че се насочи към Linux.

Погледни в Интернет за SYN Attacks и си напиши firewall. Ако не успееш драсни във форума тук или в някой друг, в който ще ти помогнем/помогнат.

Stopping SYN Attacks using IPTables

Може би най-добрия начин. :?:

Също така до колкото имам спомен от четивата, който съм изчел когато бях жертва на такива гадове. Най-лесното е да се подправят source адресите на UDP пакетите особено, ако няма някой рутер по пътя. Същото важи и за SYN, TCP пакетите. Имам много бледи спомени, но най-добрия начин явно е чрез IP Tables.


@Pro_Lamer4e, това въобще не е решение. Windows сървъра се скапва дори и без да те "наводняват". :)

@chepa, налазят ли те такива говеда имай на предвид, защото ти трябва здрава машина, здрава сигурност, здрав Интернет. Режеш им достъпа с iptables. Най-често атаките идват от чужбина, за да съм по-точен от бот мрежи (Botnet). Решението е да спреш достъпа да се влиза от чужбина в сайта ти и готово. Другия вариант е да говориш със доставчика ти, да ти ограничат посещаемостта от чужбина. Варианти хиляди. Слагай Linux научи iptables правилата, драскай firewall-а и спирай проблемите от гадове. :)

Преди време имах такъв проблем и го реших с iptables. Успех! :?:

Налазят ли те такива говеда имай на предвид, защото ти трябва здрава машина, здрава сигурност, здрав Интернет. Режеш им достъпа с iptables. Най-често атаките идват от чужбина, за да съм по-точен от бот мрежи (Botnet). Решението е да спреш достъпа да се влиза от чужбина в сайта ти и готово. Другия вариант е да говориш със доставчика ти, да ти ограничат посещаемостта от чужбина. Варианти хиляди. Слагай Linux научи iptables правилата, драскай firewall-а и спирай проблемите от гадове. Smile

Тук можеш да намериш информация на Български за Linux:
http://www.linux-bg.org

IpTables: http://www.netfilter.org

Можеш да погледнеш и тези сайтове;
http://www.linux-tutorial.info/
http://www.linux.org/books/

Успех :?:

ЕДИТ: Ако не успееш да си напишеш скрипта и да си настроиш сървър ми пиши ЛС и ще помагам - ако имам време. Стига наистина да си се опитал да на правиш нещо по-въпроса, а не само да си се опитал да инсталираш Linux и да не си успял.

Под debian ->
инсталираш tcpdump-а

Код:
apt-get install tcpdump

под SlackWare ->
Код:
slackpkg install tcpdump

Код:
tcpdump -n -i eth0 udp

Това: eth0 - 0 се пада номера на Лан картата, от която е входния трафик. Със командата ifconfig можеш да видиш к'в е номера на Лан картата

След като изпълниш командата ще излезе нещо подобно:
Код:
IP 192.168.1.3.25531 > 127.0.0.1.80: UDP, length 100 
IP 192.168.1.3.25531 > 127.0.0.1.80: UDP, length 100 
IP 192.168.1.3.25531 > 127.0.0.1.80: UDP, length 100 
IP 192.168.1.3.25531 > 127.0.0.1.80: UDP, length 100

IP-то 192.168.1.3 е атакуващото IP
25531 - Порта през които flood-ра удря (при всяка нова атака порта се сменя)
80 - Порта които flood-ра удря
length 10това са пакетите, могат да бъдат много по - големи ..

А да.. и още нещо. Можеш да се обърнеш към и-нет доставчика ти - щом плащаш, трябва да ти осигурят "сигурна" мрежа - както се вика, ако са така "любезни" ще помогнат.

Това с доставчика е най-добрия вариант - според мен.

Има TCPDUMP и за WINDOWS: http://www.microolap.com/products/network/tcpdump/
 

Vasil_90

Registered
Този TCPDUMP го няма обаче за Windows 7 (а има голяма разлика между Виста и 7-мацата особено последните Ъпгрейди).
Приемам всякакви ЕФИКАСНИ варианти който могат да ми помогнат да разбера кой (кое IP) ме DDoS-ва ...
 

relax4o

Registered
Vasil_90 каза:
Този TCPDUMP го няма обаче за Windows 7 (а има голяма разлика между Виста и 7-мацата особено последните Ъпгрейди).
Приемам всякакви ЕФИКАСНИ варианти който могат да ми помогнат да разбера кой (кое IP) ме DDoS-ва ...


Апачето си има ЛОГ. Там трябва да ти пише всичко. Мисля, че в access.log трябва да се намират тези данни. То ще си проличи. Ще имаш много еднакви редове от едно IP.

http://forums.data.bg/index.php?showtopic=2065138&view=findpost&p=14811265 г/д така трябва да ти изглежда лога.
 

Vasil_90

Registered
Не става дума за Сайт когато хоствам да ми правият DDoS, аз правия Livestream (предавам на живо) и ми правият DDoS за да ме изкара от дадената игра (играя предимно PvP за точки) и затова питам как мога да се защита и как мога да видя ИП-то което ме атакува така лошо.
 

Горе