Защита от DDoS
- Автор Vasil_90
- Начална дата
Сигурна защита от DDoS няма, това трябва да го знаеш, особено пък тези програмки, които се слагат на твоята машина и уж защитават. Те може да не пускат пакетите, но нали се сещаш че канала ти има лимит и превиши ли се този лимит всичко спира... А и не можеш да бъдеш сигурен че не блокираш реални потребители или пък не пускаш части от атаката.
Най-сигурното нещо, което може да спре DDoS-а са фирмите специализирани в тази област като vistnet.com и prolexic.com. Цените са соленки, особено при пролексик, но резултата е впечатляващ. За пролексик нищо не гарантирам защото са ми малко скъпички, но вистнет съм ги пробвал и успешно спряха атаката. Гадното е че защитават само HTTP/HTTPS
Най-сигурното нещо, което може да спре DDoS-а са фирмите специализирани в тази област като vistnet.com и prolexic.com. Цените са соленки, особено при пролексик, но резултата е впечатляващ. За пролексик нищо не гарантирам защото са ми малко скъпички, но вистнет съм ги пробвал и успешно спряха атаката. Гадното е че защитават само HTTP/HTTPS
Цитирам едно мое старо мнение.
Под debian ->
инсталираш tcpdump-а
под SlackWare ->
Това: eth0 - 0 се пада номера на Лан картата, от която е входния трафик. Със командата ifconfig можеш да видиш к'в е номера на Лан картата
След като изпълниш командата ще излезе нещо подобно:
IP-то 192.168.1.3 е атакуващото IP
25531 - Порта през които flood-ра удря (при всяка нова атака порта се сменя)
80 - Порта които flood-ра удря
length 10това са пакетите, могат да бъдат много по - големи ..
А да.. и още нещо. Можеш да се обърнеш към и-нет доставчика ти - щом плащаш, трябва да ти осигурят "сигурна" мрежа - както се вика, ако са така "любезни" ще помогнат.
Това с доставчика е най-добрия вариант - според мен.
Има TCPDUMP и за WINDOWS: http://www.microolap.com/products/network/tcpdump/
Представи си ботовете, които каза по-горе не удрят домейна, а IP Address-а на сървъра, на който има 160 сайта? Какво правим? Системния администратор ще си играе да блъска във всеки сайт .htaccess.. ужас. Най-добрия вариант, както каза по-горе е с iptables.
Просто ще трябва да се опишат няколко правила и да се напиши един прост .sh файл, с който да реже достъпа. Работата не е сложа.
И както @proba каза, ако се настрой самата машина да има от един IP Address не повече от 7/8 connect-а и при 9-та например да режа достъпа на атакуващия сървъра няма да падне.
Обаче, ако пуснеш Интернет 54MB/s на сървър гарантирам ти, защото ще падне сървър, ако е и със слаба сигурност. При 260 бота не само, защото ще се скапе Apache сървър, а и цялата машина и ще трябва да се занимаваш да връщаш файлове и т.н.
То по-принцип, ако нямаш никакви защити ще се скапе. Windows въобще и не мисля, защото ще ти свърши работа, така че се насочи към Linux.
Погледни в Интернет за SYN Attacks и си напиши firewall. Ако не успееш драсни във форума тук или в някой друг, в който ще ти помогнем/помогнат.
Stopping SYN Attacks using IPTables
Може би най-добрия начин. :?:
Също така до колкото имам спомен от четивата, който съм изчел когато бях жертва на такива гадове. Най-лесното е да се подправят source адресите на UDP пакетите особено, ако няма някой рутер по пътя. Същото важи и за SYN, TCP пакетите. Имам много бледи спомени, но най-добрия начин явно е чрез IP Tables.
@Pro_Lamer4e, това въобще не е решение. Windows сървъра се скапва дори и без да те "наводняват".
@chepa, налазят ли те такива говеда имай на предвид, защото ти трябва здрава машина, здрава сигурност, здрав Интернет. Режеш им достъпа с iptables. Най-често атаките идват от чужбина, за да съм по-точен от бот мрежи (Botnet). Решението е да спреш достъпа да се влиза от чужбина в сайта ти и готово. Другия вариант е да говориш със доставчика ти, да ти ограничат посещаемостта от чужбина. Варианти хиляди. Слагай Linux научи iptables правилата, драскай firewall-а и спирай проблемите от гадове.
Преди време имах такъв проблем и го реших с iptables. Успех! :?:
Налазят ли те такива говеда имай на предвид, защото ти трябва здрава машина, здрава сигурност, здрав Интернет. Режеш им достъпа с iptables. Най-често атаките идват от чужбина, за да съм по-точен от бот мрежи (Botnet). Решението е да спреш достъпа да се влиза от чужбина в сайта ти и готово. Другия вариант е да говориш със доставчика ти, да ти ограничат посещаемостта от чужбина. Варианти хиляди. Слагай Linux научи iptables правилата, драскай firewall-а и спирай проблемите от гадове. Smile
Тук можеш да намериш информация на Български за Linux:
http://www.linux-bg.org
IpTables: http://www.netfilter.org
Можеш да погледнеш и тези сайтове;
http://www.linux-tutorial.info/
http://www.linux.org/books/
Успех :?:
ЕДИТ: Ако не успееш да си напишеш скрипта и да си настроиш сървър ми пиши ЛС и ще помагам - ако имам време. Стига наистина да си се опитал да на правиш нещо по-въпроса, а не само да си се опитал да инсталираш Linux и да не си успял.
Под debian ->
инсталираш tcpdump-а
Код:
apt-get install tcpdumpпод SlackWare ->
Код:
slackpkg install tcpdump
Код:
tcpdump -n -i eth0 udpТова: eth0 - 0 се пада номера на Лан картата, от която е входния трафик. Със командата ifconfig можеш да видиш к'в е номера на Лан картата
След като изпълниш командата ще излезе нещо подобно:
Код:
IP 192.168.1.3.25531 > 127.0.0.1.80: UDP, length 100
IP 192.168.1.3.25531 > 127.0.0.1.80: UDP, length 100
IP 192.168.1.3.25531 > 127.0.0.1.80: UDP, length 100
IP 192.168.1.3.25531 > 127.0.0.1.80: UDP, length 100IP-то 192.168.1.3 е атакуващото IP
25531 - Порта през които flood-ра удря (при всяка нова атака порта се сменя)
80 - Порта които flood-ра удря
length 10това са пакетите, могат да бъдат много по - големи ..
А да.. и още нещо. Можеш да се обърнеш към и-нет доставчика ти - щом плащаш, трябва да ти осигурят "сигурна" мрежа - както се вика, ако са така "любезни" ще помогнат.
Това с доставчика е най-добрия вариант - според мен.
Има TCPDUMP и за WINDOWS: http://www.microolap.com/products/network/tcpdump/
Vasil_90 каза:
Апачето си има ЛОГ. Там трябва да ти пише всичко. Мисля, че в access.log трябва да се намират тези данни. То ще си проличи. Ще имаш много еднакви редове от едно IP.
http://forums.data.bg/index.php?showtopic=2065138&view=findpost&p=14811265 г/д така трябва да ти изглежда лога.