Прошу не нервничать из-за неточного вопроса, но думаю смысл будет понятен.
К примеру, если повесить апач чтобы он крутился на внутреннем кольце (127.0.0.1) и повесить куда-то на порт 4238, а фаервол настроить с анализом пакетов (всё что приходит на порт 80) и если всё хорошо, отсылать на 4238.
Если хорошо настроить фаер, возможен Ddos? Если да, то почему?

Ты вообще понимаешь термин DDoS ???

на внутреннем кольце
это где?

ддос направлен на физические ресурсы компьютера а не на приложение. захерачить комп запросами до посинения можно всегда.

Возможен. Потому что все подключения и перенаправления фаером будут отнимать ресурсы и соответственно при определенном количестве ботов (трафика) ресурсов не хватит или не хватит пропускной способности твоего канала.

Ну допустим стоит фаер...он будет блочить машину которая составляет большое количество подключений к примеру TCP (протестить можешь с помощью SPRUT)...а если будет атака syn флудом тысячи машин?
ИМХО от DDoS не спрячешься!

ЗЫ Go0o$E прав...
все подключения и перенаправления фаером будут отнимать ресурсы
таким образом достаточно 100-200 ботов syn флудом разок пройтись...хотя если машина и канал хорошие...может и больше...
Вообщем повторюсь...против правильно организованной ддос не спостись...

ИМХО от DDoS не спрячешься!

Но можно уменьшить проходную способность пакетов.

Как бороться с DDoS. Статья Forb'а из журнала Xakep:
http://www.xakep.ru/magazine/xa/081/066/1.asp
А вот подробно от DoS вообще:
http://www.xakep.ru/magazine/xs/048/030/1.asp

Как бороться с DDoS. Статья Forb'а из журнала Xakep:
http://www.xakep.ru/magazine/xa/081/066/1.asp
А вот подробно от DoS вообще:
http://www.xakep.ru/magazine/xs/048/030/1.asp
За линки на статьи спс...
эту статью прочита дважды
http://www.xakep.ru/magazine/xa/081/066/1.asp
Слова ИМХО от DDoS не спрячешься! беру назад...

ДДОС на "внутреннем кольце =)" невозможен по определению. ДОС еще может быть.. и то сам от себя=)

Во первых *** ты разберешь где пользователь где бот, во вторых при небольшой атаке если удастся заблокировать и будет перенаправлен трафик, то сомневаюсь что ты много чего выиграешь.
А если будет более сильнее канал забьется и все.

Как бороться с DDoS. Статья Forb'а из журнала Xakep:
http://www.xakep.ru/magazine/xa/081/066/1.asp ИМХО полнейшая бредятина.

ИМХО полнейшая бредятина.
Согласен. По моему таких защит нет.
Более менее норм защита это апп фаер + фаер на компе+ капча на сайте

ддос направлен на физические ресурсы компьютера а не на приложение. захерачить комп запросами до посинения можно всегда.


на руки, ноги, пах и солнечное сплетение?


Во первых *** ты разберешь где пользователь где бот,


смысл http ддоса в том чтобы каждый запрос отжирал у сервера как можно больше времени и ресурсов. если запрашивать index.html (статич. страницу) то этим даже слабенький серв не свалишь. другое дело если запрашивать индекс большого форума или детальный список юзеров, который строится по данным из базы данных, можно и одним ботом с нормального канала держать средний сервер
различить где пользователь а где бот - очень просто)
достаточно использовать cookies, незнаю бота который следил бы за теми куки что ставит ему сервер и передавал бы их как браузер. во вторых картинки при первом запросе.. (числа с картинки)... да и очень много ещё всяких способов

далее не забывайте про syn-флуд. многие настраивают сервер так, чтоб он работал всегда через защищенное 443 (ssl). там приходится ддосить 443 порт.

фаерволом можно просто блокировать поступающие пакеты, но это значит "не рассматривать" как-бы. ясное дело, они все равно будут доставляться на сервер жертву. тут уже все зависит от канала... e-gold ещё помоему ниукого неполучилось свалить... но думаю если было бы ботов 100к то и ему бы точно пришел пиздeц) и гуглу тоже

был такой случай я с ботнета пытался валить какой-то сервео, который стоял в датацентре и если чего-они просто выдергивали кабель, снимали его с полочки, настраивали все по-другому и через 15 минут он уже стоял как член при виде голой бритни спирс
однако когда я попросил одного чела помоч - он врубил ... наверное .. бля... хер-знает-скольки0-гигабитный syn с дикого, огромного кол-ва порутаных машин))) тогда уже ничего не помогало... там хоть син хоть что.. просто мусор шли серваку и все

но ещё бываюи хитрые защиты .. второй айпи.. например
или что-то мутят с днс. не спрашивайте что. я вообще к этом не имею никакого отношения, просто в журнале хакер прочитал

Егор вернется, все расскажет про защиту от ддоса... ;)
На самом деле от этого всего можно защититься - у меня у знакомых канал в 10 гигабит (если не ошибаюсь) на датацентр засрался с 1 200 000 ботов со всего мира - это уже жопа. На уровне провов только это блочить. Но такое количество йух заблочишь на уровне провов. Пришлось докупать железки ниипаться какие. Вобщем врядли это кому интересно. Можно тупо засрать канал и уже никакие фаеры и железки не помогут.

хех, вместо того что "от ddos не защититься" может интересней советы какие-то ,примеры или статьи выкладывать полезные...

http://www.opennet.ru/tips/info/748.shtml
http://www.bsdportal.ru/viewtopic.php?t=3322

http://forum.comp-info.ru/showthread.php?t=1518

Согласен. По моему таких защит нет.
Более менее норм защита это апп фаер + фаер на компе+ капча на сайте
капча? WTF?

а надежнейший способ избавится от ДДОСА - сделать так, чтобы ваш сайт ддосить было никому не нужно
если что - отрубить все кроме россии и VPN'ов известных например
ну например вежливо обьяснить клиентам чтоб они лазали через впн без соксов (особенно usa).
скажем для такого проэкта как 5socks.net это удобно
а если ботов дохера и цель забить канал то о чем тогда вообще говорить
делай несколько серверов... запасных.

капча? WTF?
Например с секлаба

http://www.securitylab.ru/bitrix/tools/captcha.php?captcha_code=cdc7197ea083ce159f6f36011 23a8e46

Например с секлаба

http://www.securitylab.ru/bitrix/tools/captcha.php?captcha_code=cdc7197ea083ce159f6f36011 23a8e46

Наверно, он хотел указать на пропущеную 'Т' в слове каптча, хотя, имхо, и так можно. Кста, каптча там кг\ам'ная

От ddos- атаки можно уйти, используя и:
Увеличение очередей, отключение редиректа, ARP, отключение принятия пакетов маршрутизации и т.д.

Имхо, лучшее-это идентификация своего трафика, +несколько фильтров, настроеный файервол, и умелые руки.

но 100% защиты нет... Всё будет зависеть от квалификации, и методов атакующего.