есть стандартные метода защиты от подобных отак к примеру фаервол ... Предлогаю обсудить нестандартные методики...
какой либо тематический софт...скрипты и тп... кто как защищается...??


Один из вариантов:

.htaccess Разрешить/Запретить IP

Разрешить доступ с определенного ip:
Цитата
order allow deny
deny from all
allow from <ваш ip>


В данном случае, <ваш ip> обозначает конкретный адрес.
Например:
Цитата
order allow deny
deny from all
allow from 192.126.12.199



Запретить доступ с определенного ip:
Цитата
order allow deny
deny from all
deny from <ваш ip>


Использование <ваш ip> аналогично для примера выше.

Дальше пишеться скрип, который при частом обращении ..

Цитата
На сегодняшний день ддос более не похож на тупую дрочку f5, так что проще заблочить бешеный ип. Это экономит время и средства.


просто заносит его в .htaccess

Также возможно cделать по зонам или по диапозону ip

ну так открой ХА там описан данный метод, версия журнала старая, ищи. а так с аксессом.... ну почему бы и нет

.htaccess имхо не вариант :))
Все-равно на каждый коннект будет создаваться соединение, проверяться htaccess и возвращаться страница 403.

может капча при заходе на сайт вводишь капчю и тока тогда сидишь на нём

От DDoS'а это не поможет.
XaCeRoC, а если я несколько миллионов раз вызову капчу?

убивать ботнет досера своим ботнетом. имхо единственный вариант. а отключать хост не выход.

та ну, чтоб один ботнет убил другой ботнет нужно чтоб он превосходил по количеству на порядок

а защита: анализировать какие запросы используются и по возможности прикрыть их.

например: ддосили ирц сервер. решение: перекинули порты и сказали своим на какой порт конектится.

хотя как вариант попытатся узнать откуда проходить централизованое управление и туда ударить ботнетом

htaccess не когда не спосёт когда 2-3к подключений будет идти ;)

Печально, народ все сильнее деградирует.
Пора бы знать, что бороться с данными видами атак нужно на уровне протокола. Вдобавок, для достижения результата, в большинстве случаев не требуется возвращение трафика на сторону отправителя, т.к. IP протокол при создании пакетов не проверяет адрес. О какой блокировке распределенной атаки тогда может идти речь, если отсутствует источник нападения? Все четко понимают, что такое DDoS и DoS? Так что прекратите нести дезинформацию в народ, а лучше почитайте книжки по TCP/IP стеку.

http://img211.imageshack.us/img211/8237/dsc00038gp1.jpg

убивать ботнет досера своим ботнетом. имхо единственный вариант. а отключать хост не выход.
Предлагаешь досить каждого бота из ботнета?

ettee
Я думаю они имелли ввиду пакетный http флуд, когда сервак заваливаеться от нагрузки php и mysql.

ettee,с моей стороны это не вопрос как защитися... тема создана дабы раскрыть вопросс защиты от flood/dos/DDos атак для всех тк считаю вопрос актуальным..

ReVOLVeR
тут 2 способа защиты...

Если это http то банальные средства защиты банящие по большому кол-ву запросов, а так же работающие с куками(как на WHB), так же переход на SSL, установка таких CMS как ngnix которые значительно снижают нагрузку на сервер.

Если же брать пакетный флуд на уровне протокола TCP-IP то тебе поможет грамотно настроенный фаервол, или же отдельный девайс типо такого http://www.thg.ru/technews/20060407_153421.html подразумевающий собой меж сетевой экран, так же закрытие всех ненужных портов.

']Предлагаешь досить каждого бота из ботнета?
да. кто-нибудь пробовал?

Piflit,
представить можно...
на сайт ставиш пхп скрипт которы просматривает логи и начинает распределённо ддосить отакующие адреса ...единственная праблема надо иметь больший ботнэт...но хотя если он будет меньше то удастся приглушить атаку и сайт будеть работать более менее стабильно..(это хотя смотря восколько меньше) + ты можеш задосить не саму машину-бота а его прова))

Piflit,
ReVOLVeR

Ребят ну полный бред, как вы себе это представляете...

ты можеш задосить не саму машину-бота а его прова))
во первых подумай о людях, во вторых ты не задосишь тот же МТУ или др крупные сети так как там защита от ддоса на вышем уровне.

во первых подумай о людях,
[ cash ] это так фантазия...хотя если задосить машину-бота то сидящий за ней человек задумается 'а чё собственно творится??' и будет искать причину...хотя тож бред)))

']
Ребят ну полный бред, как вы себе это представляете...
я это и не представляю.

если посылать большое количество запросов на машину, ее можно увести в даун? или только затормозить работу?

*ушел пить эфирную валерьянку с ettee

поржал
ettee прав насчет деградации

если посылать большое количество запросов на машину, ее можно увести в даун?
Piflit почитай статьи по досу дидосу флуду
можно затормозить можно в даун
зависит от широты канала
степени защищённости
кол-ва ботов

Deem3n® к кому конкретно относится??

Deem3n® к кому конкретно относится??
К Феде это относится.
Какой нафиг .htaccess? омг

Хочешь КАК-ТО защитится? Тогда прогугли на предмет терминов:
tcp_syncookies, rp_filter, IDS, iptables/ipfw/pf, load balancer, Advanced Policy Firewall (apf), mod_dosevasive, mod_security etc.

Универсальной защиты нет и не будет.

Deem3n®
наконецто речь по теме пошла)
сенкс за совет...

IPS, mod_evasive, tcpdump, IP redirect, ngrep, ethereal, SPI etc.

Если сервер находится под крупной атакой, то для начала можно переписать днс на 127.0.0.1(врядли ботнет работает по ип:)), только стоит учесть, что этот финт сработает в среднем в течении 3 дней. Забанить в фаерволе подсети с которых идет атака.

Общих решений нет, можно установить вэбсервер nginx в режиме прокси или вэб сервера для снижения нагрузки.

Есть несколько способов защиты:
1). Если портал "большой" 1,5 к 2 к вместимость что-то на подобие www.combats.ru (от города зависит)
то они применили интересную тактику - Подсетками банили иностранные адреса,
причем отлавливали запросы и рубили их фаерволом(грубо сказанно, у них наверника cisco стоят).
Естественно, они позже уведомели народ, что мол была Дос-атака на наш ресурс и возможно ваш адрес попал в зону подозрительного и был забанен. Просьба нас уведомить и т.д.
Позже похвастались статистикой , если память не изменяет примерно 2,5 к -3,5к адресов попали в блеклист в течении нескольких часов.
---------
2). Если портал маленький, то тут надо пологаться на широкий канал + мощный сервер + моск и оперативность действий. Отлавливать подсети и рубить их.
---------
3). Искать абузостойкий хостинг, платить 150$ и пусть за тебя голову чешут.
---------
4). Зарыть сервер на глубину 5 метров и залить его бетоном, а после нажраться с горя.
---------
Досы ведь разные бывают ... Можно канал загадить, а можно и сервак в даун отправить.

Во FreeBSD где-то видел с десяток опций в ядре сменить для большей устойчивости.

(Одна из них отключает прерывания сетевой карточки на проц при каждом входном пакете, и только ОС сама, переодически опрашивая, забирает из буфера сетевухи пакеты для обработки)

Над задосить ботнет это вы хорошо пошутили. Добавлю что можно считать что ботнет состоит из виндовых клиентов, т.е. можно поискать / написать сплоит для винды на отказ в обслуживании - так будет на порядок эффективней - но, и маловероятней успех. Удачи, она вам понадобится :).

общего решения нет и не будет
про
про htacces это конечно смешно....

слабый ДДОС обычно блокируют софтовыми средствами типа фаервола

но последнее время пошла мода на атаки такой мощности, что просто канал забивают и глохнет свитч целой стойки серверов
даже хттп пакет не шлют, только открывают соединение и держут его, тупо сокетов не хватает на проксиующей машине

тут только аппаратные решения помогают. но их стоимость что-то типа 50к у cisco. далеко не у всех хостеров такое есть...

Если не забили канал, как сказано выше - ддос можно победить программным путем

Для этого необходимо грамотно настроить файервол + убивать соединения, инициализированные ботом.

http://forum.antichat.ru/showpost.php?p=630537&postcount=9
http://forum.antichat.ru/showpost.php?p=630702&postcount=23

Люди HELP !!!
У меня в локалькой сети форум на компе и его досят , досят не сильно! Помогите пожалуйста что делать!

IP досера я знаю.

Люди HELP !!!
У меня в локалькой сети форум на компе и его досят , досят не сильно! Помогите пожалуйста что делать!

IP досера я знаю.


Позвони провайдеру))) А так 1 строчка в правилах фаера.

Люди HELP !!!
У меня в локалькой сети форум на компе и его досят , досят не сильно! Помогите пожалуйста что делать!

IP досера я знаю.

тут же написана
Запретить доступ с определенного ip:
order allow deny
deny from all
deny from <ип чела который досит>

в .htaccess

Nelzone

Если бы это помогло я бы не писал!

И какой же поставить? Я что только не пробывал , фиг чё помогает(((

И какой же поставить? Я что только не пробывал , фиг чё помогает(((

http://www.agnitum.ru/

У меня проблема была с outpostom! Установил я его значит и полез на свои сайты , один пашет , а другой нет Oo
Оба сайта на компе в локалке...

Ну посоветуйте что нибудь!

http://monolit-guard.ru/site/17

KaZ@NoVa

А самому защитится нельзя? :(

Придётся ставить linux и заплатить за настройку...

но последнее время пошла мода на атаки такой мощности, что просто канал забивают и глохнет свитч целой стойки серверов
даже хттп пакет не шлют, только открывают соединение и держут его, тупо сокетов не хватает на проксиующей машине


это кстати легко делается, и доступно (пока еще) всем через дырку в клиентах\серверах сети Direct Connect. правда на практике, более-менее серьезные сервера завалить практически не возможно.

Да, есть статья на тему: http://steelrats.net/readarticle.php?article_id=154

Придётся ставить linux и заплатить за настройку...

эмм а почему ты думаешь что это поможет?
Тебя как досят?

ИМХО тот кто ДДОСит знает как от этого защитится) обратись к ним за лаве тебе расскажут...а ты в паблик сольёшь=))

)) идея мне нравиться))

НА счет защиты скажу одно, если линь висит всё упрощает ситуацию.А так , только вешать фаервол, в конфигах прописывать акцесс на праймари рулс и туда всё черные айпишнеги.Ещё можно ,это уже видел со стороны как делали , фаервол научить анализировать трафик, и при критических ситуациях резать пакеты на определенный срок.

Интересно , а как защищаться от ддосов направленных на процессорное время . Например , всем не без известный дос модуль шторм.Там создается несколько тысяч коннектов TCP/IP, и шлется всякий мусор. Вот вам и нагрузка . Тут получается , при 4000 зомбей ,начинают таким образом атаковать , то нагрузка (если учесть что виндовс может создавать 2000 TCP/ip соеденений , а линукс до 7 тысяч)...Вот и посчитаете какая это нагрузка, и всё это процессорное время затраченное на обработку каждого коннекта.Что делать в таких случаях??? =)

IP ддосера я знаю
омг) тебя с одного ипа досят? мб какой-то некрофил на тебя sprut'a натравил :-D

В каком-то роутере (модели не помню) была функция бана по ip допустим если с 1 ип отправляется более 5 запросов в секунду...

нда мало кто понимает архитектуру стека tcp/ip
ставим любой фаервол и огрничиваем колво соединений с единичного ип адреса
(если в качестве моего любимого фв используется PF так там ещё проще используем таблицы)
cat /etc/pf.conf
ext_if="em0"

table <ddos> persist
block in log quick from <ddos>

pass in on $ext_if proto tcp to $ext_if \
port www flags S/SA keep state \
( max-src-conn-rate 100/5, overload <ddos> flush)
А всех кто попал к нам в блек лист можем посмотреть вот так:
pfctl -t ddos -T show
А удалить вот так
pfctl -t ddos -T flush
А для удобства я кинул в крон вот такую строчку
чтобы каждых 20 минут само чистило
*/20 * * * * root pfctl -t ddos -T flush

Поскольку содержимое темы не соответствует статусу "Важно" тему опускаю...