ANTICHAT - Несколько вопросов по DDoS

ANTICHAT (https://forum.antichat.xyz/index.php)

- Linux, Freebsd, *nix (https://forum.antichat.xyz/forumdisplay.php?f=124)

- - Несколько вопросов по DDoS (https://forum.antichat.xyz/showthread.php?t=1812967)

Друзья! Всем привет!

Имеем CentOS 5.2 На нём биллинг и хостинг

Вопрос в следующем.
Есть сервер, на нём хостится 8 сайтов, 3 домена 2-го уровня, а остальные субдомены каждого из верхнего уровня.
Есть подозрение, что мой сервак атакуют, а именно DDoS.
У меня сначала возрастают пинги с 50мс до 400-600мс и даже до 2000 мс. Так он держится минут 10-15 и потом не отвечает. У меня написан скрипт, если не пингуется IP-адрес в сети интернет, то сервак сам идёт в перезагрузку.
Спустя время, от 5 минут до нескольких часов сервер наконец-то начинает отвечать, и с нормальными пингами от 30 до 60 мс.

Вопрос в следующем, как определить что именно произошло с сервером, почему он перестал отвечать, и если подтвердится что это DDoS, то как определить какой именно домен атакуют...

Заранее благодарен.

собственно, вот это должно помочь думаю, если разберетесь, и все заработает, отпишите)

Для просмотра скрытого содержимого необходимо иметь 10 сообщений, у вас 0 сообщений.

Для просмотра скрытого содержимого необходимо иметь 12 сообщений, у вас 0 сообщений.

Цитата:

sultan347 написал(а):

*** скрытое содержание ***

А это что? Работа с базой данных MySQL? Что это такое и что с этим делать?

Добавлено через 14 минут

Цитата:

usasoft написал(а):

собственно, вот это должно помочь думаю, если разберетесь, и все заработает, отпишите)
*** скрытое содержание ***

если честно, то не разобрался, что нужно сделать с этим скриптом?

Цитата:

nops написал(а):

А это что? Работа с базой данных MySQL? Что это такое и что с этим делать?

Суть в том, фиксируется обращения тебе за последние 2 минуты

Логи для чего придумали? Просмотрите их, может на что-то попадете.
Я в apache22 добавил модуль mod_evasive
http://www.lissyara.su/articles/freebsd/www/mod_evasive/
Также в ipw добавил пару правил. Ось Фря 7.2

На сервере крутится БД? Если да, то посмотри что с ней творится - может есть какие-то проблемы в оптимизации или же медленные запросы висят толпами и грузят процессор. То же касается и скриптов на твоём хостинге.

И хорошо бы написать какая конфигурация железа, статический или динамический IP, может проблему не там ищешь...

P.S. DDOS лучше всего определять и ликвидировать с помощью iptables+limit+log, в нете масса инфы на эту тему.

раньше всё было нормально, изменений никаких не делал.
Началась такая фигня. При чём бывает что серв по нескольку раз за вечер уходит в даун, а бывает 3 недели без проблем работает.

Цитата:

nops написал(а):

раньше всё было нормально, изменений никаких не делал.
Началась такая фигня. При чём бывает что серв по нескольку раз за вечер уходит в даун, а бывает 3 недели без проблем работает.

Посмотрите снифером на кол-во соединений по 80 порту

http://tty.org.ru/node/30
http://dd0s.blogspot.com/
http://it-man.su/2009/04/27/netstat-smotrim-kolichestvo-podklyuchenijj/

Друзья. Так-то разобраться не могу. Смотрю по биллинговой системе. Какие запросы и пакеты куда проходили. В результате смотрю, и оказалось, что на 80-й порт запросов оч мало.
Вот скрин из биллинга:

http://www.novour.com/3.jpg

Может я что-то не понимаю?
Из скрина видно, что серв был в дауне с 0:19:40 до 2:47:41(это время)
Затёртые это мой IP.