ANTICHAT — форум по информационной безопасности, OSINT и технологиям

Deem3n® к кому конкретно относится??

К Феде это относится.
Какой нафиг .htaccess? омг

Хочешь КАК-ТО защитится? Тогда прогугли на предмет терминов:
tcp_syncookies, rp_filter, IDS, iptables/ipfw/pf, load balancer, Advanced Policy Firewall (apf), mod_dosevasive, mod_security etc.

Универсальной защиты нет и не будет.

Deem3n®
наконецто речь по теме пошла)
сенкс за совет...

IPS, mod_evasive, tcpdump, IP redirect, ngrep, ethereal, SPI etc.

Если сервер находится под крупной атакой, то для начала можно переписать днс на 127.0.0.1(врядли ботнет работает по ип), только стоит учесть, что этот финт сработает в среднем в течении 3 дней. Забанить в фаерволе подсети с которых идет атака.

Общих решений нет, можно установить вэбсервер nginx в режиме прокси или вэб сервера для снижения нагрузки.

Есть несколько способов защиты:
1). Если портал "большой" 1,5 к 2 к вместимость что-то на подобие www.combats.ru (от города зависит)
то они применили интересную тактику - Подсетками банили иностранные адреса,
причем отлавливали запросы и рубили их фаерволом(грубо сказанно, у них наверника cisco стоят).
Естественно, они позже уведомели народ, что мол была Дос-атака на наш ресурс и возможно ваш адрес попал в зону подозрительного и был забанен. Просьба нас уведомить и т.д.
Позже похвастались статистикой , если память не изменяет примерно 2,5 к -3,5к адресов попали в блеклист в течении нескольких часов.
---------
2). Если портал маленький, то тут надо пологаться на широкий канал + мощный сервер + моск и оперативность действий. Отлавливать подсети и рубить их.
---------
3). Искать абузостойкий хостинг, платить 150$ и пусть за тебя голову чешут.
---------
4). Зарыть сервер на глубину 5 метров и залить его бетоном, а после нажраться с горя.
---------
Досы ведь разные бывают ... Можно канал загадить, а можно и сервак в даун отправить.

Во FreeBSD где-то видел с десяток опций в ядре сменить для большей устойчивости.

(Одна из них отключает прерывания сетевой карточки на проц при каждом входном пакете, и только ОС сама, переодически опрашивая, забирает из буфера сетевухи пакеты для обработки)

Над задосить ботнет это вы хорошо пошутили. Добавлю что можно считать что ботнет состоит из виндовых клиентов, т.е. можно поискать / написать сплоит для винды на отказ в обслуживании - так будет на порядок эффективней - но, и маловероятней успех. Удачи, она вам понадобится .

общего решения нет и не будет
про
про htacces это конечно смешно....

слабый ДДОС обычно блокируют софтовыми средствами типа фаервола

но последнее время пошла мода на атаки такой мощности, что просто канал забивают и глохнет свитч целой стойки серверов
даже хттп пакет не шлют, только открывают соединение и держут его, тупо сокетов не хватает на проксиующей машине

тут только аппаратные решения помогают. но их стоимость что-то типа 50к у cisco. далеко не у всех хостеров такое есть...

это кстати легко делается, и доступно (пока еще) всем через дырку в клиентах\серверах сети Direct Connect. правда на практике, более-менее серьезные сервера завалить практически не возможно.

Да, есть статья на тему: http://steelrats.net/readarticle.php?article_id=154