24 октября 2011 г. 23:23 пользователь Дмитрий Савельев <dsavel...@tormail.net> написал: > Добрый вечер, > > Помогите пожалуйста начинающему линукс-одмину! > Приобрел VDS под Debian Lenny, поднял на нем сайт, и тут ... пришла Злая > Тётя Ддося. Как с ней бороться?! > Какие-то козлы прямо на следующий день стали ужасно ддосить сервер. > Надо сказать, до этого я поднимал свой сайт на другом сервере (тоже под > Debian Lenny), и незадолго до того, как я ушел от них, меня стали > жестоко ддосить. > Тогда вопрос решился добавлением в правила iptables по этим инструкциям > http://www.protocols.ru/files/Papers/iptables-tbf.pdf > http://hlmod.ru/forum/zashita-igrovogo-servera/1178-ddos-zashita-linuxovskogo-servera-cherez-pravila-iptables.html > Т.к. ведро у меня было старное (2.16.18), и не принимало правила > hashlimit, я включил в него такие правила: > iptables -A INPUT -p tcp --syn -m limit --limit 1/s -j ACCEPT > iptables -A INPUT -p tcp --syn -m limit -j DROP > И проблема сразу решилась. > Теперь мигрировал на новый сервер, поднял сайт, не успел он и дня > проработать - опять началась атака. И опять самое тупейшее > syn-наводнение на 80-й порт. > Поскольку тут ядро поновее, я взял из второй инструкции такое правило: > iptables -A INPUT -p tcp --dport 80 -m hashlimit --hashlimit 50/s > --hashlimit-burst 50 --hashlimit-mode srcip --hashlimit-name CSS -j ACCEPT > iptables -A INPUT -p tcp --dport 80 -j DROP > Не помогло. Точнее, частично помогло, поскольку часть вражеских пакетов > задерживает. Но не все. > Ввел тогда до кучи еще и старое, думал - не будет работать, однако > заработало. Поставил его перед последним, и что одно, что второе - > задерживают пакеты. > Сначала все было нормально... часа полтора. И вот опять - атака, которая > оказалась успешной. Сервер "повис", пришлось останавливать веб-сервер. > Так как "размножаются" как черти процессы апача - доходит до нескольких > десятков + в системе "висит" куча (неск. десятков) таких процессов: > /usr/bin/php5-cgi php > Я уже думаю, не протроянили ли они меня, помимо ddos. Хотя когда > убиваешь апач и пхп киллом - все убивается и не появляется, пока вновь > не запустишь апач и через некоторое время атака не начнет вешать систему. > Не подскажете что-нибудь умное? Вроде простейшая атака, а не получается > побороть никак.
- Настройте апач, чтобы он не плодил бесконечно процесы - Если ширины канала не хватит чтобы отдать всем ботам траффик - ограничьте его - Вы уверены, что то что вы написали в iptables вам помогает? - Вы уверены что машина справится с такой загрузкой? Мб, стоит посмотреть, что может предложить хостер из железных решений.
