Старый 30.05.2012, 16:15   #1
M@ZAX@KEP
 
Аватар для M@ZAX@KEP
 
Регистрация: 24.07.2010
Сообщений: 139
Репутация: 5
По умолчанию Защита от DDoS

Не нашёл более подходящего раздела для этой темы. Уместнее было бы запостить в "Администрирование", но нельзя. Ну и ладно, будем говорить о защите nix серверов.

Предлагаю посвятить эту тему обсуждению методов отражения DDoS атак. Кто, чем, почём? =) В администрировании серверов я ещё ньюфаг, поэтому вопросов у меня по этой теме море. Надеюсь, что тема будет не одному мне полезна.

Из той информации, что удалось нарыть по интернетам, выделил для себя несколько видов атак и стал искать решения для противостояния им:
  1. Боты выполняют запросы на различные страницы, чем нагружают веб-сервер и заставляют его тупо тормозить из-за 100% загрузки (да, у меня 512 оперативки и слабенький проц на VPS). Решение - nginx+php-fpm и модуль для отделения людей от ботов с помощью установки кукис через яваскрипт: http://kyprizel.github.com/testcookie-nginx-module/ (нашёл по статье на хабре) Вроде тут железно, боты выполнять js не будут?
  2. Боты (в небольшом или среднем кол-ве) совершают адовое кол-во запросов (скажем, каждый бот каждую секунду) на какой-либо порт и забивают канал сервера (флуд различных видов). На ксакепе нашёл статью, в которой предлагают принять следующие меры по частичной защите от флуда:
    Код:
    #отключение ответов на запросы ICMP ECHO:
    iptables -A INPUT -p icmp -j DROP --icmp-type 8 
    
    #Увеличение очереди "полуоткрытых" TCP-соединений:
    sysctl -w net.ipv4.tcp_max_syn_backlog=1024
    
    #Уменьшение времени удержания "полуоткрытых" соединений:
    sysctl -w net.ipv4.tcp_synack_retries=1
    
    #Включение механизма TCP syncookies:
    sysctl -w net.ipv4.tcp_syncookies=1
    
    #Ограничение максимального числа "полуоткрытых" соединений с одного IP к конкретному порту:
    iptables -I INPUT -p tcp --syn --dport 80 -m iplimit --iplimit-above 10 -j DROP
    
    #отрезать UDP сервисы от внешнего мира и установить лимит на количество соединений в единицу времени к DNS-серверу на стороне шлюза:
    iptables -I INPUT -p udp --dport 53 -j DROP -m iplimit --iplimit-above 1
    Хотелось бы знать, насколько всё это эффективно в реальности и от чего может меня спасти? Как мне кажется, универсальное решение от этого вида атаки - банить гиперактивных юзеров в iptables. В идеале делать это автоматизированно. К сожалению, не удалось найти ничего по этой теме. Написать скрипт для автоматического бана и пихнуть в cron не долго, но вопрос, как выловить ip чрезмерно активных клиентов (не только на 80 порту, там-то всё легко решается парсингом логов).
  3. Огромный ботнет, действующий тем же методом, что описано выше, но боты совершают запросы раз в 10-15 секунд. Берут числом, а не силой. =) Отличить таких ботов от людей просто невозможно, некоторые легальные пользователи шлют запросы даже чаще. Однако есть немало сервисов, предлагающих защиту от DDoS атак, в том числе и от таких. Значит выход есть. Но описания технической стороны работы подобной защиты я нигде не видел, а интересно было бы посмотреть. Пока других выводов о возможной методике защиты сделать не могу.
Вот такое моё видение проблемы, жажду слышать и чужое мнение, и ответы на вопросы. Спасибо.
M@ZAX@KEP вне форума   Ответить с цитированием
Старый 08.06.2012, 00:33   #2
M@ZAX@KEP
 
Аватар для M@ZAX@KEP
 
Регистрация: 24.07.2010
Сообщений: 139
Репутация: 5
По умолчанию

Неужели всё настолько секретно, что никто не готов поделиться методом, который он использует? Ну или банально помочь разобраться с вопросами...
M@ZAX@KEP вне форума   Ответить с цитированием
Старый 08.06.2012, 10:30   #3
oRb
 
Аватар для oRb
 
Регистрация: 01.07.2010
Сообщений: 319
Репутация: 138
По умолчанию

Какая еще секретность? Просто на этом форуме маловато людей, занимающихся администрированием. А тех, кто отбивался от разных видов ддоса, наверно, вообще нет.
Мой опыт - трафик с дедиков. Что сделал - заблочил всех ботов, ограничил число открытых TCP соединений с одного IP до 20.
Вот весь мой опыт...
__________________
Не оказываю никаких услуг.
I don't provide any services.
oRb вне форума   Ответить с цитированием
Старый 08.06.2012, 13:04   #4
nicco
 
Регистрация: 01.01.2011
Сообщений: 45
Репутация: 3
По умолчанию

http://www.slideshare.net/profyclub_ru/dds-12265858

http://live.digitaloctober.ru/embed/...time1338466110
с 17 минуты.
nicco вне форума   Ответить с цитированием
Старый 09.06.2012, 13:24   #5
M@ZAX@KEP
 
Аватар для M@ZAX@KEP
 
Регистрация: 24.07.2010
Сообщений: 139
Репутация: 5
По умолчанию

nicco, видео не смотрел (с моим инетом накладно, да и не люблю видяшки, претендующие на раскрытие серьёзных тем), а презентация оказалась настолько ёмкой и информативной, что кроме 1 ссылки на статью на хабре оттуда и взять нечего. Как раз на тему 3 пункта статья. Только вот не видно там всё же ничего о том, как отличать ботов от людей при медленной, но многочисленной (по ботам) атаке. Какие "features" предлагает выделять автор - одному ему известно, запросы от ботов и от людей выглядят одинаково.
M@ZAX@KEP вне форума   Ответить с цитированием
Ответ

Метки
antiddos, антиддос, защита ddos

Опции темы Поиск в этой теме
Поиск в этой теме:

Расширенный поиск
Опции просмотра

Ваши права в разделе
Вы не можете создавать новые темы
Вы не можете отвечать в темах
Вы не можете прикреплять вложения
Вы не можете редактировать свои сообщения

BB коды Вкл.
Смайлы Вкл.
[IMG] код Вкл.
HTML код Выкл.

Быстрый переход



Powered by vBulletin® Version 3.8.5
Copyright ©2000 - 2020, Jelsoft Enterprises Ltd. Перевод: zCarot