DOS & DDOS атаки

[zingel]

ну как и везде там есть костылезабивальщики, вот в результате этого и получается *как всегда*

[Хостинг HostFood.ru]

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

[buryanov]

Перечитал в очередной раз ветку, так и не понял, как с этим бороться:
С одной стороны

Код: Выделить всё

ipfw add 10 deny ip from any to me 22,80,21 via ${if_wan}
или
ipfw add 10 deny ip from table\(100\) to me via ${if_wan}

table 100 заносятся ip где-то провинившееся - но при этом забивается канал запросами
С другой стороны - в DNS(особенно если зону поддержует регистратор) подставляешь чей-то IP и пусть теперь это будет его проблема - тоже както не гуманно.
Первый метод может работать более мение автономно, но на некоторых сервисах, а вот второй, особенно если DNS у регистратора - требует ручного вмешательства. У Cisco, CheckPoint есть системы анализа трафика, но эти железки стоят денег, под MS видил и пробовал несколько програм, которые по своим какимто параметрам анализируют трафик и принимают решения о DDoS атаке и зачастую борятся с помощью фаера. А чот есть подобное под FreeBSD? Проблема ssh, ftp,mail перебора паролей решается с помошью анализа лога(слава богу сообщения о неправильном пароле пишутся) и фаера, правда не решает проблемы с забивкой канала запросами, а вот как быть с www, sql(разными его реализациями) и так далее. Был проведён эксперимент:
имеется: 10 девушек(секретари, бухгалтера и тому подобные)
C2D/4ram сервер с apache + mysql + php, 15G контента мелкие(до 250 кил) файлы, страници формируются в произвольной форме, по типу ресурса развлечений, порядка 20 тем + 40 бареров
P3 (роутер, фаер, шейпер и тому подобное)
На роутере была урезана скорость 5Мбит на всех
Что получилось: за примерно 10-12 минут девушки загрузили сервер: 75% CPU 3.4G RAM
Проанализировали логи - ничего военного и тяжелого не нашли, сервер неуспевал отдавать контент. Поставили nginx/squid frontend"ом, в первый и второй спасли, но это тоже не выход, но очень даже хороший и правильный вариант. анализ запросов при этом всёравно не ведётся.
Попробовал поискать по интернету, поспрашивать у знакомых хостеров, которые сами и пишут сайты - в интернете нет не примеров, не методов как таковых, а вторые - наращивать мощности...

[kozak]

Попробовал поискать по интернету, поспрашивать у знакомых хостеров, которые сами и пишут сайты - в интернете нет не примеров, не методов как таковых, а вторые - наращивать мощности...

Скорей последнее...((

[zingel]

Cisco Guard XT

[paix]

циска без профессиональных мозгов - что скальпель в руках обезьяны. Сама по себе вопросов никак не решит.

Рекомендую народу терзать гугл. Тема уже кучу раз обсасывалась. Особенно, посмотреть в nginx-ru.

Основная идея такая: если ДДОС сильный, то забьют канал к прову и тю-тю. Тут и циски слабо помогают.
Но сильный ДДОС= очень дорогой ДДОС.
95% всех ДДОСов это мелкие-средние досы, от которых запросто можно отбиться программными путями.

для ддосов выше среднего очень неплохо иметь перед своими веб серверами прокси-балансировщики, на которых анализировать трафик и засовывать ботов в фаер.
в инете умельцы даже предлагают такие решения, на базе freebsd кстати. Этакий бюджетный аналог циски

[ViktorichZ]

получается в зависимости от "величины" DDOS'а выбирается метод, от банального limitipconn до кошек у провайдера....

[paix]

получается в зависимости от "величины" DDOS'а выбирается метод, от банального limitipconn до кошек у провайдера....

массивность ДДОСа определяет когда сдохнут те или иные программные средства
Но мощные атаки, способные положить канал к серву случаются далеко не часто.
Все что не ложит канал к серверу - обычно можно побороть программными средствами.

самое главное - чтобы боты не доходили до динамики.

Самый банальный пример:
выдаем auth_basic на корень сайта указывая юзера и пароль.
(это уж если совсем худо жить стало)

тех кто получает отлуп более Н раз за минуту - в таблицу фаера.

[buryanov]

Облазил инет, но методик по отслеживанию ддос атак, так и не нашел, есть небольшие рекомендации, но они в основном относятса к вебу.
Обратился за помощью к преподавателям, читающим сетевую и компьютерную безопастность, но от них кроме мъямляния или неохоты общатся на эту тему, ничего не сказали.

Решил пойти своим путём, почитав общие рекомендации:
что имеется:
2мб - канал на которм висят основные сервисы
10мб - канал на котором в основном web трафик(сёрфинг)
в компании веб и фтп не являются основными сервисами

1) трафик у меня считается ng_ipacct, я вижу по каким портам и куда, кто ходил и сколько и когда взял или отдал
2) собираю статистику за определённы промежуток времени, скажем месяц, и вывожу некие средние значения с привязкой ко времени(0-24 часа)
3) сравниваю сратистику подключений со статистикой за предыдущий период
4) сравниваю статистику со статистикой 5, 10,15,30,60 минутной давности
5) анализирую логи на предмет перебора паролей

что получилось:
1) C2D 5x00, который является почтовым релеем с проверкой на вирусы, прокси сервером с проверкой на вирусы стал загибатся под нагрузкой(mysql), Сделал больше интервал между сесиями на проверку - справляется.
2) сравнение со статистикой за прошлый период нидаёт никаких результатов, разброс бывает 300%

Это пока только наблюдение, но пока никаких действий

[paix]

а в чем проблема то?