под DDOSом ...

[risk94]

ICMP, UDP трафф ~ до 80 мегабит ....
Че делать?

[Хостинг HostFood.ru]

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

[LMik]

Блочить у провайдера.

[risk94]

Блочить у провайдера.

пока закрыл фаером. посморим че дальше ...

[Burner]

чего тогда спрашивать было..

[risk94]

чего тогда спрашивать было..

для того чтобы послушать мысли умных людей, изент ит?

[Burner]

а чего тут слушать. UDP и ICMP только дропать. Если ресурсов хватает - дропать на сервере, если нет - до сервера.

[hizel]

если трафик пришел то он пришел, смысл его дропать на сервере?

[gonzo111]

навскидку

#Превращаем сервер в черную дыру. Так ядро не будет слать ответные пакеты при попытке подключиться
# к незанятым портам (снижает нагрузку на машину во время DDoS'а на случайные порты):
net.inet.tcp.blackhole=2 #0
net.inet.udp.blackhole=1 #0
#Ограничиваем число ответов на ICMP-сообщения 50-ю в секунду (защита от ICMP-флуда):
net.inet.icmp.icmplim=50
#Увеличиваем максимальное количество подключений к серверу (защита от всех видов DDoS):
kern.ipc.somaxconn=1024 #128

Код: Выделить всё

${fwcmd} add 11 allow udp from any to me 1,2,3,53.... limit src-addr 10 in recv ${oif}

как то так

[Burner]

если трафик пришел то он пришел, смысл его дропать на сервере?

чтоб сервер не напрягать ответами

[hizel]

канал все равно забивается

[Burner]

это никак не отменяет ресурсы сервера

[risk94]

согласен, сначала позвонил прову, мол досят - обламали ждать до утра. Закрыл фаером. Регаю кучу попыток- и облом!

[risk94]

такс, походу новая волна. дос идет тупо на шттп. по топу вижу кучи перловых процессов напроч сжирающих цпу. как раскопать что так грузит проц? какой-то корявый скрипт?

[risk94]

Хотя это может и мой кривой /dev/hands Подскажите в какую сторону хоть смотреть.

[hizel]

гг.
http://forum.lissyara.su/viewtopic.php? ... 53&start=0

[risk94]

В логах апача обнаружилось огромное кличество вот таких запросов:

Код: Выделить всё

[client 92.39.76.138] Invalid URI in request \x13BitTorrent protocol

и вот такого

Код: Выделить всё

\\xb1
\\x07\\x1a\\x0co\\xc8\\xb7\\xdd*\\xac\\xbc\\xdd\\x88\\x89\\x8bT\\x18r\\xb5#\\xff*/G/\\x1e\\x0e\\x90h\\xa4\\xc2+\\xa3\\xf6!\
\x99\\x01\\xe9\\xda\\xd1\\xe1*\\x10E\\"\\xb3a\\xf5<[\\xd4]\\x07\\x1d\\x05xHq\\x98\\xd6\\xde\\xcb\\x95D\\xbc\\x97\\x8e\\xfb\
\xcb\\xe2\\xb4\\xc1b\\xa2\\xa1\\b\\xac|\\xe4\\xe5\\xd2`\\xbf\\xeaY\\x82\\b\\x8fY\\x1c\\xb8\\xc3^\\x84\\xd4Q\\x03,\\x7f\\xc4
\\xf1\\xe0I\\x8e\\xbbt\\xb2\\x1d>\\xccM\\xcb\\xee\\xdd\\x9f\\x8c6/\\xa52\\xc4w,\\x913\\x86.\\x14\\x15\\xfaR\\xbb/\\xb1\\xb6
\\x9f\\x8bH\\x9f;\\x15\\x894\\\\\\xc5BZ+\\x97\\xe6\\xaa\\xc0n\\x99\\vo&\\xcb\\x03\\xf7\\xbc\\xd9 -n\\x87<1\\xe4\\x87\\x80\\
xf9\\xea8RT\\xbfpt\\x04\\xc6\\xc6\\x9b\\x1au\\xfb\\xa0>\\x93\\xb3r\\x9b\\xc2s\\xc9\\"\\x06\\xfc`\\xf5\\x17\\x89YTm7\\xc1\\x
a3\\x02\\xc3\\x1b\\x94\\xb8\\xaa\\x8b[

че это такое?