Школьники ддосят

http://qrator.net/ru/ - проверено, работает даже против студентов :)

iptables connlimit пробовали?

https://www.opennet.ru/docs/RUS/LARTC/

За что ддосят, если не секрет?

ddos deflate

От школьников должно помогать. Может неправильно настраиваете. https://github.com/Amet13/ddos-deflate

От школьников хорошо абузы провайдеру помогают и угрозы возбудить уголовное дело.

Купить жирный канал на месяц. Переехать в NY и сидеть на 100 Гигабитах. Распределить архитектуру. Запустить 20 равнозначных серваков. Банить на уровне железок пакеты от диапазонов ip адресов. Вычислить по ip геоположение, приехать и обесточить дома со школьниками топором по силовому кабелю.

по вашей инструкции при установке выдает

Please install netstat from net-tools package at first.
For example:
yum install net-tools or apt-get install net-tools

Какой дистрибутив и что говорит which netstat?

И это проблема?

Если школьники тебя успешно ддосят, а ты пришёл спрашивать что делать сюда, то школьник ты.

выдает /bin/netstat,дистрибутив debian x86.

так я учусь. вы бы лучше помогли,чем критиковать.

Странно, у меня с /bin/netstat работает ок, в виртуалке проверил...

Может тебя ддосят учителя?

инфасотка. :D

может в скрипте убрать эту проверку?

vim test
#!/bin/bash
if [ ! -e /bin/netstat ]; then
	printf "Please install netstat from net-tools package at first.\n"
else
   echo `which netstat`
fi

sh test что говорит?

Может убрать, но хотелось бы понять, что именно тут не так.

sh test говорит sh: 0: Can't open test. проверку убрал,все успешно установилось.

Ок, поправлю скрипт.

с другого сервера отправляю ab -n 200000 -c 100 http://мой домен/ пакеты не отправляет :D ,а раньше писалось типа send 200000 packets. так и должно быть?)

Странно, почему-то неправильно срабатывала конструкция:

if [ ! -e /bin/netstat ] || [ ! -e /usr/bin/netstat ]; then

Что конкретно пишет ab? На сервере установлен веб-сервер, чтобы на него HTTP-запросы травить?

успешно установилось)

ну вот что стал писать ab

ab -n 200000 -c 100 http://panel.ultra-host.ru/
This is ApacheBench, Version 2.3 <$Revision: 655654 $>
Copyright 1996 Adam Twiss, Zeus Technology Ltd, http://www.zeustech.net/
Licensed to The Apache Software Foundation, http://www.apache.org/

Benchmarking domain (be patient)
^C

Server Software:        cloudflare-nginx
Server Hostname:        domain
Server Port:            80

Document Path:          /
Document Length:        5945 bytes

Concurrency Level:      100
Time taken for tests:   455.167 seconds
Complete requests:      3000
Failed requests:        0
Write errors:           0
Non-2xx responses:      3000
Total transferred:      19350000 bytes
HTML transferred:       17835000 bytes
Requests per second:    6.59 [#/sec] (mean)
Time per request:       15172.237 [ms] (mean)
Time per request:       151.722 [ms] (mean, across all concurrent requests)
Transfer rate:          41.52 [Kbytes/sec] received

Connection Times (ms)
              min  mean[+/-sd] median   max
Connect:        6   22  21.3     20    1005
Processing: 15019 15054  23.9  15052   15527
Waiting:    15019 15052  18.3  15051   15527
Total:      15026 15076  32.4  15077   16040

Percentage of the requests served within a certain time (ms)
  50%  15077
  66%  15083
  75%  15087
  80%  15090
  90%  15098
  95%  15105
  98%  15115
  99%  15122
 100%  16040 (longest request)

А если во время этого теста, на сервере запустить:

/usr/local/ddos-deflate/ddos-deflate.sh

так разве плохо,что пакеты не кидает? я думал если кидает пакеты,то это плохо.

IPTables заблочил айпишник с которого шла атака?

он почему то заблочил DROP all  — cf-173-245-49-133.cloudflare.com anywhere хотя на том сервер даже домена не стоит. cloud flare стоит на моем рабочем сервере,который тестирую вашей командой.

правда у меня еще стоит fail2ban, его нужно удалить?

Видимо с cloudflare скрипт работать не будет, раз там весь трафик через него проходит.

fail2ban роли не играет.

На сам бинарь netstat права проверить надо. В /bin лежит предназначенное для запуска от рута, права на сам каталог и файлы в нем rwx-r-x-r-- root:root, и все.

вот я своей прогой ддосил,шли пакеты очень быстро,запустил во время этого ваш скрипт,пакеты сразу перестали идти!

Очумел? Ни в коем случае! Настрой лучше.

Ну значит айпишник заблочился. Проверьте iptables -L -vn

действительно!! не могу зайти на свой сайта! а когда сменил ип заходит! выходит ип в блоке?)) ураа. только как мне теперь себя разблочить?)) спасибо большое. наверное придется скрипт добавить в crontab -e,е если так не срабатывает? а с cron.d удалить?

ураа. только как мне теперь себя разблочить?))

iptables -D INPUT -s айпишник -j DROP

наверное придется скрипт добавить в crontab -e,е если так не срабатывает? а с cron.d удалить?

Посмотрите, что в логе?

cat /var/log/syslog | grep -i cron

Судя по логу команда запускается. Если не считать этих странных пробелов. Вообще скрипт запускается по крону каждую минуту, в ближайшее время попробую сделать, чтобы скрипт чаще запускался.

странно,почему-то перестал блокировать IP при выполнении /usr/local/ddos-deflate/ddos-deflate.sh. У меня стоит макс 10 запросов с одного ип,вот например мой ип 78 162.15x.9x.3x и не блокируется))

эм,вот еще выдало iptables: Bad rule (does a matching rule exist in that chain?).

BAN_PERIOD какой стоит?

1000. это время бана или через сколько банит??

На сколько секунд банится адрес, поставьте для начала 60 например.

странно,то срабатывает,то нет. с моего ип идет 70 запросов,а NO_OF_CONNECTIONS стоит 20. Ип не блокируется,но бывает блокируется. в чем проблема?

Что выхлоп скрипта показывает, во время атаки?

ну вот пример

/usr/local/ddos-deflate/ddos-deflate.sh
    101 162.158.94.36
      9 141.101.81.24
      6 95.153.133.225
      6 162.158.95.23
      4 141.101.80.25
      2 95.54.68.108
      2 141.101.80.82
      1 176.215.84.213
      1 173.245.49.129
      1 104.18.58.218

В этом случае не блокируется. это при том,что явно превышает 20 запросов.

Точно не блокируется?

iptables -L -vn | grep 162.158.94.36

И что прописано в CUSTOM_PORTS?