LINUX.ORG.RU — Русская информация об ОС Linux

[#]  

DDOS - что делать. Если сервер только один - Linux с Apache.

Эта статья поможет защитить сервер от DDOS-атак вида HTTP flood, узнать, на какой из сайтов идет DDOS-атака, научиться, как отключать атакуемый сайт и защищать свой сайт на сервере или vps.

HTTP flood — наиболее типичный вид DDOS-атаки, когда атакуемый веб-сервер переполняется запросами к главной странице. Симптомы атаки: записи о невозможности открыть новые соединения в логе веб-сервера, очень быстрый рост логов посещений с одинаковыми запросами. Число одновременных запросов к веб-серверу может быть получено в Linux при помощи команды netstat -plan | grep :80 | grep -c tcp. Обычное состояние для среднего сервера — до 200-400 запросов. В случае HTTP flood — более тысячи.

>>> Защита от DDOS Apache на Linux сервере с помощью iptables и nginx

Метки: ddos, iptables, linux, защита

Poh ** (06.06.2008 11:54:00)
Проверено: Shaman007 (06.06.2008 12:14:55)
Juick

1 2
[#]  
vilfred

Re: DDOS - что делать. Если сервер только один - Linux с Apache.

помойму ссылка не работает =(

vilfred ## (06.06.2008 12:20:19)
[#] Ответ на: Re: DDOS - что делать. Если сервер только один - Linux с Apache. от vilfred 06.06.2008 12:20:19  

Re: DDOS - что делать. Если сервер только один - Linux с Apache.

помойму ссылка работает =(

Sunday (06.06.2008 12:22:28)
[#]  
madcore

Re: DDOS - что делать. Если сервер только один - Linux с Apache.

Чтобы защититься от ддоса, достаточно не кидать ссылку на лор.

madcore ***** (06.06.2008 12:24:15)
[#]  

Re: DDOS - что делать. Если сервер только один - Linux с Apache.

еще один вариант, который спасал меня - зачастую у ботнетов старые агенты - их можно перечислить в nginx и отбрывать коннект на них:

map  $http_user_agent   $forbidden {
   default   0;
   "Opera/9.02 (Windows NT 5.1; U; ru)"        1;
   "Mozilla/5.0 (Windows; U; Windows NT 5.1; ru; rv:1.8.1.1) Gecko/20061204 Firefox/2.0.0.1"   1;
   "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; .NET CLR 1.1.4322)"        1;
}

... (Location /) ....
           if ($forbidden) {
               return 444;
           }
...

xocolate (06.06.2008 12:24:45)
[#] Ответ на: Re: DDOS - что делать. Если сервер только один - Linux с Apache. от xocolate 06.06.2008 12:24:45  

Re: DDOS - что делать. Если сервер только один - Linux с Apache.

> зачастую у ботнетов старые агенты

Некрофилы не пройдут =)

anonymous (06.06.2008 12:30:11)
[#] Ответ на: Re: DDOS - что делать. Если сервер только один - Linux с Apache. от Sunday 06.06.2008 12:22:28  

Re: DDOS - что делать. Если сервер только один - Linux с Apache.

У меня работает.

alexsaa * (06.06.2008 12:39:40)
[#]  
OzOx

Re: DDOS - что делать. Если сервер только один - Linux с Apache.

спасибо за статью

OzOx * (06.06.2008 12:40:10)
[#]  

Re: DDOS - что делать. Если сервер только один - Linux с Apache.

Полезная информация. Спасибо!..

Windows (06.06.2008 12:44:08)
[#]  
generatorglukoff

Re: DDOS - что делать. Если сервер только один - Linux с Apache.

>с _помощию_ iptables и nginx.

помощью

>Проверено: Shaman007 (*) 06.06.2008 12:14:55

грр

generatorglukoff ** (06.06.2008 12:48:07)
[#] Ответ на: Re: DDOS - что делать. Если сервер только один - Linux с Apache. от vilfred 06.06.2008 12:20:19  
Ruth

Re: DDOS - что делать. Если сервер только один - Linux с Apache.

> помойму ссылка не работает =(

Их заDDoS-или лоровцы. ;) Защита не помогла. :(

Ruth ** (06.06.2008 12:48:11)
[#]  

Re: DDOS - что делать. Если сервер только один - Linux с Apache.

iptables -A INPUT-p tcp --dport 80 -m iplimit --iplimit-above 10 -j REJECT

В системе должен быть подключен модуль ipconnlimit

anonymous (06.06.2008 12:49:14)
[#]  

Re: DDOS - что делать. Если сервер только один - Linux с Apache.

>Обычное состояние для среднего сервера — до 200-400 запросов. В случае HTTP flood — более тысячи.

Нагрузка в 3 раза выше средней уже считается флудом? Автор откуда числа высосал?

anonymous (06.06.2008 13:00:29)
[#]  
Cy6erBr4in

Re: DDOS - что делать. Если сервер только один - Linux с Apache.

Вторая часть новости похожа на истерику %)) этакий истеричный журналист кречит перед камерой... жездь вообщем :)

Cy6erBr4in *** (06.06.2008 13:02:55)
[#] Ответ на: Re: DDOS - что делать. Если сервер только один - Linux с Apache. от vilfred 06.06.2008 12:20:19  

Re: DDOS - что делать. Если сервер только один - Linux с Apache.

"помойму" от слова помойка?

anonymous (06.06.2008 13:16:28)
[#]  
Sun-ch

Re: DDOS - что делать. Если сервер только один - Linux с Apache.

ИМХО. Херня все это. Пицук с иптаблес от серьезной атаки не защитит, только от школьников в локалке. Тут надо задействовать канальные мощности провайдера и серьезные net screens, а не иптаблес.

Sun-ch # (06.06.2008 13:17:35)
[#]  

Re: sorry, a 4to znazhit "-plan"?

sorry, a 4to znazhit "-plan"?

anonymous (06.06.2008 13:28:32)
[#] Ответ на: Re: DDOS - что делать. Если сервер только один - Linux с Apache. от Sun-ch 06.06.2008 13:17:35  

Re: DDOS - что делать. Если сервер только один - Linux с Apache.

>Тут надо задействовать канальные мощности провайдера и серьезные net screens, а не иптаблес.

ну конечно же, куда же нам без ждунипер нетскрин?

NetScreen-500 продувает через себя макс. 700мбит, что вполне по силам современным железкам с linux.

anonymous (06.06.2008 13:42:37)
[#] Ответ на: Re: sorry, a 4to znazhit "-plan"? от anonymous 06.06.2008 13:28:32  

Re: sorry, a 4to znazhit "-plan"?

Это то, что курить нужно, перед началом о_О

WebCode (06.06.2008 13:45:52)
[#] Ответ на: Re: DDOS - что делать. Если сервер только один - Linux с Apache. от anonymous 06.06.2008 13:42:37  

Re: DDOS - что делать. Если сервер только один - Linux с Apache.

> NetScreen-500 продувает через себя макс. 700мбит, что вполне по силам современным железкам с linux.

а pps скока ? чо нам мегабиты-то :)

shild (06.06.2008 13:47:38)
[#]  

Re: DDOS - что делать. Если сервер только один - Linux с Apache.

>Прежде всего временно отключите атакуемый IP адрес, лучше всего через >iptables, командой iptables -A FORWARD -p tcp -s <атакуемый IP> --dport >80 -j REJECT

причем тут таблица FORWARD? разве имеем дело с пакетами проходящими между интерфейсами?
и зачем отвечать REJECT?

имхо, не стоит скромничать

iptables -A INPUT -s <атакуемый IP> -j DROP

x97Rang *** (06.06.2008 13:50:02)
[#]  

Re: DDOS - что делать. Если сервер только один - Linux с Apache.

бгг
и почему <атакуемый IP>
когда имеется в виду <атакующий IP>
атакуемы это мы

=)

x97Rang *** (06.06.2008 13:54:59)
[#] Ответ на: Re: DDOS - что делать. Если сервер только один - Linux с Apache. от anonymous 06.06.2008 13:42:37  
Sun-ch

Re: DDOS - что делать. Если сервер только один - Linux с Apache.

Защитой от такого рода атак должен заниматься провайдер. Во первых, ему за это платят, а во вторых задействуются мощности и рычаги воздействия недоступные простым админчикам.

Sun-ch # (06.06.2008 13:56:11)
[#] Ответ на: Re: DDOS - что делать. Если сервер только один - Linux с Apache. от x97Rang 06.06.2008 13:54:59  

Re: DDOS - что делать. Если сервер только один - Linux с Apache.

если нормальный сервер только один

kto_tama ***** (06.06.2008 14:01:24)
[#] Ответ на: Re: DDOS - что делать. Если сервер только один - Linux с Apache. от Sun-ch 06.06.2008 13:56:11  

Re: DDOS - что делать. Если сервер только один - Linux с Apache.

нет никаких рычагов
если вышестоящий провайдер пойдет навстречу и зафильтрует у себя - тогда ок, но может и не пойти на встречу (есть случаи)

x97Rang *** (06.06.2008 14:01:58)
[#]  

Re: DDOS - что делать. Если сервер только один - Linux с Apache.

статья говно. там всё сводится к тому чтобы найти виртхост и отключить его. Т.е. главную цель (вырубить сайт) злоумышленники достигли.

2sunch: ну попробуй на просто рунета у провайдера защиты попросить...

anonymous (06.06.2008 14:05:46)
[#]  

Re: DDOS - что делать. Если сервер только один - Linux с Apache.

бугага
не спасёт, только одмину даст ложное мнение, что у него защита от DDoSa
на текущий момент реально нет защиты, почитайте что ли
http://forum.nag.ru/forum/index.php?showtopic=42554

neiromancer * (06.06.2008 14:06:09)
[#]  

Re: DDOS - что делать. Если сервер только один - Linux с Apache.

Прочитал внимательно. АМ/КГ. Годится разве что для SOHO

anonymous (06.06.2008 14:20:07)
[#]  
poige

Re: DDOS - что делать. Если сервер только один - Linux с Apache.

> при помощи команды netstat -plan | grep :80 | grep -c tcp

«-l» — listening, «-a» — all. Это не шаманство, тут (IT) не зубрить, тут вникать в суть надо.

poige * (06.06.2008 14:30:22)
[#] Ответ на: Re: DDOS - что делать. Если сервер только один - Linux с Apache. от anonymous 06.06.2008 14:20:07  

Re: DDOS - что делать. Если сервер только один - Linux с Apache.

Фуфло.
От нормального DDOS'а не даже на уровне провайдера защититься крайне проблематично.

Loseki (06.06.2008 14:31:03)
[#]  
php-coder

Re: DDOS - что делать. Если сервер только один - Linux с Apache.

>Обычное состояние для среднего сервера — до 200-400 запросов. В случае HTTP flood — более тысячи.

xxx.xx# netstat -plan | grep ':80' | grep -c tcp
1294

:-)

php-coder ***** (06.06.2008 14:40:28)
[#] Ответ на: Re: DDOS - что делать. Если сервер только один - Linux с Apache. от Sun-ch 06.06.2008 13:17:35  
AcidumIrae

Re: DDOS - что делать. Если сервер только один - Linux с Apache.

Лёха дело говорит

всё, что может сделать атакуемый сайт - это поменять DNS на локалхост, если DDoS'ят по имени. Все эти пляски с iptables - школьное красноглазие или автор не видел/не знает что такое DDoS. Фигли фильтровать что-то, если в последнию милю попадают одни какашки? Защищаться от DDoS надо на уровне бекбона до последней мили, и даже если стоит шкаф на колокейшене, в шкаф обычно покупают определённый bandwidth(к примеру 1М, burstable до 20М) хоть обложись правилами по самое нихочу - толку не будет.

ЗЫ: судя по последнему предложению статьи автор таки спутал DoS и DDoS :)))

AcidumIrae ***** (06.06.2008 14:42:43)
[#]  

Re: DDOS - что делать. Если сервер только один - Linux с Apache.

>Эти эти примеры помогут сохранить веб-сервер атак:
афтар жжот

aaacmc (06.06.2008 14:43:43)
[#] Ответ на: Re: DDOS - что делать. Если сервер только один - Linux с Apache. от php-coder 06.06.2008 14:40:28  

Re: DDOS - что делать. Если сервер только один - Linux с Apache.

>xxx.xx# netstat -plan | grep ':80' | grep -c tcp
>1294

>:-)

И что, дорогой друг, ты таким образом померил, как сам думаешь?

Loseki (06.06.2008 14:46:34)
[#] Ответ на: Re: DDOS - что делать. Если сервер только один - Linux с Apache. от AcidumIrae 06.06.2008 14:42:43  

Re: DDOS - что делать. Если сервер только один - Linux с Apache.

>всё, что может сделать атакуемый сайт - это поменять DNS на локалхост, если DDoS'ят по имени

По имени ддосить - давно дураков нет.

>Защищаться от DDoS надо на уровне бекбона
При нормальном DDOS'е не спасёт ;) Вот, например, когда ддосили Ультру, то

anonymous (06.06.2008 14:49:54)
[#] Ответ на: Re: DDOS - что делать. Если сервер только один - Linux с Apache. от Loseki 06.06.2008 14:46:34  

Re: DDOS - что делать. Если сервер только один - Linux с Apache.

Не умеют лоровцы от дос атак защищаться. Бугага....

Не так давно пытались задосить bash.org. И на сколько я помню, единственное что они смогли сделать, так это создать зеркало на каком-то европейском хостинге, который задосить не удалось.

А все наши хостеры - 3.14D0р@3ы, они отключат тебя скорей, чем пошевелят жопой.

fdn # (06.06.2008 14:55:46)
[#] Ответ на: Re: DDOS - что делать. Если сервер только один - Linux с Apache. от fdn 06.06.2008 14:55:46  

Re: DDOS - что делать. Если сервер только один - Linux с Apache.

Разумеется, хостеру проще отключить.

При нормальном ддосе ему просто каналы кладут. Как ты думаешь, зная, что объектом атаки является один клиент, а страдают три тысячи, долго ли он будет думать перед тем, как вырубить беднягу?

anonymous (06.06.2008 14:57:54)
[#]  

Re: DDOS - что делать. Если сервер только один - Linux с Apache.

да что вы на автора бузите ....
автор так и пишет что он рассматривает всего лишь один вид атаки HTTP flood ..

про ваши мегабиты .. вы умолчали бы .... запрос в данном случае:
GET / HTTP/1.0... - жрет очень мало(~200байт)!!!! если его вовремя срезать и не слать ему в ответ 500кб титульную страницу сайта... то с большим трафиком можно справляться.

мой провайдер просит 400$ в месяц за HardWare решение такого дела...
зачем палить из пушки во воробьям? ..

такой тип атаки легко срезается IPTABLES + nginx + "site_tunning", о чем и хотел поведать автор ...

а вы начали пипками мерится ... знатаки...


xocolate (06.06.2008 14:59:18)
[#] Ответ на: Re: DDOS - что делать. Если сервер только один - Linux с Apache. от fdn 06.06.2008 14:55:46  

Re: DDOS - что делать. Если сервер только один - Linux с Apache.

> А все наши хостеры - 3.14D0р@3ы, они отключат тебя скорей, чем пошевелят жопой.

вот поэтому я покупаю хостинг in america ;)

xocolate (06.06.2008 15:02:05)
[#] Ответ на: Re: DDOS - что делать. Если сервер только один - Linux с Apache. от anonymous 06.06.2008 14:57:54  

Re: DDOS - что делать. Если сервер только один - Linux с Apache.

>>При нормальном ддосе ему просто каналы кладут. Как ты думаешь, зная, что объектом атаки является один клиент, а страдают три тысячи, долго ли он будет думать перед тем, как вырубить беднягу?

А ему за что деньги платят, что бы он кого хотел - отключал??? Нефига, взялся хостить, будь добр, обеспечть защитой. А то блин соберут сервачок из хлама, поставят Linux, и уже хостером кличются, да купоны стригут.

fdn # (06.06.2008 15:04:58)
[#]  

Re: DDOS - что делать. Если сервер только один - Linux с Apache.

netstat -plant

и grep tcp не нужен

mitek * (06.06.2008 15:08:42)
[#] Ответ на: Re: DDOS - что делать. Если сервер только один - Linux с Apache. от fdn 06.06.2008 15:04:58  

Re: DDOS - что делать. Если сервер только один - Linux с Apache.

спам на лоре, шаман откаты берет

anonymous (06.06.2008 15:08:51)
[#] Ответ на: Re: DDOS - что делать. Если сервер только один - Linux с Apache. от fdn 06.06.2008 15:04:58  

Re: DDOS - что делать. Если сервер только один - Linux с Apache.

> А ему за что деньги платят, что бы он кого хотел - отключал??? Нефига, взялся хостить, будь добр, обеспечть защитой. А то блин соберут сервачок из хлама, поставят Linux, и уже хостером кличются, да купоны стригут.

отключат. проверенно ...
что им важнее .. твои 20 баксов .. или 3000 клиентов ?
=)

* IT'S RUSSIAN BUSINESS BABY ;)

xocolate (06.06.2008 15:09:17)
[#] Ответ на: Re: DDOS - что делать. Если сервер только один - Linux с Apache. от anonymous 06.06.2008 12:49:14  

Re: DDOS - что делать. Если сервер только один - Linux с Apache.

>> iptables -A INPUT-p tcp --dport 80 -m iplimit --iplimit-above 10 -j REJECT > В системе должен быть подключен модуль ipconnlimit

лось, не в системе, а в ядро, не подключен, а загружен.

anonymous (06.06.2008 15:15:19)
[#] Ответ на: Re: DDOS - что делать. Если сервер только один - Linux с Apache. от Sun-ch 06.06.2008 13:56:11  

Re: DDOS - что делать. Если сервер только один - Linux с Apache.

> Sun-ch # (*) (06.06.2008 13:56:11)

+1

anonymous (06.06.2008 15:17:41)
[#] Ответ на: Re: DDOS - что делать. Если сервер только один - Linux с Apache. от xocolate 06.06.2008 14:59:18  
Sun-ch

Re: DDOS - что делать. Если сервер только один - Linux с Apache.

Автор неправильно ориентирует новичков как себе вести в подобной ситуации.

Sun-ch # (06.06.2008 15:21:17)
[#] Ответ на: Re: DDOS - что делать. Если сервер только один - Linux с Apache. от x97Rang 06.06.2008 13:50:02  

Re: DDOS - что делать. Если сервер только один - Linux с Apache.

> iptables -A INPUT -s <атакуемый IP> -j DROP

чтобы совсем не скромничать вроде бы что то пожесче было

frozen83 * (06.06.2008 15:24:08)
[#] Ответ на: Re: DDOS - что делать. Если сервер только один - Linux с Apache. от fdn 06.06.2008 15:04:58  

Re: DDOS - что делать. Если сервер только один - Linux с Apache.

> А ему за что деньги платят, что бы он кого хотел - отключал???

За нарушение договора отключают. Пока очень мало кто из провов может хотя бы пару гигабит отразить.

anonymous (06.06.2008 15:26:39)
[#] Ответ на: Re: DDOS - что делать. Если сервер только один - Linux с Apache. от anonymous 06.06.2008 13:00:29  

Re: DDOS - что делать. Если сервер только один - Linux с Apache.

>Нагрузка в 3 раза выше средней уже считается флудом? Автор откуда числа высосал?

"до 200-400 запросов", это значит максимум, а не средний. аффтар берет с более чем трехкратным запасом.

Если в день 2000-4000 посетителей, то вряд ли число коннектов будет превышать сотню. Эти цифры закрывают 90% инета.

AVL2 ***** (06.06.2008 15:29:46)
[#] Ответ на: Re: DDOS - что делать. Если сервер только один - Linux с Apache. от shild 06.06.2008 13:47:38  

Re: DDOS - что делать. Если сервер только один - Linux с Apache.

> а pps скока ? чо нам мегабиты-то
На стороне клиента мбит и ппс незачем различать, если канал много пропускает, DDOS хоть мегабитами хоть пакетами, как их не считай, завалит ваш сервак и ваш нетскрин.
Если же устоит железо, будет забит канал. Здесь вопрос не в железе, вопрос в методике. Она осуществима только у владельца магистрали.
А вообще собака закопана в бухгалтерии, завалить сайт - 10000 защитить 200000, может этим промыслом одни и те же ...

sa10 (06.06.2008 15:40:49)
[#] Ответ на: Re: DDOS - что делать. Если сервер только один - Linux с Apache. от fdn 06.06.2008 15:04:58  

Re: DDOS - что делать. Если сервер только один - Linux с Apache.

>А ему за что деньги платят, что бы он кого хотел - отключал??? Нефига, взялся хостить, будь добр, обеспечть защитой. А то блин соберут сервачок из хлама, поставят Linux, и уже хостером кличются, да купоны стригут.

Есть так называемые жизненные реалии.

Да и клиенту под ддосом-то какая разница? Он и во время атаки и после отключения сосёт одинаково.

Да, это не значит, что провайдер не пытается отфильтровать мусорный поток. Просто в очередной раз: при грамотном DDOS'е и достаточных мощностях это не реально.

Loseki (06.06.2008 15:46:07)
1 2
Новости - Безопасность

О Сервере - Правила форума
http://www.linux.org.ru/

Rambler's Top100 Рейтинг@Mail.ru