И где ж ты видел «легкое противостояние ddos`у»? :)

бред. хрен с ним.

в добавок ко всевозможным правилам iptables и прочим fail2ban`ам это будет дополнительной защитой.

<meta http-equiv="Refresh" content="0;URL=site/index.php">

Для защиты от HTTP-флуда проще уж сделать сразу так.

btw, а если сервер с блэклистом положат?

> а если сервер с блэклистом положат?
то это будет печально. а вообще, можно, к примеру, раз в день выкачивать всю базу ip с главного сервера.

А что за сервер-то?

блокирует сама машина. если в конфиге указано «отображать капчу», то машина отдает запрос веб-серверу(энжынксу).

кулхацкеп посмотрит код страницы, и направит флуд по адресу site/index.php

Можно кешировать site/index.php

Можно куки ставить на главной, и блочить на site/index.php если cookie нет.

да, но это все - от http флуда.
а мой бред^W^Hя идея поможет при любых типах ддоса.

> И где ж ты видел «легкое противостояние ddos`у»? :)

ограничение количества запросов с одного адреса и установка минимального времени между запросами средствами iptables, не?

при ддосе ложными ip адресами, тебе легко запихнуть в фильтр все адреса от 0.0.0.0 до 255.255.255.255 и хана идее

wget 'http://www.openbsd.org/cgi-bin/cvsweb/~checkout~/src/etc/pf.os?rev=HEAD' -O pf.os
nfnl_osf -f ./pf.os -d
iptables -I INPUT -p tcp -m osf --genre Windows --ttl 2 -j DROP  

Вот тебе и вся база зараженных компов.

это да, но можно составить вторую базу, «проверенно черных ip», куда добавлять адреса, на которые жаловались больше 10 раз.

> wfrr
фигасе, белка написала не тупняк, а что-то стоящее.
точно мент в лесу сдох.

да хоть 255 раз, у ботнетов ресурсов достаточно нашпиговать тебе любую базу фейковыми айпишниками

поподробнее про фейковые ip, пожалуйста.

что тебе подробнее, про косяки ip рассказывать шоле?

Отличный способ помочь ддосу. Пока он там будет каждый ip-шник проверять, пусть даже из локального кеша...

да

я - лень

яндексни.

> ограничение количества запросов с одного адреса и установка минимального времени между запросами средствами iptables, не?

Ну вот тебе пример DDOS-а - пинги с сотен тысяч хостов. Канал забит под завязку. iptables идёт лесом :)

если у ксацкера есть доступ к сети где роутеры не фильтруют исходящие адреса, то тебе придется банить весь инет :)

а шо роутеры таки смотрят на адрес отправителя пакета?

>а шо роутеры таки смотрят на адрес отправителя пакета?

Есть такая штука, rp_filter. Если она включена, исходящий адрес каждого пакета проверяется. Ежели, согласно маршрутизации, обратный путь к источнику этого пакет идет НЕ через тот же интерфейс, через который пришел пакет, то он дропается.
То есть если на eth2 (192.168.74.0/24 dev eth2 proto kernel scope link src 192.168.74.1 metric 10) приходит пакет с обратным адресом 77.88.21.11, то такой пакет дропается.

>если у ксацкера есть доступ к сети где роутеры не фильтруют исходящие адреса, то тебе придется банить весь инет :)

Единственное, чего я не понял — как можно эффективно досить со спуфингом приложение, работающее поверх TCP (насколько я понимаю, ТС имел в виду прежде всего веб)?
Все равно SYN/ACK уйдет на указанный исходный адрес, а TCP sequence number задолбаешься угадывать.

это все я знаю, только вот пришедший из инета пакет не дропнется, а уж откуда отправить такое найти проще

задача загадить (хоть и icmp) фильтр сервера, а не досить

>задача загадить (хоть и icmp) фильтр сервера, а не досить

А это смотря как блэклисты составлять.

По-умному, блэклисты для защиты веб-серверов надо составлять именно по логам этих самых веб-серверов. А чтобы попасть в логи апача или джинкса с левым айпишником (не прокси, а совершенно левый), надо очень сильно постараться.

> легкое противостояние ddos`у.

херасе легкое противостояние. т.е на каждый запрос твой сервак будет генерить еще один запрос куда-то - а если таких запросов over9000 на них даже отвечать не обязательно. они тебя просто г*вном завалят.

конечно. Если ты через свою AS гоняешь чужой трафик то ты фильтруешь его чтобы что попало не гоняли.

это относительно недорогая операция т.к. там(напр. ipset) используются деревья из айпишников а не прямой перебор.

Если канал забит то на уровне сервера дёргаться бесполезно и надо идти на поклон к хостеру.

а если хранить локальную базу и обновлять ее пару раз в день?

я же говорю - при серьезном ddos абсолютно пофигу - отвечает вообще сервер или нет. какая разница закроешь ли ты фаерволом или нет - если от такого трафика просто нахрен не выдержит канал.
я работал на крупном ISP в датацентре и знаю как на графиках выглядит такой ddos. и фильтруется это через блекхол сразу нескольких аплинков континентального уровня. «а ты тут со шваброй и с бутылками» (с)

Это не DDoS, а говно-DDoS. Цель ддоса - забить аплинк к серверу. А то что у тебя апач лег от флуда - так это скрипт-киддис балуются.