И вот пришла Злая Тётя Ддося

To: debian-russian@lists.debian.org
Subject: И вот пришла Злая Тётя Ддося
From: Дмитрий Савельев <dsaveliev@tormail.net>
Date: Mon, 24 Oct 2011 19:23:08 +0000
Message-id: <1RIQ7k-0004ys-Aq@internal.tormail.net>

Добрый вечер,

Помогите пожалуйста начинающему линукс-одмину!
Приобрел VDS под Debian Lenny, поднял на нем сайт, и тут ... пришла Злая
Тётя Ддося. Как с ней бороться?!
Какие-то козлы прямо на следующий день стали ужасно ддосить сервер.
Надо сказать, до этого я поднимал свой сайт на другом сервере (тоже под
Debian Lenny), и незадолго до того, как я ушел от них, меня стали
жестоко ддосить.
Тогда вопрос решился добавлением в правила iptables по этим инструкциям
http://www.protocols.ru/files/Papers/iptables-tbf.pdf
http://hlmod.ru/forum/zashita-igrovogo-servera/1178-ddos-zashita-linuxovskogo-servera-cherez-pravila-iptables.html
Т.к. ведро у меня было старное (2.16.18), и не принимало правила
hashlimit, я включил в него такие правила:
iptables -A INPUT -p tcp --syn -m limit --limit 1/s -j ACCEPT
iptables -A INPUT -p tcp --syn -m limit -j DROP
И проблема сразу решилась.
Теперь мигрировал на новый сервер, поднял сайт, не успел он и дня
проработать - опять началась атака. И опять самое тупейшее
syn-наводнение на 80-й порт.
Поскольку тут ядро поновее, я взял из второй инструкции такое правило:
iptables -A INPUT -p tcp --dport 80 -m hashlimit --hashlimit 50/s
--hashlimit-burst 50 --hashlimit-mode srcip --hashlimit-name CSS -j ACCEPT
iptables -A INPUT -p tcp --dport 80 -j DROP
Не помогло. Точнее, частично помогло, поскольку часть вражеских пакетов
задерживает. Но не все.
Ввел тогда до кучи еще и старое, думал - не будет работать, однако
заработало. Поставил его перед последним, и что одно, что второе -
задерживают пакеты.
Сначала все было нормально... часа полтора. И вот опять - атака, которая
оказалась успешной. Сервер "повис", пришлось останавливать веб-сервер.
Так как "размножаются" как черти процессы апача - доходит до нескольких
десятков + в системе "висит" куча (неск. десятков) таких процессов:
/usr/bin/php5-cgi php
Я уже думаю, не протроянили ли они меня, помимо ddos. Хотя когда
убиваешь апач и пхп киллом - все убивается и не появляется, пока вновь
не запустишь апач и через некоторое время атака не начнет вешать систему.
Не подскажете что-нибудь умное? Вроде простейшая атака, а не получается
побороть никак.

Reply to:

Follow-Ups:
- Re: И вот пришла Злая Тётя Ддося
  - From: Aleksandr Sytar <sytar.alex@gmail.com>
- Re: И вот пришла Злая Тётя Ддося
  - From: Alex Kuklin <alex@kuklin.ru>

Prev by Date: Re: xterm и xscreensaver
Next by Date: Re: как посмотреть wmv?
Previous by thread: Re: как посмотреть wmv?
Next by thread: Re: И вот пришла Злая Тётя Ддося
Index(es):
- Date
- Thread