Re: И вот пришла Злая Тётя Ддося

To: debian-russian@lists.debian.org
Subject: Re: И вот пришла Злая Тётя Ддося
From: Aleksandr Sytar <sytar.alex@gmail.com>
Date: Tue, 25 Oct 2011 12:27:35 +0400
Message-id: <CAKqRTSHn_Acj5EEbMOgtEcde+bWM5wyuY54ggKBQx18=8dzkcA@mail.gmail.com>
In-reply-to: <1RIQ7k-0004ys-Aq@internal.tormail.net>
References: <1RIQ7k-0004ys-Aq@internal.tormail.net>

24 октября 2011 г. 23:23 пользователь Дмитрий Савельев
<dsaveliev@tormail.net> написал:
> Добрый вечер,
>
> Помогите пожалуйста начинающему линукс-одмину!
> Приобрел VDS под Debian Lenny, поднял на нем сайт, и тут ... пришла Злая
> Тётя Ддося. Как с ней бороться?!
> Какие-то козлы прямо на следующий день стали ужасно ддосить сервер.
> Надо сказать, до этого я поднимал свой сайт на другом сервере (тоже под
> Debian Lenny), и незадолго до того, как я ушел от них, меня стали
> жестоко ддосить.
> Тогда вопрос решился добавлением в правила iptables по этим инструкциям
> http://www.protocols.ru/files/Papers/iptables-tbf.pdf
> http://hlmod.ru/forum/zashita-igrovogo-servera/1178-ddos-zashita-linuxovskogo-servera-cherez-pravila-iptables.html
> Т.к. ведро у меня было старное (2.16.18), и не принимало правила
> hashlimit, я включил в него такие правила:
> iptables -A INPUT -p tcp --syn -m limit --limit 1/s -j ACCEPT
> iptables -A INPUT -p tcp --syn -m limit -j DROP
> И проблема сразу решилась.
> Теперь мигрировал на новый сервер, поднял сайт, не успел он и дня
> проработать - опять началась атака. И опять самое тупейшее
> syn-наводнение на 80-й порт.
> Поскольку тут ядро поновее, я взял из второй инструкции такое правило:
> iptables -A INPUT -p tcp --dport 80 -m hashlimit --hashlimit 50/s
> --hashlimit-burst 50 --hashlimit-mode srcip --hashlimit-name CSS -j ACCEPT
> iptables -A INPUT -p tcp --dport 80 -j DROP
> Не помогло. Точнее, частично помогло, поскольку часть вражеских пакетов
> задерживает. Но не все.
> Ввел тогда до кучи еще и старое, думал - не будет работать, однако
> заработало. Поставил его перед последним, и что одно, что второе -
> задерживают пакеты.
> Сначала все было нормально... часа полтора. И вот опять - атака, которая
> оказалась успешной. Сервер "повис", пришлось останавливать веб-сервер.
> Так как "размножаются" как черти процессы апача - доходит до нескольких
> десятков + в системе "висит" куча (неск. десятков) таких процессов:
> /usr/bin/php5-cgi php
> Я уже думаю, не протроянили ли они меня, помимо ddos. Хотя когда
> убиваешь апач и пхп киллом - все убивается и не появляется, пока вновь
> не запустишь апач и через некоторое время атака не начнет вешать систему.
> Не подскажете что-нибудь умное? Вроде простейшая атака, а не получается
> побороть никак.


- Настройте апач, чтобы он не плодил бесконечно процесы
- Если ширины канала не хватит чтобы отдать всем ботам траффик - ограничьте его
- Вы уверены, что то что вы написали в iptables вам помогает?
- Вы уверены что машина справится с такой загрузкой? Мб, стоит
посмотреть, что может предложить хостер из железных решений.

Reply to:

Follow-Ups:
- Re: И вот пришла Злая Тётя Ддося
  - From: Дмитрий Савельев <dsaveliev@tormail.net>
- Re: И вот пришла Злая Тётя Ддося
  - From: Дмитрий Савельев <dsaveliev@tormail.net>

References:
- И вот пришла Злая Тётя Ддося
  - From: Дмитрий Савельев <dsaveliev@tormail.net>

Prev by Date: Почему netstat не кажет апачевский порт?!
Next by Date: Re: И вот пришла Злая Тётя Ддося
Previous by thread: И вот пришла Злая Тётя Ддося
Next by thread: Re: И вот пришла Злая Тётя Ддося
Index(es):
- Date
- Thread