Ddos, что , как , почему

[AAsergei]

Привет. У меня возникла проблема связанная с ddos атаками. Отсюда пошли мои вопросы.
Подскажите что почитать о ddos(гуглил, одно и то же, очень поверхностно), как это происходит на уровне пакетов куда что идёт, что проверяет.
Можно ли защититься от ddos с пропуск\спбс 100mb если желающие атаковать, например 3 имею по 100mb каждый?
Что будет если ip атакующего заблокировать? Будел ли продолжаться забиваться линия? ...

Очень нужно

[Karl500]

Ежели коротко, то DDOS бывает двух видов. Первый - атака на конкретный сервис, например - на веб-сервер. При этом "кладется" именно веб-сервер при помощи кучи "мусорных" запросов. Совершенно не обязательно, что при этом будет забит канал - при такой атаке все остальное прекрасно работает.
В этом случае, конечно, блокировки IP (точнее, подсетей: это же DDOS; так что разных IP очень много) могут помочь.
Второй вариант - это когда просто "забивается" канал. Такое происходит либо когда ширина канала достаточно мала (т.е. это просто побочный эффект первого варианта атаки), либо когда мощность атаки достаточно велика и направлена не на конкретный сервис. В таком случае блокировки IP на атакуемом сервере смысла не имеют (ибо для того, чтобы пакет был отброшен, он должен дойти до места анализа), а должны производиться на стороне провайдера, если его канал достаточно широк. При достаточной мощности атаки может быть и этот вариант не поможет, тогда используются другие методы (но это все уже только у провайдеров).

Как-то так...

[AAsergei]

Спсб. А если есть ddos, и бороться с ним нельзя(защита дорогая,сервер с серверами держаться на основе создателей и бесплатны, прибыли 1% от 100% личных затрат), что тогда делать? Найти людей которые устроят ад для досеров, или же полиция. В последнее я мало верю, тем более если из другой страны.

[serhy]

Не помню точно, по моему в начале 2012 года русские хакеры атаковали (задосили) правительственные сайты Польши из сноса памятника ВОВ. Так вот эти сайты небыли доступны несколько недель из за чего сильно навредили правительству Польши, этот случай еще по discovery показывали. Ни какая полиция им не помогла...

[RUstorm]

хакеры атаковали (задосили) правительственные сайты Польши из сноса памятника ВОВ.

(Нажмите, чтобы показать/скрыть)

Как это приятно читать, обязятельно найду это видео на просторах интернета.

[jura12]

fail2ban юзай . вдобавок можно железку zyxel ZyWALL USG 50 100 300 и modsecurity навесить.

[peregrine]

AAsergei, разберись, почему тебя досят. Лечи причину, а не симптомы.

[AAsergei]

AAsergei, разберись, почему тебя досят. Лечи причину, а не симптомы.

Безнаказанность. Вот причина. Боритесь с ней сами.
Пользователь решил продолжить мысль 16 Ноября 2013, 09:49:17:

fail2ban юзай . вдобавок можно железку zyxel ZyWALL USG 50 100 300 и modsecurity навесить.

Хорошо, спсб.

[bukass]

AAsergei,
Просто так ни кто ddos атаки проводить не будет. Бывает требуют деньги. По моему вы что то не договариваете.
Либо вы путаете атаку с ботами брутфорсерами. Либо кому то задолжали. Либо считают, что вы задолжали. Чудес не бывает.

[ArcFi]

Либо вы путаете атаку с ботами брутфорсерами.

Наиболее вероятный сценарий.
Если включить логирование iptables, то видно, что с китайских IP почти постоянно долбят фаервол.

[peregrine]

AAsergei, DDOS стоит больших денег. За просто так его не проводят. Сами посмотрите, для DDOS надо:
1) Написать троян
2) Заразить кучу компов
3) Позаботиться о том, чтобы тебя не нашли
4) После создания ботнет сети ей можно будет воспользоваться только пару-тройку раз, если не хочется, чтоб хакера нашли, да и антивирусы тоже не дремлют.

[Karl500]

AAsergei,
fail2ban по сути своей - это не защита от DDOS (ибо работает на основе анализа логов от конкретного сервиса, т.е. уже после того, как пакет обработан тем или иным сервисом). От брутфорса - да.

[AAsergei]

В скором времени обновим ПО. Я отпишусь что будет при подобных атаках.
Пользователь решил продолжить мысль 26 Ноября 2013, 05:23:57:

AAsergei, DDOS стоит больших денег. За просто так его не проводят. Сами посмотрите, для DDOS надо:
1) Написать троян
2) Заразить кучу компов
3) Позаботиться о том, чтобы тебя не нашли
4) После создания ботнет сети ей можно будет воспользоваться только пару-тройку раз, если не хочется, чтоб хакера нашли, да и антивирусы тоже не дремлют.

Всё очень просто. "Школьники" я так их называю Лет около 17-30. Знакомы с линуксом. Пришли и начали атаковать. Только потому что одному человеку не угодили. Атака сегодня, ещё в любое время. А Сервера падают. И дело скорее в нашей защите.

[serhy]

В скором времени обновим ПО.

Помоему установка пакетов mod_security + mod_evasive для апача должны как то помочь?
В конфиге mod_evasive есть настройки

Код: [Выделить]

<ifmodule mod_evasive20.c>
   DOSHashTableSize 3097
   DOSPageCount  2
   DOSSiteCount  50
   DOSPageInterval 1
   DOSSiteInterval  1
   DOSBlockingPeriod  10
   DOSLogDir   /var/log/mod_evasive
   DOSEmailNotify  EMAIL@DOMAIN.com
   DOSWhitelist   127.0.0.1
</ifmodule>


[victor00000]

peregrine,
ddos похоже ssh ))