ddos атака

[Gerasim Ivanov]

Привет всем!
Вот впервые столкнулся с ddos атакой на свой ubuntu-сервер.
Атака шла на 80 порт одного сайта (по IP) + flood на 137 порт + icmp flood +
хз что
Атака продолжается уже вторые сутки

сервер себя нормально чувствовал (CPU 10-20%), просто апач небыл доступен
вообще, и канал забит.
даже после перезапуска - апач сразу забивался и писал, что превышено
максимальное кол-во юзеров.

Итак, долго пытаясь ставить всякие там модули для апача (evasity,
modsecurity) - ничего не помогло.
Сначала запретил icmp через iptables, потом мне пришла в голову гениальная
мысль :)
Просмотрев лог-файл того сайта, на который шла атака - там был запрос GET
/index.php HTTP 1.x
Зная, что на такую страницу у меня никто не может обращаться - понял, что
можно их отслеживать.
Написал скрипт, который следит за лог-файлом в реальном времени, и кидает в
базу все ip адреса, которые обращаются на эту страницу.
Написал второй скрипт, который следит за базой - и банит полностью ip через
iptables.
# iptables -A INPUT -s %IP% -j DROP

И вот после 15 минут работы скрипта - апач наконец стал доступен, и сервер
себя чувстует более-менее нормально, но канал загружен на 15 мегабит всякой
фигней.

Я не знаю как работает утилита ngrep - но если выполнить ngrep port 80 -
несмотря на бан всех адресов можно увидеть эти запросы на эту страницу
Влияет ли на нее iptables?

Что еще посоветуете сделать?
Как вы защищаетесь от DDOS атак?

Спасибо что выслушали меня :)
----------- следущая часть -----------
Вложение в формате HTML было извлечено…
URL: https://lists.ubuntu.com/archives/ubuntu-ru/attachments/20081115/501d5043/attachment.htm