ddos атака

[rvadmin]

Alexander Shepetko wrote:
> rvadmin wrote:
>   
>>>> Я понял. Я просматривал ngrep и сам коннектился к сайту. Мои запросы - 
>>>> были с ответами апача, а остальные - без.
>>>> Тогда как работает правило iptables?
>>>> Позволяет устанавливать логическое соединение, но игнорирует запросы?
>>>>     
>>>>         
>>> Что значит "логическое соединение"?
>>>   
>>>       
>> То, что отличает TCP от UDP
>> через UDP пакет отправляется, и пофиг, дойдет он или нет
>> а TCP - сначала устанавливаю соединение - а потом отправляю пакет.
>>     
> Так ведь, при установке TCP-соединения пакет, содержащий запрос на соединение, 
> тоже адресуется на 80-й порт. Стало быть, при срабатывании правила фаервола, 
> режущего всё приходящее на 80-й порт, он тоже должен фильтроваться.
> У Вас в правиле вообще сказано, чтоб все пакеты с определенного ИП дропились 
> независимо от порта назначения.
> Насколько я понимаю, пакеты, приходящие на сетевой интерфейс Вашего сервера, в 
> любом случае поступают в обработку ядром. Другое дело, что они не доходят до 
> процесса апача. Это дает возможность уменьшить трафик за счет исключения ответов 
> апачем, но входящий трафик все равно будет. Вот вам и загрузка канала. Пусть 
> меньшая, чем если бы апач отвечал, но она есть.
> У меня нет опыта борьбы с ddos-атаками, но мне кажется, что в вашем случае чуть 
> ли не единственный выход - обратиться, как было сказано ранее, к провайдеру, 
> чтоб он зарубил весь нежелательный для вас трафик.
>   
Понимаете, ботнет постоянно просыпается, и атака идет с новых адресов. 
Провайдер же не запустит мой скрипт у себя :) ну разве что для экономии 
канала можно запостить им то, что уже собрал...