ddos атака
rvadmin
4lists на nemereno.com
Пн Ноя 17 07:23:04 GMT 2008
Alexander Shepetko wrote:
> rvadmin wrote:
>
>>>> Я понял. Я просматривал ngrep и сам коннектился к сайту. Мои запросы -
>>>> были с ответами апача, а остальные - без.
>>>> Тогда как работает правило iptables?
>>>> Позволяет устанавливать логическое соединение, но игнорирует запросы?
>>>>
>>>>
>>> Что значит "логическое соединение"?
>>>
>>>
>> То, что отличает TCP от UDP
>> через UDP пакет отправляется, и пофиг, дойдет он или нет
>> а TCP - сначала устанавливаю соединение - а потом отправляю пакет.
>>
> Так ведь, при установке TCP-соединения пакет, содержащий запрос на соединение,
> тоже адресуется на 80-й порт. Стало быть, при срабатывании правила фаервола,
> режущего всё приходящее на 80-й порт, он тоже должен фильтроваться.
> У Вас в правиле вообще сказано, чтоб все пакеты с определенного ИП дропились
> независимо от порта назначения.
> Насколько я понимаю, пакеты, приходящие на сетевой интерфейс Вашего сервера, в
> любом случае поступают в обработку ядром. Другое дело, что они не доходят до
> процесса апача. Это дает возможность уменьшить трафик за счет исключения ответов
> апачем, но входящий трафик все равно будет. Вот вам и загрузка канала. Пусть
> меньшая, чем если бы апач отвечал, но она есть.
> У меня нет опыта борьбы с ddos-атаками, но мне кажется, что в вашем случае чуть
> ли не единственный выход - обратиться, как было сказано ранее, к провайдеру,
> чтоб он зарубил весь нежелательный для вас трафик.
>
Понимаете, ботнет постоянно просыпается, и атака идет с новых адресов.
Провайдер же не запустит мой скрипт у себя :) ну разве что для экономии
канала можно запостить им то, что уже собрал...
Подробная информация о списке рассылки ubuntu-ru