Привет всем!<br>Вот впервые столкнулся с ddos атакой на свой ubuntu-сервер.<br>Атака шла на 80 порт одного сайта (по IP) + flood на 137 порт + icmp flood + хз что<br>Атака продолжается уже вторые сутки<br><br>сервер себя нормально чувствовал (CPU 10-20%), просто апач небыл доступен вообще, и канал забит.<br>
даже после перезапуска - апач сразу забивался и писал, что превышено максимальное кол-во юзеров.<br><br>Итак, долго пытаясь ставить всякие там модули для апача (evasity, modsecurity) - ничего не помогло.<br>Сначала запретил icmp через iptables, потом мне пришла в голову гениальная мысль :)<br>
Просмотрев лог-файл того сайта, на который шла атака - там был запрос GET /index.php HTTP 1.x<br>Зная, что на такую страницу у меня никто не может обращаться - понял, что можно их отслеживать.<br>Написал скрипт, который следит за лог-файлом в реальном времени, и кидает в базу все ip адреса, которые обращаются на эту страницу.<br>
Написал второй скрипт, который следит за базой - и банит полностью ip через iptables.<br># iptables -A INPUT -s %IP% -j DROP<br><br>И вот после 15 минут работы скрипта - апач наконец стал доступен, и сервер себя чувстует более-менее нормально, но канал загружен на 15 мегабит всякой фигней.<br>
<br>Я не знаю как работает утилита ngrep - но если выполнить ngrep port 80 - несмотря на бан всех адресов можно увидеть эти запросы на эту страницу<br>Влияет ли на нее iptables?<br><br>Что еще посоветуете сделать?<br>Как вы защищаетесь от DDOS атак?<br>
<br>Спасибо что выслушали меня :)<br><br>&nbsp;<br>