Меню
Что нового?

Защита от DDoS

Активист

Активист

Активист
Команда форума
А как спуфинг учавствует в дидосе? Я что-то вкурить не могу.
Спуфинг, это есть подделка IP через протокол arp внутри одной сети?

Я написал небольшой скрипт на баше для фильтрации нубов "дидоса" на уровне iptables (фаирвола)

Код: 
serv001:~# cat /etc/iptables/ddos/ddos.sh
#!/bin/bash

#
# Anti noob dDos system

stats="/etc/iptables/ddos/stats.txt"
blacklist="/etc/iptables/ddos/blacklist.txt"
whitelist="/etc/iptables/ddos/whitelist.txt"

limit=300
#exit 0;
netstat /bin/netstat -taepn | grep -v TIME_WAIT | tr -s " " " "|awk '{print $5;}'|cut -d: -f1|sort|uniq -c|sort -rnk1 > $stats


# Ckeckin states
cat /etc/iptables/ddos/stats.txt | while read num ip
do
#    echo $num;
    if (( "$num" >= "$limit" )); then
        cat $stats|grep "$ip"|while read numb suspect
        do allowed=`grep $suspect $whitelist`
            if [ "$suspect" != "$allowed" ]; then
#               echo $suspect
                exist=`grep $suspect $blacklist|awk '{print $1}'`
                if [ "$suspect" != "$exist" ]; then
                    /bin/echo -e $suspect >> $blacklist
                    /bin/echo "Anti ddos system: detected attacked from host: $suspect. Adding to blacklist" > /etc/iptables/ddos/message.txt
                    /bin/echo " " >> /etc/iptables/ddos/message.txt
                    /bin/netstat -taepn >> /etc/iptables/ddos/message.txt
                    /usr/bin/mail -s "Detected ddos" [email][email protected][/email] < /etc/iptables/ddos/message.txt
                    /usr/bin/mail -s "Detected ddos" [email][email protected][/email] < /etc/iptables/ddos/message.txt
#                   /sbin/iptables -A ddos -s $suspect -p tcp --dport 80 --state NEW -j REJECT --reject-with tcp-reset
                    /sbin/iptables -A ddos -s $suspect -j DROP
#                   /etc/init.d/nginx restart
#                   /etc/init.d/apache2 restart

                fi
            fi
        done
    fi
done
            serv001:~#
-~{}~ 06.09.10 16:39:

Да, сабж запускается раз в минуту по крону
 

ХакИрФсимагущий

[засикречино]
Очень просто вляет, когда нехватает компов для ддоса но есть огромные каналы используют спуффинг для обхода блокировок ип адресов.

Решене неплохое а главное очень быстрое, но зачем делают ддосы?
В основном чтобы поисковые роботы подумали что сайт плохой и понижали его ввыдачи или чтобы пользователи потеряли к сайту интерес ищ ща постоянных перебоев(Личную месть нерассматриваю).

Если поисковый робот увидит ответ сабжа, то ему это точно не понравится на будуюшее прикрутите еше к этому сабжу ошибку в хеадер чтобы хоть както задобрить поисковых роботов.
Дествительно скрипт неплох решает главную проблему(ресурсо потребляемости), но от забитасти канала он не спает(( и даже незнаю может ли чтото спасти от забитоси каналов

-~{}~ 06.09.10 21:14:

И при обнаружении ддоса таким скриптом нужо чаше чем 1 раз в минуту пользоватся.
 

deepslam

Новичок
Прикрутил вывод 503 ошибки, но вот не пойму почему просто белую страницу выводит, разве не должна выводиться страница ошибки? (я указал в .htaccess ErrorDocument 503 /503.html )

Файл 503.html создал.

В index.php вывожу так:

PHP: 
		header('HTTP/1.0 503 Service Unavailable');
		echo @file_get_contents('503.html');
		flush();
		die();
Если echo не делать , то просто белый экран , как то не прикольно.
Можно как то поправить или способ , которым я сделал единственный оптимальный?
 
Viktor_Rez

Viktor_Rez

Новичок
deepslam
Нужно защититься от "спровоцированных" запусков тредов Apache и забивки канала. ХакИрФсимагущий прав на счет "истинного" DDoS
 
Войдите или зарегистрируйтесь для ответа.
Сверху