Защита от DDoS

Опубликовано вс, 02/03/2008 - 23:33 пользователем larin

Хостеры предлагают:
CISCO dedicated firewall at USD99.00 per month
Имеет смысл?

Комментарии

Опубликовано пн, 03/03/2008 - 00:33 пользователем soshial

все, если честно, зависит от того, сколько вам перечисляют на счет Либрусека...
если штук в месяц =Р, то конечно))

Опубликовано пн, 03/03/2008 - 02:05 пользователем jd

не про DDos, но...
http://www.i2r.ru/static/452/out_14877.shtml

Опубликовано пн, 03/03/2008 - 08:02 пользователем fananda

Не по теме, но... Лет, кажется, шесть назад Яндекс тоже ддосили - некий уволенный, как ему казалось, несправедливо, сотрудник. Там справились, если не ошибаюсь, часов за восемь - после этого атаки прекратились. Так, вот - если бы я был владельцем библиотеки, я, наверное, попробовал бы написать туда и спросить - каким образом они справились с ситуацией. Может и подсказали бы что...

Опубликовано пн, 03/03/2008 - 08:58 пользователем Jolly Roger

Не понимаю в этом деле ничего, но в закромах имеется мануал к некоей проге, в коем сказано.

Cледите за индикатором Connected. Он отображает число установленных подключений на данный момент (должен расти). Peak - максимальное число соединений, которое смог обработать сервер. Если Connected приближенно равно Peak и отлично от нуля, а в поле Connect долгое время горит ошибка Connection refused или Connection timed out то сервер заблокирован и не отвечает на запросы. Это можно также проверить при помощи любой клиентской программы (например, просто зайдя на сайт если задан порт 80). Если же число Сonnected постоянно возрастает/убывает, то возможно сервер отбрасывает лишние соединения, а программа не успевает их восстанавливать при данной пропускной способности канала связи. Если подключение к сети установлено не через модем, то можно попробовать увеличить число Threads (чревато сильной загрузкой процессора). Иногда для успешной атаки на систему одной машины недостаточно. Может нехватить системных ресурсов (Windows 2000 Professional сможет установить только около 4000 соединений). В этом случае стоит организовать DDoS. Последствия Во время атаки иногда случается общая перегрузка сервера. Он может стать неуправляемым (особенно это касается маломощных машин). После нажатия кнопки Stop система еще некоторое время будет заблокирована, возможны ощибки типа HTTP 500 Internal server error (и т.п.) Защита Администратору следует ограничить количество подключений с одного IP-адреса (например до 10). Такая практика встречается редко. Многие известные сетевые ресурсы посвященные сетевой безопасности сами страдают данной уязвимостью. Автор Yarix, 18 January 2002 Homepage: http://yarix.by.ru/ E-Mail: ICQ: 125130628

Годится или нет, не знаю - но с автором можно, наверное, проконсультироваться (в т.ч. и по железячным решениям)

Опубликовано пн, 03/03/2008 - 10:09 пользователем jd

Администратору следует ограничить количество подключений с одного IP-адреса (например до 10).

Адреса ip принято генерить случайным образом, а то любой справится с проблемой.
Надо снимать трафик по месту бедствия, потом принимать решение.

Опубликовано пн, 03/03/2008 - 14:19 пользователем larin

Пару тысяч ip я уже заблокировал. Вроде как поутихло.
Количество подключений ограничить можно, и это сразу убьёт пользующихся прокси и прочими натами. Хорошо ли это?

Опубликовано вт, 04/03/2008 - 09:45 пользователем computers

Это нормально. На Альде вообще допустимы только 4 подключения от одного IP. Реально это значит, что даже качать что-то в 1 поток и искать что-то на сайте не всегда проходит, и IP нередко блокируется. Если же качаешь 2 потока, то даже шевельнуться не моги - сразу забанят! 10 подключений с IP наверное, даже много. Впрочем, можно ведь принимать заявки от зарегистрированных пользователей на бОльшее количество, если у них локалка. Я лично никогда не смогу воспользоваться реально более чем 3-4 соединениями - качаю что-то и пишу/читаю на форуме или ищу. Для канала в 128 kbps это предел. Причем, бан на несколько минут вообще не пугает, а если он случайно получится - сменю IP (динамический) и вуаля! Для статических IP, как я говорил, лучше иметь их перечень для зарегистрированных пользователей. Незарегистрированные вообще пусть никого не беспокоят, и все тут - зарегистрируйтесь и подайте заявку, если у вас локалка.
По ходу вопрос. Что за ресурс lib3?

Опубликовано пн, 03/03/2008 - 15:28 пользователем larin

Пару тысяч ip я уже заблокировал. Вроде как поутихло.
Количество подключений ограничить можно, и это сразу убьёт пользующихся прокси и прочими натами. Хорошо ли это?

Опубликовано вт, 04/03/2008 - 04:10 пользователем Jolly Roger

Что до ограничения захода с прокси и из под натов - то (IMHO) под них попадёт гораздо меньшее число добросовестных посетителей сайта нежели число тех, кто не сможет посетить сайт без оных(/IMHO).

Вот, порывшись в сети нашел нечто вроде мануала по защитам от DDoS, который понятен даже такому ламеру, как я: http://www.i2r.ru/static/452/out_19122.shtml

Надеюсь, поможет/пригодится...

Опубликовано пн, 03/03/2008 - 15:04 пользователем Bullfear

Проксями в основном пользуються те, кто хочет скрыть ип. Пусть заходят без прокси. Я думаю 10 подключений с одного ип будет более чем достаточно даже для крупных локалок(ибо врятли тут будет сидеть пол локалки одновременно)

Опубликовано вт, 04/03/2008 - 08:14 пользователем jd

Я частенько пользуюсь прокси (и не одним), если надо сменить ip. Рядом со мной (с общего ip) куча любителей с рапиды фильмы тянуть, даже книжку забрать нельзя. И не всегда вспоминаешь, что надо отключиться/переключиться.

Но разумное ограничение, наверное, надо ставить. Может быть, не 10, а больше. Значение можно выбрать, просмотрев статистику, с небольшим запасом. Просто надо будет не забывать регулярно пересматривать это значение. Или, например, по письму кому-то делать ограничение больше.

Опубликовано вт, 04/03/2008 - 16:56 пользователем gloom

Хм ограничение на ip не выход ето сколько правил будет я вот помню статью где описывались проблема с перегрузкой CISCO с 256mb озу при 100000 правилах маршутизации она умирала не хватало производительности тае ето железка заточеная под маршутизацию в обычном сервере накладные расходы выше плюс друпал мускул пхп апач....

Опубликовано ср, 05/03/2008 - 01:47 пользователем dalco

В защиту проксятников...
Народ, помните, что не у всех "белые" ip. У меня вот все неплохо (512kbit, анлим), но "серый" IP. Треть Новосибирска (а город не маленький) выходит с десятка (в лучшем случае) белых адресов нашего прова (ну не дает он нормальные ip и все тут...)

Опубликовано ср, 05/03/2008 - 02:00 пользователем sio

Эх, CISCO dedicated firewall от ддоса как мертвому припарки, не поможет он ибо не для этого сделан. Нужно на стороне провайдера что-то типа Cisco IDS или Cisco Guard или Cisco Traffic Anomaly Detector или Arbor Peak Flow.

з.ы. ограничение по ip единственный хотя и не очень честный способ борьбы с ддосами, и не слушайте про невозможность работы роутера с большим количеством правил, при нормальной защите трафик фильтрует не он.

Опубликовано ср, 05/03/2008 - 06:23 пользователем jd

Высунув нос из своей раковины, увидил, что в миру http://lib.rus.ec имеет адрес http://75.125.199.34 и там тоже есть жизнь.

Опубликовано ср, 05/03/2008 - 06:36 пользователем solovey-2000

никто не в курсе,что с пиратеком?

Опубликовано ср, 05/03/2008 - 06:42 пользователем jd

Суспендирован.
Но книжки донцовых, марининых и прочих лежат здесь. Без "(временно недоступен)".
X