Добрый вечер, Помогите пожалуйста начинающему линукс-одмину! Приобрел VDS под Debian Lenny, поднял на нем сайт, и тут ... пришла Злая Тётя Ддося. Как с ней бороться?! Какие-то козлы прямо на следующий день стали ужасно ддосить сервер. Надо сказать, до этого я поднимал свой сайт на другом сервере (тоже под Debian Lenny), и незадолго до того, как я ушел от них, меня стали жестоко ддосить. Тогда вопрос решился добавлением в правила iptables по этим инструкциям http://www.protocols.ru/files/Papers/iptables-tbf.pdf http://hlmod.ru/forum/zashita-igrovogo-servera/1178-ddos-zashita-linuxovskogo-servera-cherez-pravila-iptables.html Т.к. ведро у меня было старное (2.16.18), и не принимало правила hashlimit, я включил в него такие правила: iptables -A INPUT -p tcp --syn -m limit --limit 1/s -j ACCEPT iptables -A INPUT -p tcp --syn -m limit -j DROP И проблема сразу решилась. Теперь мигрировал на новый сервер, поднял сайт, не успел он и дня проработать - опять началась атака. И опять самое тупейшее syn-наводнение на 80-й порт. Поскольку тут ядро поновее, я взял из второй инструкции такое правило: iptables -A INPUT -p tcp --dport 80 -m hashlimit --hashlimit 50/s --hashlimit-burst 50 --hashlimit-mode srcip --hashlimit-name CSS -j ACCEPT iptables -A INPUT -p tcp --dport 80 -j DROP Не помогло. Точнее, частично помогло, поскольку часть вражеских пакетов задерживает. Но не все. Ввел тогда до кучи еще и старое, думал - не будет работать, однако заработало. Поставил его перед последним, и что одно, что второе - задерживают пакеты. Сначала все было нормально... часа полтора. И вот опять - атака, которая оказалась успешной. Сервер "повис", пришлось останавливать веб-сервер. Так как "размножаются" как черти процессы апача - доходит до нескольких десятков + в системе "висит" куча (неск. десятков) таких процессов: /usr/bin/php5-cgi php Я уже думаю, не протроянили ли они меня, помимо ddos. Хотя когда убиваешь апач и пхп киллом - все убивается и не появляется, пока вновь не запустишь апач и через некоторое время атака не начнет вешать систему. Не подскажете что-нибудь умное? Вроде простейшая атака, а не получается побороть никак.
-- To UNSUBSCRIBE, email to [email protected] with a subject of "unsubscribe". Trouble? Contact [email protected] Archive: http://lists.debian.org/[email protected]
