На всякий случай можно ограничить число одновременных коннектов с хоста: iptables -I INPUT 1 -p tcp -m tcp --dport 80 --tcp-flags FIN,SYN,RST,ACK SYN -m connlimit --connlimit-above 15 --connlimit-mask 32 -j DROP
Для отброса пакетов с определенных хостов используется ipset: ipset -N blacklist iphash iptables -A INPUT -p tcp -m tcp --dport 80 -m set --set blacklist src -j DROP * пополнение blacklist'а через man ipset По стране банить можно так: http://blogs.hub21.ru/blog/linux/173.html * вам Германия мешает немного 16 ноября 2012 г., 2:25 пользователь Anatoly Molchanov <[email protected]>написал: > http://nginx.org/ru/docs/http/ngx_http_limit_req_module.html, для особо > наглых: > iptables -I INPUT -m iprange --src-range 41.97.0.0-41.129.243.200 -j DROP > > > > 16 ноября 2012 г., 1:49 пользователь Anatoly Molchanov > <[email protected]>написал: > > Судя по логу, нужно смотреть в "tcpdump -i ВНЕШНИЙ_ИНТЕРФЕЙС 'port 80'" >> за 5 минут. Сравнивайте с обычной статистикой посещений. >> >> Ваш сервер не на Hetzner'е ли? >> >> >> 15 ноября 2012 г., 23:43 пользователь Belskii Artem <[email protected]>написал: >> >> А вам не кажется, что вас пытаются за ДДоСить? С 176.241.84.1, >>>> например, около 90 SYN_RECV. >>>> >>> >>> Вожможно что и так, но меня больше волнует то, что >>> netstat -an | grep tcp | awk '{print $5}' | cut -d: -f1 | sort -n | uniq >>> -c | more >>> >>> среди прочего показывает >>> >>> 11742 127.0.0.1 >>> >>> при чем что там коннекты такого вида: >>> tcp 0 0 127.0.0.1:45465 127.0.0.1:9000 TIME_WAIT >>> - >>> >>> >>> >>> С уважением, >>> Бельский Артем. >>> >>> >>> -- >>> To UNSUBSCRIBE, email to >>> debian-russian-REQUEST@lists.**debian.org<[email protected]> >>> with a subject of "unsubscribe". Trouble? Contact >>> [email protected] >>> Archive: >>> http://lists.debian.org/**[email protected]<http://lists.debian.org/[email protected]> >>> >>> >> >

