Отражаем ddos - инструкция

Начали ддосить мои сайты - будем отражать.

Пишу пошаговые действия и результат.

Пока знающие люди копают в сторону нахождения досеров (надежда слабенькая, но есть) - защищаемся, заодно позиции укрепляем. Родные джоновские средства не помогают - ложится сервер mysql из-за слишком высокого количества коннектов. Следовательно, надо ставить защиту до того, как бот обратится к мускулу впервые.

Итак, что делаем:

1. Ограничиваем одновременный доступ с одного ip - 10 подключений. Уже лучше. 10 надо для того, чтобы подгрузились картинки. Они отдельными подключениями загружаются (те, что не в кэше)

2. Копаем логи сервера - файл acess.log/ Ищем что-либо подобное:
95.140.148.82 - - [25/Feb/2013:13:31:06 +0400] "GET /index.php HTTP/1.1" 200 24 "-" "STORM4045"
95.140.148.82 - - [25/Feb/2013:13:31:06 +0400] "GET /index.php HTTP/1.1" 200 24 "-" "STORM4046"
95.140.148.82 - - [25/Feb/2013:13:31:06 +0400] "GET /index.php HTTP/1.1" 200 24 "-" "STORM4047"
95.140.148.82 - - [25/Feb/2013:13:31:06 +0400] "GET /index.php HTTP/1.1" 200 24 "-" "STORM4048"
95.140.148.82 - - [25/Feb/2013:13:31:06 +0400] "GET /index.php HTTP/1.1" 200 24 "-" "STORM4049"
95.140.148.82 - - [25/Feb/2013:13:31:06 +0400] "GET /index.php HTTP/1.1" 200 24 "-" "STORM4050"
итд

Выбираем вручную ip подобных запросов, добавляем их в firewall. Либо на худой конец, просто баним

3. Пишем скрипт, который будет определять и отсеивать подобные ip. (в процессе. как допишу - выложу)

Пока всё, комменты и предложения приветствуются

Sergafan, посмотреть стоит реализацию фаервола в новой версии двига, стары писал уже о нем где-то..

В идеях:
1 почти все ddosботы обращаются к главной странице. Минимизировать mysql запросы с главной, кэшировать.
2 записывать боту в куки что-нибудь, чтобы раз на 5й его прищучить. типа интервала по времени от последнего посещения или количество обновлений страницы от него в секунду. надо покопать. и чтобы поисковики и реалпиплы не пострадали

VARG (27.02.2013 / 12:35)
Sergafan, посмотреть стоит реализацию фаервола в новой версии двига, стары писал уже о нем где-то..

ща поищу, но там вроде обращение к мускулу присутствует

в ядре текущей версии есть функция IP антифлуда, фаервол будет в моби, и наверно в следующем релизе джона..

Sergafan (27.02.2013 / 12:44)
2 записывать боту в куки что-нибудь, чтобы раз на 5й его прищучить. типа интервала по времени от последнего посещения или количество обновлений страницы от него в секунду. надо покопать. и чтобы поиск

Можешь не писать куки. Бесполезно ибо чтобы бот их держал, нужно сначала написать их поддержку в самом боте. гг.

Вот как-то писал по этому поводу статью. Защита от http-flood атак с помощью ngin...
ИМХО самый действенный автоматический вариант. Ничто конечно не заменит ручную работу. гг. Но в целом норм справляется.