Previous Entry Share Next Entry
DDoS Vs. iptables
Linux
sanmai
Отсекаем DDoS по 80-му порту на уровне iptables:
iptables -I INPUT -p tcp --dport 80 -m string --string "Host: www.example.com" \
--algo bm --to 1024 -m comment --comment "www.example.com" -j DROP
Потом так:
ipset -N ddos iphash

grep DD/Mmm/YY:HH access_log | cut -d" " -f 1 | sort | uniq > bad_ips
for i in `cat bad_ips`; do ipset -A ddos $i; done;

ipset -S ddos > ddos.ipset

iptables -I INPUT -p tcp -m tcp --dport 80 -m set --set ddos src -j DROP
Проверка чтобы ничего не пролезало:
iptables -R INPUT 2 -p tcp  --dport 80 -m string --string "Host: www.example.com" \
--algo bm -m limit --limit 10/min -j LOG
Потом по необходимости:
ipset -A ddos IP

  • 1
то есть, как говорится, "при пожаре разбить стекло"? а автоматизированных решений проблемы DDoS до сих пор нет в виде продвинутых железок?

Есть -j TARPIT, есть продвинутые Cisco с пятизначными ценниками, но я не уверен что они могут эффективно работать полностью автоматически без участия человека.

Сама суть DDoS-атаки состоит в симуляции множества "настоящих" клиентов, чтобы их нельзя было отделить от остальных. То есть простор для автоматизации здесь ограничен.

  • 1
?

Log in

No account? Create an account