Re[2]: Защита от DDoS атак

[Anton Yuzhaninov]

Hello Andrew,

You wrote on Thursday, March 30, 2006, 10:44:15 AM:

>> Вариант реакции постфактум, когда сигнатуры запросов уже ясны (а
>> обычно это так и есть)
>>
>> Забиваем IP-адреса атакующих в таблицу ipfw (добавив соответствующее
>> запрещающее правило).
>> Такой скрипт во время атаки можно выполнять раз в минуту или чаще.
>>
>> #!/bin/sh
>>
>> ips=`tail -n 1000 /var/log/nginx-attack.log | egrep 'E8E7EEEBFFF2EEF0FB' | awk '{print $1}' | sort | uniq`
>> for ip in $ips; do
>>  if ! grep $ip ./blocked >/dev/null; then
>>    echo "        ADDING $ip"
>>    ipfw table 1 add $ip
>>    echo $ip >>./blocked
>>  fi
>> done
>>
>> Поиск по таблицам в ipfw осуществляется крайне быстро.

AK> Если бы ещё ipfw умел задерживать RST на N секунд... - цены б такому 
AK> решению не было бы...

Как вариант через dummynet задерживать на N секунд входящие syn для
заданной таблицы ip адресов.

-- 
 Anton Yuzhaninov.
-------------- next part --------------
A non-text attachment was scrubbed...
Name: smime.p7s
Type: application/pkcs7-signature
Size: 1781 bytes
Desc: S/MIME Cryptographic Signature
URL: <http://nginx.org/pipermail/nginx-ru/attachments/20060330/3cd1039d/attachment.bin>