Защита от DDoS атак

[Avramenko Andrew]

Eugene wrote:
> Может быть :)
> Я на себе не проверял, мог что-то и перепутать. Однако и 2 минуты тооже 
> нелплохо.
> Вы его использовали на "боевом" сервере? Если да, то можете поделиться 
> опытом?
> 

Ну назвать его боевым нельзя - это был больше сервер экспериментов, но 
в интернете круглосуточно стоял. Я вместо дефолтного DROP последним 
правилом отправлял всех в TARPIT. Т.е. реально на системе получались все 
открытые порты. При выборочном сканировании это наверное дает не так уж 
и много преимуществ, хотя если сканер тупой (типа nmap), то конечно 
очень весело. А вот при полном сканировании тем же XSpider'ом результат 
приходится ждать оочень долго. Т.к. подождать обработки все 65 с лишнем 
тысяч портов очень тяжело.

Никаких проблем с производительностью на самом сервере не замечал, хотя 
и использовался conntrack.