![]() |
|
||||||||||
|
|||||
|
Регистрация: Jun 2009
Сообщений: 461
|
Как защитить сервер от дос атак?
Имеется Вэб сервер, с SQL и PHP. К нему подсоединяются флэш клиенты. Не знаю как защищать свой сервер, то что в голову пришло это написать на PHP обработчик запросов, определяет IP адрес, входящего пакета, и обрабатывает запрос не чаще чем период времени t. Правильное ли это решение? Может быть есть какие-то другие способы, например на стороне самого вэб сервера, у меня стоит apache. (Если есть какие то готовые скрипты, я бы рад был на них посмотреть) Заранее спасибо. |
|
|||||
|
Регистрация: Nov 2005
Сообщений: 1,155
|
Нормальная защита на стороне сервера выполняется аппаратно, а скрипты - они защитят от спама, а представьте вас атакуют с прокси и ип отследить будет невозможно. Да и по любому при польшой загружености канала ваш сервер повиснет какие бы вы там скрипты не повесили, а то и быстрее. Так что забейте. Когда появится острая необходимость можно доверить это дело профи, но ведь до этого надо еще дожить. Вы предвосхищаете события
|
|
|||||
|
Регистрация: Sep 2009
Сообщений: 44
|
Более-менее удовлетворительную реакцию обеспечивает скрипт DoS-Deflate (статеечка http://dedicatesupport.com/archives/48 )
Разумеется, вам потребуется права root и некоторый опыт администрирования. Простенькие ddos вполне может отразить. Вопрос о скриптах на php вообще не стоит - слишком велики накладные расходы на запуск php. Этот скрипт получает список текущих соединений и блокирует некоторые ip. Метод не без проблем, но доступный. Кстати, все эти "аппаратные защиты" на вскрытии оказываются банальным ПК-маршрутизатором с pci-картами и загрузкой с флешки. Не готовы медленные процессоры маршрутизаторов переваривать и инспектировать трафик достаточно быстро. Так что в умелых руках обычный линукс не хуже. Следующий этап - распределенный сервис принимающий и фильтрующий трафик в несколько точек по всему миру (и тем самым делающий невозможным забивание канала у провайдера). Там действительно выгоднее пользоваться чужой развернутой инфраструктурой. Оплата там за отфильтрованный трафик. Последний раз редактировалось pwlnw; 28.09.2009 в 14:23. |
|
|||||
|
Регистрация: Mar 2009
Сообщений: 317
|
2pwlnw любое ПО это Layer3, а защита нужна на L2
2Tr1te хостер нужен с железяками, и чтобы это было прописано в договоре. Хотя почти у всех об этом даже не задумаются, хостер просто отрубает... |
|
|||||
|
Регистрация: Jun 2009
Сообщений: 461
|
А если хостер - я? То какие железяки надо смотреть?
|
|
|||||
|
Регистрация: Mar 2009
Сообщений: 317
|
на сколько я знаю пожалуй единственное в России это Арбор. Только стоит оно ого-го и скорее оно для операторов связи. в основном ддосом занимаются дети.
оптимальным решением является наличием парочки шарящих админов, нескольких "бекапных" сервачков и отработанного регламента при таких случаях. бывают конечно и сурьезные дятьки за большую денежку делают, как это было несколько лет назад когда нерф чуть не положила весь инет из-за ддос корневых днс... эх. но это очень редко и в любом случае не дешево, поэтому все и забивают з.ы циско обещает осенью сделать |
|
|||||
|
Регистрация: Sep 2009
Сообщений: 44
|
Звоните в ближайшую компанию-интегратор и они вам навешают лапши и про layer2 и про cisco asa и про arbor. По крайней мере, сможете перепродавать под видом защиты от ДДОС и клиенты будут спокойны до поры до времени.
Кое-кто, смотрю, уже звонил. Добавлено через 3 минуты Кстати, если кто-то согласится мне помочь в моих начинаниях http://www.flasher.ru/forum/showthread.php?t=130308, помогу отразить средний ддос. Эффективность зависит от того насколько вы готовы пойти вперед и поставить удобные мне ОС - ubuntu (либо другой линукс с ipset ) либо freebsd c openbsd packet filter. С неудобными я не стану работать. Сервис я не предоставляю, но готов делиться опытом. Добавлено через 5 минут duhowka, ну так на заметку, как собрать Карпаративный Файрволл и Машрутизатор cisco pix layer2 бла-бла-бла грозу ддос и тд : http://ccie.pl/articles/frankenpix.html В принципе и в cisco asa ничего архитектурно не изменилось - обычные PC-тазики с быстрыми PCI-картами. Википедия вам поможет в этом убедиться. Последний раз редактировалось pwlnw; 28.09.2009 в 22:21. |
![]() |
![]() |
Часовой пояс GMT +4, время: 23:22. |
|
|
« Предыдущая тема | Следующая тема » |
|
|