DOS и DDOS атаки на сервера и VPS

27-го ноября и 10-го декабря на сервер, на котором и Карман находится, были совершены DOS и DDOS атаки. Отбились фильтрами.
Приму все знания, у кого какие есть по поводу темы. Может кто имеет опыт в этой неказистой мутке. Заодно и народ обогатится.

Аппаратки нету?! Cisco Firewall.
Что же это за ДЦ без аппаратного Firewall-а.

На сколько мне известно от DOS-атак и софтовый фаервол помогает, а вот от DDOS хрен что помогает кроме рук.

Кстати, эти атаки до сих пор идут. Основные фильтрами прикрыли, а вот мелких осталось еще штук 1000. Нагружают сервер лешними каллориями.

Может кроме фаервола кто чем эффективным пользуется?

Плохо видимо известно.
DDOS Firewallом аппаратным фиксиццо.
И подсети конечно же разные , да?!

автоматом фиксится или руками?
И в чем его преимущество перед софтом?

Сам определяет DOS and DDOS, сам блокирует и т.д.
Линк лень искать.

как отличить фиктивный http запрос от не фиктивного ?

Я вот нашел в описании циски.

Защита от атак типа отказ в обслуживании (DoS) Защита системы доменных имен DNS Guard.
- Защита от перегрузки ресурсов Flood Defender.
- Защита от перегрузки ресурсов Flood Guard.
- Перехват TCP с оптимизацией SYN cookies (TCP Intercept with SYN cookies optimization).
- Однонаправленная проверка передачи по обратному пути (Unicast Reverse Path Forwarding, uRPF).
- Защита почты Mail Guard.
- FragGuard и Virtual Reassembly.
- Инспектирование с учетом параметров состояния по протоколу ICMP (Internet Control Message Protocol).
- Контроль интенсивности по протоколу UDP.

Получается, что в софте это надо все настраивать и тестить, а тут уже все готово. Вот и все отличие.

С аппаратными средствами понятно. Поехали дальше.

В Украине не те каналы, чтобы быть полностью защищенным от дос атаки...
Человек у которого канал 1Гб/с без проблем уложит сайт человека у которого 1Мб/с. Хоть ты золотое оборудование поставишь от Циско..
Руками фильтровать конечно эффективно, но долго и постоянно нужно за этим следить.
На уровне циско тоже хорошо, но хороший цисак стоит денег и может не защитить также.
А вообще тема хорошая, давайте обсуждать.

Нашел на цисковом сайте пару интересных расширенных статей по теме:
http://www.cisco.com/global/RU/products/ps...d8011e927.shtml
http://www.cisco.com/global/RU/netsol/ns48...d8032499e.shtml

Только вот, прочитав их, становится грустно.
Легче покопаться в генетических причинах вредоносных действий, чем защищаться автоматно от этой каки.

Поговорив со своим техническим директором, который больше 5 лет работал главным сисадмином на одном из киевских провайдеров, получил ответ, смысл которого примерно тот же самый:

Легче покопаться в генетических причинах вредоносных действий, чем защищаться автоматно от этой каки

(IMG:/smile.gif) )) Как я продвинулся в технической сфере. Мне можно уже повесить медаль с сутью "главный сисадмин с опытом более 5 лет". (IMG:/smile.gif) ))

Кстати о генетических причинах вредоносных действий: http://www.tfclub.ru/index.phtml

Будет время подключусь (IMG:/smile.gif) ) Сорри напряг со временем , встреч сегодня просто ужас.

Karman, а кому Вы собственно не угодили?
И если не угодили, то час ДОСа, от 50 у.е. сколько Вас досили?

ДДосили с 16:00 10.12.2006 по 22:00 (примерно) 11.12.2006.

Кому неугодил? Вот накупил себе психо-физико-генетических семинаров и тренингов на 900 баксов - разбираюсь (IMG:/smile.gif)

Их наверно делали ребята из команды host.com.ua, которые разозлились за пару тем поднятых на вашем форуме (IMG:/smile.gif)
типа этой
http://www.karman.com.ua/_host_com_ua_urod...orum_125_1.html

Karman, если Вы не ошиблись и Вас действительно досили. То те кто это делал, страдают отсутствием мозгов. (IMG:/smile.gif) Ибо эффекта от такого мероприятия против Вашего сайта, нуль целых нуль десятых...

На сервере где находится этот сайт есть другие сайты?
Как вы определили, что Вас досят?

Цитата из первого сообщения - "на сервер, на котором и Карман находится".

Не на сам Карман, а на мой сервер. На нем кроме Кармана еще 78 сайтов.

Да, прошу прощения.

Раз пошла такая пьянка...
Karman, Вы человек опытный, опишите, пожалуйста, симптому DOS и DDOS атак.
Признаться, я много слышал и читал, про это дело, но в жизни не сталкивался.

Я - пользователь. Мой опыт черпается от всех Вас.
А глубокие вещи - это дело рук и головы моего администратора, точнее администратора моего хостера.

С пользовательской точки зрения я DDOS атаку не различаю. Заметил, что сервер непробиваемый. Скорость загрузки стремится к нулю. То бишь, он и еще не упал (пингуется), но сайт загрузить нереально.

Глубокими словами это выглядит так: "запросы к апачу, когда масса мелких запросов но с многих хостов .. и хостов очень много делают запросы". При этом запросы никак не отличаются от обычных пользовательских через браузер.
То есть, Вы можете сами сделать себе ДДос атаку таким вот образом:
1. У Вас свой сервер, который максимум держит 10 000 обращений в секунду.
2. Вы даете рекламу на 1+1, интере, BBS и прочих популярных медиа-пространствах.
3. Миллионы людей валятся на Ваш сайт и грузят его страницы.
4. Сервер напрягается сверх своих возможностей и умирает.

Вот Вам и ДДос атака.

Можно еще по-другому сделать.
Договарариваетесь со всеми своими друзьями, родственниками дальними и ближними, чтоб каждый в четко оговоренное время резко начал F5 нажимать, загружая Ваш сайт. Эта ддос атака вам обойдется дешевле.

Такая вот она.