Добрый день всем. Собственно как отбить атаку DDoS?

выдернуть сетевой шнур из сервера.

Почти в подавляющем большинстве случаев - именно так=(
А если трафик платный, то ещё и в ДЦ попросить отключить этот ip 

v2v, Это конечно оригинальный способ, я обязательно им воспользуюсь на ваших серверах, если вы станете моим клиентом.

Str!pe, если у вас на сервере кшиентов много и ддос небольшой - то deny from all на атакуемый сайт

Сумасшедший, Спасибо еще раз, пойду переписываться с хостером.

Str!pe, На здоровье. Только хостер врядли будет таким заморачиваться. Особенно если всё висит на одном ip. Если это, конечно, не отдельный  сервак.

жесть. "ddos небольшой" и "deny from all".
рецепты поражают воображение.

Напиши скрипт, который в БД будет кидать IP и время запроса и ставишь условие, что если запросов в минуту более 5-10 (в зависимости от сайта) перенаправлять на 127.0.0.1.

Feldmarschall, Офтопик не к месту, есть идеи предлагай, нет идей не спамь.

Ага, спасибо, за это уже взялись, есть какие-то готовые решения вроде бы.

Вот теперь это объяснение хоть какое-то, а "жесть" это на консервный завод надо!


Что бы задать вопрос, надо знать хотия бы половину ответа, я этого не знаю. Уважаемый следи за языком!

Для альтернативно-развитых: некоторые малолетние недоумки частенько получают небольшой список проксей и устраивают ДДОС через них. Большим такой ддос быть не может и deny достаточно неплохо помогает: человек видит что сайт лежит час и успокаивается, удовлетворив свой скудненький интеллект небольшой гадостью.

В чём проблема? Одни слова! Дела давай делай!

При, опять же, достаточно небольших объёмах ддоса - можно составить список адресов и хотя бы попытаться провести по ним анализ.
Feldmarschall, скажи спасибо, что я не модер.

Забавно. Такое ощущение, что это хорошо отрепетированный розыгрыш.
На вид разумные комментарии, но при этом - ноль смысла.

Недоумки, может, и малолетние, но сайт, лежащий от перезагрузки, отличить сайта, закрытого с Access Denied отличить смогут даже они.
Зачем делать Deny from all если адресов немного - тоже загадка: почему не закрыть те самые "немного адресов"
Зачем делать Deny From All, если сайт работает без перебоев? И вообще непонятно, откуда мысли об атаке вообще.
Если сайт работает с перебоями, то использовать БД для защиты от перегрузки - самоубийство. Это я не знаю даже как назвать. Как огонь тушить бензином. 
Фантасмагория какая-то.
Ни одного внятного описания проблемы, но уже куча рецептов её решения.

Единственный адекватный вопросу ответ - самый первый.
Автор, вместо того, чтобы дать минимальное описание проблемы, озабочен тем, чтобы поучать других, как они должны писать на форум.
Вместо того, чтобы дать хотя бы минимальные сведения - выделенный или шаред хостинг, какие симптомы атаки и откуда вообще взялось мнение, что это атака, а не какой-то слишком ретивый оптимизаторский скрипт трафик гонит.

Автор, вместо того, чтобы развивать тему, нашел где это уже обсуждалось. 
Да, поясняю отличие deny from all от выдергивания шнура из сервера: если на сервере не один только этот сайт, то deny from all позволит сохранить работоспособность остальных сайтов. Ага? Вам прямо и немного направо.

Feldmarschall, А причем тут оптимизаторский скрипт Какие тебе симптомы надо? Мгновенного трехчасового налета юзеров со всего мира хватит? Забавный ты наш! Или тебе тупо доказывать надо что то? Тебя кто то о чем то спрашивал? Нет? Ищи другое место для общения, еще пару коментов в таком стиле и будем по другому говорить. Недоумков он тут нашел.

2 Модератор, а не перестарался ли ты модерацией?
Как минимум в одном сообщении были советы по делу.

Fortop, ну так я его и не удалил и удалять ни кого ен просил. Потрет муть пожалуйста открываем.

Str!pe, во-первых, надо быть внимательнее. Недоумков нашел не я.
Во-вторых, мгновенного трехчасового налета юзеров со всего мира не хватит. Какая еще нужна информация - я писал, два раза.
Только не в виде одолжения, а в виде нормального описания проблемы. 

Ты все перепутал =)
Мне доказывать ничего не надо. У меня никаких проблем с серверами в данный момент не наблюдается. Это у тебя были какие-то проблемы. И ты пришел на форум. И это если тебе нужно решение проблемы, то надо давать как можно более подробное её описание. Разве это не логично? 

Str!pe, 
Если это DDoS атака, и у тебя сервер ложиться уже при отдаче статики, то направляя запросы в базу ты убьешь сервер совсем.

Т.е. в этом совете есть лишь очень маленький смысл - закрыть высоконагруженную скриптовую часть, простым фильтром с БД (при условии что он сам будет легче, чем то, что закрывает  ). Но гадать не зная архитектуры твоего приложения - не перспективно.

DDoS лечиться только 2мя способами 1й - был в первом же ответе по теме.
2й - расширение мощностей на которых стоит твой сайт.

Все остальное - выдумывание костылей, которое, повторюсь, не зная особенностей твоего сайта - имеет очень маленький КПД.

Вполне логично, если бы я сразу знал что надо, то сразу бы и выложил все что знаю. Но с таким сталкиваюсь первый раз и готовых решений я не спрашивал, я спрашивал методы решения проблемы, весь круг решения проблемы с задачей оставить сайт жить и избавиться от левого не нужного тафика.
Выкладывать пока нечего, так как что спрашивать у хостера как в чем проблема я не имел понятия до сегодняшнего дня.

Твоя помощь ввиде:

Защитана, спасибо, свободен!

Добавлено через 2 минуты и 22 секунды
Fortop, 
Вот что я наблюдаю в сохраненной копии в Яндексе:


Сайт стоит на OsCommers.

Ну вот тогда и не надо орать не единственного человека, который дает адекватные ответы, а не советы типа "использовать БД, которая и так лежит" или "отрубить сайт совсем".

Защиты, как я говорил, от ДДоС не существует. Это первое, что надо понять. Пережить нормальную атаку ботнета могут только очень большие сайты и с очень большими финансовыми затратами.

P.S. При этом лично сам я не очень доверяю пресс-релизам, в которых говорится о техническом решении таких проблем - географическом разнесении серверов, установке суперпроизводительных роутеров и так далее
И считаю, что проблемы решались нетехническими средставми.


Это сообщение отредактировал(а) Feldmarschall - 17.4.2008, 15:26

Str!pe, 

У меня опыта поменьше чем у Feldmarschall будет 

Я могу отделаться лишь общими советами.
произвести анализ обращений и нагрузки, в том числе и по логам.
и проверить на кошечках эффективность фильтра. 
Это позволит найти адекватное временное решение. А так... расширять канал, мощности и подключить кеширование где нет, переработать
архитектуру приложения для фильтрации небольших флудов. И т.д. и т.п.

Где? Это про жесть?

Уже ничего не продолжается, сайт упал проиндексировался упавшим, я выше привел что проиндексировал Яндекс (это значит что Яндекс дошел до сайта и увидел что написано на его странице), мне без разницы на хостера, хостер Российский. Цель конкурентов была достигнута, сайт выпал из зоны максимальной видимости, скатившись вниз по всем запросам. Тепер  мне его надо поднять обратно, а перед этим придумать как в дальнейшем защититься от такого, иначе вся работа нне будет иметь смысла... Хоть реально по первой десятке выдачи ДДоС устраивай :(

Добавлено через 1 минуту и 24 секунды

Ну так это не выход, в ход пойдут 3-4 - 5 ботнетов.
Башорг же как то отбил атаку.

Еще вопрос, понимаю что пальцем в небо но задам: как выдать ботнету ответ, что сервак помер? Отключать питание при превышении лимита юзеров за определенный промежуток времени?

Ммм, а просто 503, 504я ошибки не подойдут?
http://ru.wikipedia.org/wiki/%D0%A1%D0%BF%...0%B8%D1%8F_HTTP

Fortop, 

У меня есть подозрение что они так и определяли конец атаки. Если реализовать защиту таким способом, то и траф максимально сохраним, и сайт не уроним, хоть он и не будет доступен на время атаки, а полученные IP отсылать куда глаза глядят.

Почитай последний пост Feldmarschall, скорее всего ситуацию дешевле и проще будет разрулить нетехническими средствами

До слез насмешили. За терпеливость Feldmarschall и Fortop - медаль %)
По теме: Feldmarschall уже все сказал )

Я вот помню как на меня обрушилась подобная атака, тольк вот что бы я не делал и посредством htaccess и посредством изменения настроект сервера и вмешательством в бд, в срипты.. на что мозг больной способен - один фиг хостинга я лишился. 
Самое актуальное так это менять dns и ip )) ну а выдергивать шнур - эт без каментариев.

Что касаеться ддоса, то уж это, батенька-автор, не столько убийство служб, сколько забивание канала, и мало что сделаете.

Zmiuko, вообще есть различного рода методы защиты ...

Тема самому интересна, хотелось бы ее поднять, так сказать, из прошлого и обсудить.  Я бы разделил эту тему на 2:
1) DDOS канала.
2) DDOS сервера.

В первом случае, если атака настолько серъезная и сильная, что забивает весь канал вашего хостера(дата-центра), то здесь действительно мало что вы можете сделать. Это уже вопросы провайдеров и дата-центров.

А вот во втором все в наших руках. Идеальный вариант - написать свой системный фаэрвол, который в зависимости от определенных критериев(сигналов) будет отрубать входящие с определенных IP на время, в общем опционально. Мне кажется это будет эффективнее скриптовых-фаэрволов и .htaccess.

Если встроить защиту в исходный код Web-сервера(например, Apache), то это все равно не спасет от такой ситуации, когда атакующий дидосит весь сервак, а не персонально WEB-Сервер.

Можно также попробовать грамотно настроить системный фаэрвол ОС.  Но с этим вопросом надо разбираться, не знаю насколько он может защитить от DDOS. Вот, например, Outpost Firewall - хороший фаэрволл, но может ли он реально защитить сервер от DDOS атаки? Или iptables в linux(с линуксовым фаэрволом вообще пока не разбирался)?

Идеальный вариант пользоваться специальными железками. Такие есть.

Вы имете ввиду какие-то аппаратные средства? Если да, расскажите поподробнее, пожалуйста.

Хм, вот кроме факта того, что они есть, я больше ничем помочь не смогу  к сожалению 
Это вам надо к хорошему админу коим я не являюсь.
Это если касается аппаратной защиты именно от DDOS.
А если речь просто о файрволе, то в старших моделях маршрутизаторов cisco есть такая функция, это из того что у нас работало.

Плюс поищите на Хабре - была статья о защите от DDOS, думаю если обратиться к ее автору, то он сможет дать более внятную консультацию чем я.