Хостинги с защитой от DDos? Кто знает?

[prestkatalo]

Абузоустойчивый хостинг с защитой от DDoS атак
Для просмотра ссылки Войди или Зарегистрируйся
Цены от 2000-3000руб./мес

 

[d3m0n]

мне кажется проще взять обычных хостинг и скомбинировать GEOIP + IPTABLES создав свою мощьную защиту до DDOS аттак
пример кода для IPtables

# Stop smurf attacks
iptables -A INPUT -p icmp -m icmp --icmp-type address-mask-request -j DROP
iptables -A INPUT -p icmp -m icmp --icmp-type timestamp-request -j DROP
iptables -A INPUT -p icmp -m icmp -j DROP
 
# Drop all invalid packets
iptables -A INPUT -m state --state INVALID -j DROP
iptables -A FORWARD -m state --state INVALID -j DROP
iptables -A OUTPUT -m state --state INVALID -j DROP
 
# Drop excessive RST packets to avoid smurf attacks
iptables -A INPUT -p tcp -m tcp --tcp-flags RST RST -m limit --limit 2/second --limit-burst 2 -j ACCEPT
 
# Attempt to block portscans
# Anyone who tried to portscan us is locked out for an entire day.
iptables -A INPUT  -m recent --name portscan --rcheck --seconds 86400 -j DROP
iptables -A FORWARD -m recent --name portscan --rcheck --seconds 86400 -j DROP
 
# Once the day has passed, remove them from the portscan list
iptables -A INPUT  -m recent --name portscan --remove
iptables -A FORWARD -m recent --name portscan --remove
 
# These rules add scanners to the portscan list, and log the attempt.
iptables -A INPUT  -p tcp -m tcp --dport 139 -m recent --name portscan --set -j LOG --log-prefix "Portscan:"
iptables -A INPUT  -p tcp -m tcp --dport 139 -m recent --name portscan --set -j DROP
 
iptables -A FORWARD -p tcp -m tcp --dport 139 -m recent --name portscan --set -j LOG --log-prefix "Portscan:"
iptables -A FORWARD -p tcp -m tcp --dport 139 -m recent --name portscan --set -j DROP

комбинация с geoip
Для просмотра ссылки Войди или Зарегистрируйся

 

[Darkness]

Я думаю проще будет взять Fail2Ban и PyPy, оба они ставятся из EPEL репозитория, но все это спасет только от слабых и средних DoS атак, от настоящих DDoS никто не спасет.

 

[rootangel]

Я думаю проще будет взять Fail2Ban и PyPy, оба они ставятся из EPEL репозитория, но все это спасет только от слабых и средних DoS атак, от DDoS даже провайдер не спасет.

сами то думаете что пишите?

 

[Darkness]

сами то думаете что пишите?

Ну как бы да, а что?
Fail2Ban скрипт на Python'е, чтобы компенсировать медленность Python'а, можно поставить PyPy - JIT компилятор Python'а.

 

[rootangel]

Fail2Ban не поможет от ddos, сервер уйдет в себя а Fail2Ban не успеет даже запуститься.

нет смысла откровенной фигней заниматься, Fail2Ban максимум для подавления брутфорса можно использовать.



защита от ддос должна быть комплексной и работать в realtime

 

[Darkness]

Fail2Ban не поможет от ddos, сервер уйдет в себя а Fail2Ban не успеет даже запуститься.

нет смысла откровенной фигней заниматься, Fail2Ban максимум для подавления брутфорса можно использовать.



защита от ддос должна быть комплексной и работать в realtime

Нормальный люди запускают защиту до атаки, а не после.
Fail2Ban предоставляет удобный интерфейс к iptables, не более.
Еще предложи включать фаервол после старта ДДоСа.

 

[rootangel]

вы не понимаете о чем я пишу.

я не имел ввиду пойти на сервер и запустить программу.

я про то что ваша парсилка логов работает не в режиме реального времени и парсит она с интервалом, за этот интервал и пока она парсит сервер сложат намертво.

т.к ботнет работает плавно то сервер будет лежать постоянно.

а если бот еще умный попадется то распарсить лог файл2баном становиться в принцыпе вообще невозможно т.к по статической сигнатуре ботов распознать невозможно будет.

второй момент если банить в iptables то ваш сервер умрет на 3-10к ботах. это тоже не дело.

 

[Darkness]

вы не понимаете о чем я пишу.

я не имел ввиду пойти на сервер и запустить программу.

я про то что ваша парсилка логов работает не в режиме реального времени и парсит она с интервалом, за этот интервал и пока она парсит сервер сложат намертво.

т.к ботнет работает плавно то сервер будет лежать постоянно.

а если бот еще умный попадется то распарсить лог файл2баном становиться в принцыпе вообще невозможно т.к по статической сигнатуре ботов распознать невозможно будет.

второй момент если банить в iptables то ваш сервер умрет на 3-10к ботах. это тоже не дело.

Пруф?

 

[rootangel]

какой пруф, если знать как устроен netfilter linux то это и так становиться очевидным.

понимаете ваш iptables при забаненых 10к каждый новый пакет будет пропускать через эти все 10к правил (переберая их по очереди), какая тут оптимизация у вас деградирует производительность резко.

для этого есть другие инструменты с другими алгоритмами.