2010black

Под DDoS-атакой

Впервые стал жертвой DDOS-атаки на свой веб-сервер.
Поэтому картинки в моём ЖЖ (gpmail.spb.ru), «Нетмонитор» (netmonitor.ru), «Прогулки по метро» (metrowalks.ru), форум моего дома (novoesozvezdie.spb.ru) и ещё какие-то мелочи временно недоступны. Всем сорри, кого это беспокоит.
В условиях некоммерчности всех моих сайтов тратиться на коммерческие системы противодействия DDOS-атакам считаю нецелесообразным, поэтому жду, когда оно само прекратится, ибо вечно ДДоСить не будут, ведь аренда ботонета тоже денег стоит.
Но ежели кто-то из френдов, более опытных в этом деле, что-нибудь посоветует для защиты, приму с благодарностью.

Поток SYN-ов на 80-й порт — более тысячи в секунду (реально, наверное, ещё больше, но сетевой драйвер не справляется и затыкается). Если Апача не запускать, тогда ОС (старенькая FreeBSD) героически пытается противостоять, сокращая поток RST-ов в несколько раз…
Если вместо httpd запустить тупую прогу, принимающую соединения и сохраняющую полученные данные, то видно, что это атака, направленная на PHPBB, они все массово пытаются реквестировать страничку логина на PHPBB-шный форум. В некоторых HTTP-реквестах HF Host указывает на один из моих доменах, но примерно в половине светятся имена совсем других сайтов (которые, видимо, тоже лежат под DDOS-атакой, судя по их недоступности в настоящее время).
Если же запустить полноценный httpd, то их на этот поток запросов запускается столько, что через несколько минут система повисает с сообщениями "out of swap space". Ещё и тормозит доступ в интернет с других компьютеров в этой сети, если атакуемый сервер включен (если выключен, тогда, очевидно, всё режется на маршрутизаторе после ARP-таймаута).
Что любопытно, атака идёт с европейских IP-адресов (вижу в tcpdump-е Англию, Италию, Израиль, Молдавию, etc.). Хорошо, что нет китайцев, а то их там миллиарды. :-)
А на роутер-то кому могло понадобиться!?
У меня-то DDOS не просто так, а на один конкретный сайт с форумом из полутора десятков доменов, живущих на этом сервере. Видимо, кому-то чем-то насолили не зная того.
А домашний роутер как мог кому-то насолить?..
Юра, спасибо за наводку.
Но я как-то не доверяю таким бесплатным сервисам. Такой сыр бывает только известно где. А на чём они меня кидают, из заявленных условий обслуживания на первый взгляд непонятно.
Пока будем бороться своими силами...
Не знаю. Скорее всего, либо кого-то забанили на одном из форумов, а он обиделся, либо на одном из моих "общественных" форумов через некоторое время вылезет некто с заявлением, что у вас тут всё постоянно глючит и виснет, давайте лучше переносите сайт ко мне на якобы очень хороших условиях. Было уже так, проходили... Некоторые мои сайты — очень хорошая рекламная площадка по мнению некоторой общественности, а я это упорно игнорирую...
Мням... SYN-флуд я в бубунте на домашнем победил.
зобавно что атака шла одновременно по всем доменам моим - ибо все одинаковые во 2/3 уровне. не все дома - от машин у хостеров приходили репорты...
С SYN-фладом я пока не очень представляю, как бороться. Но в нашем случае это оказался HTTP-шный DDOS, это проще. Если просто отключить HTTP-сервер, сервер вполне выживает. А дальше понятно, как фильтровать...
Да, как-то так. Собирался поставить его пару лет назад, но забил из-за неопределённых обстоятельств, влияющих на перспективы существования этого сервера.
Но этого мало, нужно ещё и вычислять активно долбящихся ботов и блокировать их по адресам. Ведь совсем блокировать страницу логина насовсем нельзя, потому что тогда и нормальные пользователи тоже пострадают.