» Защита от небольшой DDOS атаки http get флудом.

Подскажите пожалуйста ,следующая ситуация..
OS Linux: стоит на VmWare как гостевая система, на ней устанволен Web Server. Операционная система-хост: Windows Xp с Outpost. Гостевая система подключена к системе хосту через NAT. Все данные из интернета по 80 порту передаются через NAT гостеой OS Linux. Nat - процесс в windows XP - vmnat.exe
Есть ДДОС атака сайта http get флудом (частые запросы апачу), где то с 50-70 Ip адресов
При блокировке вручную этих Ip адресов в атупосте - пакеты до линукса вообще не доходят, нагрузка на апач падает и сайт начинает работать нормально. Но так как IP динамические или так как новые боты появляются, то соответсвено приходистя опять Ip бота вычислять и вручную добавлять его в фаерволе Outpost в операционке-хосте.
В теме про Аутпост я выяснил, что нельзя сделать автоматическое определение атакующих IP, так как фаервол недостаточно гибок в настройках.
Вот решил попробовать осуществить как-нибудь обнаружение и блокировку атакующитх IP автоматически при помощи Линукса, так как он (как говорят) славится гибкостью своих настроек.

Подскажите как это можно осуществить в линуксе? с помощью Iptables ? если да, то как

P.S. Если не в том разделе разместил - перенесите плиз куда надо

Я кое что тут нарыл:
http://www.lissyara.su/?id=1602


Цитата:

А окончательно проблему возможно решить с ДОС и ДДОС атаками с стандартным фаерволом OpenBSD тоисть PF. Вскоре статья будет дополнена конфигурацией по настройке PF.

Вот собственно дополнение:
cat /etc/pf.conf


ext_if="em0"

table <ddos> persist
block in log quick from <ddos>

pass in on $ext_if proto tcp to $ext_if \
port www flags S/SA keep state \
( max-src-conn-rate 100/5, overload <ddos> flush)

Вот подскажите, как это сделать в Линуксе ?

http://www.mydigitallife.info/2007/12/13/prevent-and-stop-dos-or-ddos-attacks-on-web-server-ddos-deflate/
https://www.linuxquestions.org/questions/linux-software-2/protecting-apache-from-dos-and-brute-force-378761/
http://forums.digitalpoint.com/showthread.php?t=1031456

хех спасибо за ссылки))
Может кто по опыту уже знает ,какие скрипты более эффективны, и по минимум блокируют полезные IP ?
Вот например какой поэффективнее:
http://www.mydigitallife.info/2007/12/13/prevent-and-stop-dos-or-ddos-attacks-on-web-server-ddos-deflate/
или
http://forums.digitalpoint.com/showthread.php?t=1031456

Z4masko

посмотри fail2ban

> Вот например какой поэффективнее:

Никакой не поможет 100% решить проблему.

Я недавно отражал атаку на своей фирме и мне пришлось проработать много информации. На чем я остановился:

1 - Нормализация пакетов - есть во второй ссылке
2 - Фильтрация IP-сетей - мне пришлось закрыть часть мировых сетей и оставить около 11 000 сетей наших клиентов (логи за последний год помогли)
3 - Количество сессий - у нас это делает Cisco DataGuard (у провайдера поставили)
4 - Расширили в 3 раза попускную способность канала

Желаю удачи в нелегком деле. Не забывай, что со стороны атакующих - высококлассные специалисты, которые могут сменить тактику атаки за несколько минут.

О файерволах - самым лучшим файерволом для меня является все же pf из OpenBSD. Если бы мы не решили вопрос с DataGuard - я бы установил сервер с Опенком (в позе бриджа) перед серверами.

vlader2004, спасибо. Ваш способы я так понял для крупных DDOS атак, и не только http get флудом) У меня поменьше.
В моём случае обнаружить IP посылающий много http get запросов очень легко и забанить его, но дело в том, что потом появляются другие IP и сидеть вручную банить - это очень геморно. Я посомтрел скрипты для Linux которые банят автоматом. Вроде как работают, но хотелось бы чтобы вобще до сервера этот траффик не доходил, а блокировался фаерволом на Операционное системе- хосте (в моём случае WinXP) Вот пробовал у Атупоста крутить настройки детектора атака, чтобы автоматически обнаруживались и банились на время атакующие IP, но в аутпосте это всё реализовано как то криво и работает неправильно. А ставить линукс на операционную систему- хост нельзя. Вот хотелось бы найти фаер или молуль какой нить для Аутпоста, который нормально блокировал IP атакующего..так же нормально как скрипты под линукс, ссылки на которые давал AnDySs1