to post messages and comments.

Буду валить с FastVPS.
Они блочат на SYNFLOOD уже с 50мбит (несмотря на 100mbit канал обещаный), после чего делать уже нечего.

А если SYNFLOOD приходит на IPv6 (спасибо, CF, за любезно форвардную IPv4 атаку на IPv6), то просят свалить подобру-здорову.

И за "смену IP" требуют больше, чем просто купить еще одну VPS.
Проблемную VPS мигрировал на OVH, пока подержу её позади Cloudflare, потом CF наверное уберу вообще.

Интересно. Существует куча коммерческих контор которые предоставляют ddos защиту за немаленькие деньги. В то же время существуют хостеры у которых уже "все включено" и антиддос работает на всех их абонентов (они просто размазали цену решения на всех абонентов и получили +1$ например на каждый арендованный сервер) и он действительно работает.

Но проблема заключается еще и в том что в россии таких хостеров просто нету. Печально.

давайте о серьезном. как защититься от ддоса и прочего такого говна? вот пример — просто от одной машины с очень толстым каналом фигачим разные пакеты с миллиона проксей. ваши предложения, мега хеккеры :)

Сервера онлайн-игры легли под DDoS в четверг. Атака не прекращается до сих пор.
Заодно положили старейший и крупнейший фанатский форум.
Пытались положить популярный блог — но он оказался под адекватной защитой. Похоже, теперь атаку с него перенаправили на оффициальный сайт игры, не придумав ничего лучше.

Меня в этом вот что удивляет: два года (пока существует игра) всё тихо-мирно, и вдруг у кого-то оказалось столько ненависти к японским разработчикам и англоязычному коммьюнити одновременно?

Был ещё инцидент в Reddit, направленный против известного участника коммьюнити, но вряд ли это хоть как-то связано с DDoS.

# conntrack -L | grep -c SYN_RECV
conntrack v0.9.14 (conntrack-tools): 2554268 flow entries have been shown.
2531069

Во время обычной работы — на полтора десятичных порядка меньше, если не на два...

Жуйку повезло, что он не в том же дата-центре, что и наш сервер:
Currently we're successfully filtering the malicious traffic, the attack is still running at about 60 Gbit/sСейчас даже исходящие соединения дропаются.

У родственной компании слегка заддосили один из сайтов.
Вначале — POST /, потом — "ET $hostname", потом тупо длинная строка символов. Итого — до 600Мбит в пике третьей атаки.
Теперь продолжаются атаки типа POST /, и, вдобавок, на тот прокси, через который пустили трафик для сайта, зачем-то запустили синфлуд на 22-й порт.
На работе прокси это никак не отразилось, в том числе и по ssh.
Что они хотели? И чего добились?

Замечательное видео: youtube.com о том, как выглядит результат работы инструмента для визуализации подключений к серверу — Logstalgia. securitylab.ru немного комментариев.
На мой взгляд идея совершенно прекрасна и имеет мощнейший потенциал, ведь нет ничего более информативного о процессе, чем его визуализация в режиме real-time. Нужно будет поглядеть на проект более пристально. Разработчики code.google.com заявляют инструмент как визуализатор подключений конкретно к web-серверам. Однако инструмент занимается тем, что смотрит на лог-файл, парсит его и по идее ничто не мешает допилить регулярные выражения под логи любого другого формата. Представляете, как было бы чудесно подружить его, например, с форматом выдачи syslog от сетевого оборудования, или даже с netflow коллектором?

Это уже скучной традицией становится. 3-й заход. Вот в упор не понимаю, какой смысл делать DDoS ночью(!) перед праздниками(!!). Итак, ведь, на сайте никого.

На этот раз не просто DDoS, а ещё и управляемый DDoS. Я затыкаю объект атаки — объект атаки меняется на новый...
~~~

Нагрузка на сервере (вернее, спецвиртуалке) нормальная, но вот то, что error.log nginx растёт на полгига за 10 минут — несколько напрягает...
Плюнул, решил банить через ipset

cat error.log | grep 14:35:12 | wc -l
3119

В error.log пишутся строки вида:
2013/04/17 14:35:12 [error] 30514#0: *293933080 limiting requests, excess: 1600.900 by zone "hostreqlimit", client: 178.92.50.47, server: citysexy.ru, request: "POST /?s=EghgtdfyhfgdsTYuyrt7uioyukYRTiukgfj%2B%2B%2B%2B%2B%2B%2B%2B%2B%2B HTTP/1.1", host: "конкретный-домен.ru", referrer: "http://всякая-рандомная-херь/"

Таки всё-таки это ддос. Пока что отключили домен до прояснения.

Прошел боевое крещение: первая ddos атака на мой сервачок, видимо ботнет. Интересно, есть смысл писать заяву в отдел К и прикладывать список атакующих IP адресов?

«Надеюсь вы согласитесь, что:
1) Сервер отдающий статические веб-страницы "шуршит" быстрее, чем тот который их собирает динамически;
2) Если фреймворк использует базу, например MySQL, то далеко не факт, что тормозит логика фреймворка а не база;
3) Если у клиента страничка открывается длительное время, это не показатель "тормозов" фреймворка;
4) Очень плохо когда веб-серверу не хватает ресурсов, но так-же "ни есть гуд" когда часть ресурсов не используется;
5) Если мы не тестируем свои программы, сервера, базы данных, тогда грош цена нам как специалистам;
6) Не все "велосипеды" еще изобретены»

Господа из Квипа, у вашего клиента ровно никакая защита от DDOSа. Меня вчера и сегодня ДДоСили тупо на переполнение траффика. В клиенте не предусмотрено:
1. Включение защиты одной кнопкой (а ведь в qip2005 такое было), либо эта кнопка отсутствует по умолчанию
2. Когда тебе в течение 10 секунд присылают 100 сообщений/запросов об авторизации, значит что-то случилось, почему бы не включить превентивную защиту, а потом спросить у пользователя не ддосят ли вас?
2а. Соответственно, должна быть функция автозанесения людей в бан. В первом сообщении ( /1 ) я напишу жиды ботов. По ним сразу видно, что это боты и их можно банить.
3. При большой нагрузке входящих клиент падает только в путь. Вчера раза 3 рухнул
4. Если мне присылают 100 сообщений, это не значит, что я хочу видеть 100 балунов. Как ни посмотри, это баг.
5. Я вчера вообще не ожидал DDoS'а и не понял сначала почему клиент тупо повис. А когда уже включил его снова, увидел мириады пришедших в оффлайн сообщений, не выдержав которых, клиент снова падал. Это тоже надо предусмотреть.

Пока всё. И, как видите, я пишу с веба, потому что клиент не в силах пережевать все входящие, как я уже говорил, сообщени

Купил VDS на FirstVDS. Начали ддосить. Закономерный результат:

От: Nikita Mironov — 2012-01-06 13:53:35
На Ваш сервер идет много паразитного трафика, это нарушает работу сети и мешает вашим "соседям" по услуге. Скорее всего на Ваш сервер осуществляется DDos атака. Ваш ip адресс 127.0.0.1 зафильтрован на сутки. Фильтр снимется автоматически.

===
Ну вы поняли, да? Вас ддосят, вас же и банят. Бизнес по-русски. (Само собой, IP я изменил)

Жуйк, а дай ссылку на какой-нибудь документ, где популярно объясняется как бороться с дос атаками на веб серверах.