понедельник, 2 мая 2011 г.

Простая защита от ddos средставами фаервола

Рано или поздно всем приходится сталкиваться с таким неприятным моментом, как ddos. Скажу сразу, что зашититься на 100% от ддос нельзя, но предусмотреть некоторые превентивные меры не только можно, но и нужно. Самый простой - способ блокировать хосты, проявляющие слишком большую активность.

ipfw
Заменим стороку, разрешающую подключения по 80 порту, которая обычно имеет вид:
ipfw add allow tcp from any to me 80
На другую:
ipfw add allow tcp from any to me 80 limit src-addr 20
Такое правило пропустит подключение только в случае, если суммарное количество подключений от клиента не превышает 20. Конкретное число зависит от многих факторов и должно определятся экспериментально.

2 комментария:

  1. Спасибо отличная тема !! ++++++++++++++++++

    ОтветитьУдалить
  2. При удачной настройке iptables nginx попросту блокирует атакующие адреса и они не нагружают системные ресурсы сервера, ну а для решения серьезных проблем нужная хорошая аппаратная защита. Могу порекомендовать ребят из Simplyway.net, отлично справляются как с ддос атаками так и толково шарят в администрировании.

    ОтветитьУдалить