Пару дней назад случилось то, чего я никак не мог ожидать — меня заддосили (SYN DDoS). Собственно, даже не знаю почему. Просто вот взяли и заддосили в пятницу вечером из одной подсети. Лампочки на роутере судорожно мигают, сервер отказывается принимать соединения и впадает время от времени в глубокий ступор.
Ну-с, ssh, логинимся, «netstat -a» и видим как все висит… Слишком много ip и резолвятся они очень медленно, т.к. и канал забит и httpd с кучей недооткрытых соединений. Значит делаем:
netstat -a --numeric-hosts
а лучше
netstat -a --numeric-hosts &> netstat.log
Теперь у нас есть файл над которым можно медитировать — кто нас ддосит и попытаться уловить подсети. В нашем случае подсеть к счастью оказалась маленькой и всего одной (к счастью). Далее, узнаем кто владелец ip и им оказывается подмосковный провайдер. Пишем ему в саппорт письмо и… тишина! :) Вот же ж классно — пятница, вечер и никого в саппорте подмосковного прова. Чудненько, тогда просто заблокируем его маленькую подсеть:
iptables -I INPUT -s XXX.XXX.XXX.0/24 -j DROP
Затем рестарт апача и юзеры спокойно заходят на ресурс. На следующий день ddos прекратился, а пров так и не ответил на мое письмо. Замечательные же у нас бывают провайдеры! :)
Обсуждене
Отзывов нет на «Как защититься от SYN DDoS’a?»
Ваш отзыв