1. нет
2. только полностью закрыв сайт 8)

Если ботнет достаточно большой, то ляжет любой сайт. Да и хостеру проще прикрыть твой сайт чем отражать атаку.
У тебя же есть какие-то лимиты по процессорному времени и памяти в условиях предоставления хостинга? Скорее всего эти лимиты были превышены и хостер с чистой совестью отрубил сайт. Возможно это даже не ddos, а просто кто-то дал ссылку на популярном ресурсе.

IDrum дело говорит: настраиваем в nginx/apache/iptables лимиты обращений с ip, тюним сайт (глагне, авторизацию, плюс то, что судя по логам долбят) и начинаем увлекательный интеллектуальный марафон по отсечению ботов через высталение/проверку кук, geo ip и ещё каких-нибудь извращений, на которые фантазии/интернетов хватит...

Исправлено efferson (10.01.11 22:05)

ну если таким простым способом обошёлся мож и не нада вдс? :)

недавно и меня нагнули лол :3
а ничего и не сделаешь. от греха подальше опускаешь машинку, или роняешь апач и анализируешь откуда что идет, и какие признаки флуда. если машина мощная, то можно увеличить число сессий/коннектов на апаче посмотреть server-status как наши борют ихних.


надо попробовать еще IDS посмотреть далеко ли шагнула наука.

iDrum верно освещает.) за хардварный IDS денег нужно заплатить много, про софтовые вообще ничего вменяемого не слышал, может профит и есть. syn flood можно попячить, потюнив ведро операционки, сейчас точно не помню, но можно через sysctl на время понизить количество "полуоткрытых" соединений; также в iptables можно дропать пакеты и банить адреса, если задетекчен syn-flood.

otaku написал(а):

Да ну нахер не слышал, софтом можно многое отрезать, нгинкс + иптаблес + ещё чего нить прикрутить и правильно настроить и срежешь стопудово свою атаку, на мелкие сайты никто себе не позволяет покупать ботнет на миллион ботов.

Ммм, я имел ввиду именно специализированные системы обнаружения вторжений (IDS - Intrusion Detection System), которые работают по эвристическим алгоритмам или заранее сформированным сигнатурам, и по результатам анализа трафика, сетевой и системной активности делают вывод, что производится сетевая атака, и как минимум информируют админа, а вообще и предлагают методы борьбы - тот же iptables)
Как пример такой подсистемы fail2ban - демон, который следит за активностью сервисов SSH, Apache, FTP и в случае скана пароля или превышения числа допустимых соединений в единицу времени банит адрес через iptables.

ну а так на ум приходит snort и snortsam
у меня его напарник по работе настраивал

по-моим наблюдениям, сейчас бесполезно защищаца от ддоса и уж тем более на шаред хостинге. боты стали российскими, посиму не поможет отрубание заграницы. кол-во ботов в атаке стало меняться и так же хакиры научились (ну может и раньше умели, но я такого не наблюдал) менять типа атаки - сначала шёл http flood что пох, потом с этих же айпи пошёл udp flood, а потом и syn flood. и тут уже не помагают ни патчи ядра ни парсер логов.

если у вас социально значимый ресурс то можно получить бесплатную хорошую помощь
http://highloadlab.ru/services/service_8.html
http://kaspersky.ru/ddos-prevention

ну и за бабло. цены варьируются от 25 баксов до 200.
http://secureservertech.ru/
http://stop-ddos.net/ru/index_ru.html
http://ddosoff.ru/

несмешно

так то можно ипы по маске банить

Igo, уточняйте что это школоддос, который при правильной архитектуре приложения можно не заметить

Igo написал(а):

http://bkmz.org/425/zashtita-ot-ddos-iptables

похожую штуку городил когда postfix мой драконили. Написал скриптец, который тэйлил логи постфикса, и если там были отказы (отправка несуществующему юзеру, на не наш домен, попытка релэя, отправка от несуществующего юзер и т.п.), то заносил src ip в SET. SET "флэшился" раз в час (ну мало ли что за ошибка была, а нормальный почтовик если что перешлет письмо позже). За час набиралось 20-25 тысяч айпишников в списке. Не знаю, "адекватный" ли это ddos, но если дать волю этим 20 тысячам подключаться непосредственно к постфиксу - тот уходил в астрал.

может кому пригодится, код выложу. Ногами не пинать, чисто прикладнушка, которая реально помогла когда-то. Основной код - "борьба" с логротейтом.

cat /usr/local/bin/blockspam.php
#!/usr/bin/php -q
<?php

exec("/sbin/ipset -N SPAMHOST iphash >/dev/null 2>/dev/null");

        //set initial variables
        $file = "/var/log/maillog";

        //set functions
        function closeFile(&$handle)
        {
                fclose($handle);
        }

        function openFile(&$file, &$handle)
        {
                $handle = fopen($file, r);
        }

        function resetFile(&$file, &$handle)
        {
                closeFile($handle);
                openFile($file, $handle);
        }

function blockset($string)
{
    $skip=strpos($string,"NOQUEUE");
    $b=strpos($string,"[",$skip);
    $e=strpos($string,"]",$skip);
    $ip=substr($string,$b+1,$e-$b-1);
//    echo $string."\n".$ip."\n";
exec("/sbin/ipset -A SPAMHOST {$ip} >/dev/null 2>/dev/null");

}

        //main
        openFile($file, $handle);
        fseek($handle,SEEK_END);
        $curPosition = filesize($file);
        $curctime = filectime($file);
        $curSize = filesize($file);

        while (file_exists($file))
        {
                clearstatcache();
                if(filectime($file) == $curctime)
                {
                        sleep(1);
                        continue;
                }
                if(filesize($file) < $curSize)
                {
                        resetFile($file, $handle);
                        $curPosition=0;
                }
                fseek($handle, $curPosition);
                while (feof($handle) != true)
                {
                        $string=fgets($handle);
                        if (strstr($string,"NOQUEUE: reject: RCPT from")) blockset($string);
                        $curPosition = ftell($handle);
                        $curctime = filectime($file);
                        $curSize=filesize($file);
                }
        }
        closeFile($handle);
?>