Zabezpieczenie serwera www przed DDOS

[rakoo]

To nie jest zaden wielki projekt wymagajacy niewiadomo jak cfanych zabezpieczen - raczej ujme to bardziej w ramach hobby, wiec takze chcialbym sie poduczyc

Atakujacy to przewaznie dzieciaki uzywajace gotowych programow.

Ostatnio udalo mi sie dorwac program "Sprut_for_DDoS" - powiesil mi serwer w sekunde zapychajac cale jego zasoby i z tego co widze to glownie o takie ataki chodzi - nie z wielu zrodel zombie, tylko z jednego zrodla.

Zastanawiam sie teraz nad tym, jak najlepiej wykryc i automatycznie banowac numery IP, z ktorych leca takie pakiety.

Mozecie polecic jakis dobry firewall, w ktorym mozna tworzyc np jakies nowe reguly dzialan czy jak to sie tam nazywa?
Moga byc zarowno komercyjne jak i bezplatne.
Przypominam ze chodzi o windowsa

[lem]

how to prevent ddos - Szukaj w Google

[TQM]

Widzisz, pod windows sprawa nie taka prosta... jesli masz apache to zmien go z mpm-worker na mpm-prefork - niby wolniejszy... ok... ale nie jest podatny na trywialny atak ktory powala kazdego apacza z mom-worker :P Jesli to zrobisz i problem bedzie dalej wystepowal to bedziemy myslec.

[markossx]

fail2ban i trochę wyobraźni również potrafi całkiem ładnie przystopować DoSy.


edit:
tip:
robię na ten przykład tak, że jak wykryje niepokojące ruchy na porcie gdzie trzymam serwer ssh to go natychmiast blokuję i przenoszę na zupełnie inny port (znany mi oczywiście i to nie koniecznie wcześniej ) - taki kotek i myszka :P

[rakoo]

pomoglo ograniczenie ilosci polaczen na 1 IP, dodatkowo wszystkie akcje ladnie sobie w Firewallu sledze

[agilob]

How To Defend slowloris DDoS With mod_qos (Apache2 On Debian [Lenny])

[okomakery]

ja ciekawe informacje o ochronie serwera znalazłem na stronie która chyba jest od niedawna ale jest niezła. dużo na niej informacji o zabezpieczeniach. to był Zatrzask.pl | Serwis Informacyjny Bran trzeba trochę tam poryć i się znajdzie. pozdrawiam

Witam,
jestem w trakcie pisania strony internetowej w php.
W jednym z modulow uzywam funkcji fsock do sprawdzania czy jedna z uslug localhostowych jest otwarta.

Ostatnio mialem okazje zobaczyc jak latwo ktos moze zDOSowac moj serwer i niebardzo wiem jak sie przed tym bronic.
Serwer www zostal sparalizowany i nie moglem wejsc na strone nawet przez localhost.

Czy wina lezy po stronie skryptow np tego wykorzystujacego fsock, konfiguracji Apache czy czegos innego?

Ruch do serwera mam przekierowany na routerze jedynie na port 80. Router (TPLINK WR543G) ma wbudowany jakis filtr DDOS ale czytajac kilka artykulow w sieci na temat tego typu atakach, watpie w jego skutecznosc.

Jest jakas dobra, prosta metoda aby sie przed tym bronic?
Jakimi programami/metodami moglbym potem w razie czego przetestowac rozwiazania sam siebie atakujac?

Z gory dziekuje za odpowiedz

[TQM]

@agilob - post bylby ciekawy gdyby na prawde tam byl... temat mowi o apache a w tresci cos zupelnie innego - konfiguracja serwera pocztowego...

ntg-ddos.jpg

[lem]

no nie?

rakoo: looknij sobie tez na to ile apache otwiera watkow, pamietam, ze kiedys skanowalem automatem jeden serwer z adminem i nagle przybiegl do mnie, ze serwer wisi. co sie okazalo skaner otwieral tyle polaczen, ze apache nie byl w stanie ich obsluzyc, wiec zaczal dumac, dumac, az usechl. a na deser przeczytaj web application hackers handbook, oprocz ddosow, znajdziesz tam rowniez inne tematy zwiazane z prewencja dla webappow.

[TQM]

Bardzo wiele zalezy od konfiguracji serwera - czy to jest apache... jesli apache to jak jest ustawiony (worker i jego parametry), keepalive, timeouty, itp. Tego samego apacza mozna na prawde ladnie podkrecic ale wiekszosc ludzi tego nie czuje i szczerze mowiac nie jest to zbyt intuicyjne.

Ja do niedawna wszedzie instalowalem mpm-worker (threaded) ale po paru sytuacjach ktore ostatnio widzialem wszystkie serwery wycofalem do mpm-prefork... Ok - potrafi zjest wiecej zasobow, nawet znacznie wiecej ale... RAM jest tani a downtime kosztuje.