Правила форума Гаранты форума
Размещение рекламы AMX-X компилятор

Здравствуйте, гость Вход | Регистрация

Наши новости:

14-дек
Добавлена поддержка utf8mb4
24-апр
Telegram группа
10-апр
Обновление PHP
11-апр
Раздача читов

2 страниц V   1 2

Помогите защититься Iptables и прочие шаманства
Статус пользователя Fire
сообщение 18.3.2015, 2:20
Сообщение #21


Иконка группы

Стаж: 17 лет

Сообщений: 2201
Благодарностей: 2227
Полезность: 963

iptables фильтрует на уровне оси, т.е не пускает пакеты в ОС, до сетевой карты они все равно долетают. Не долетать они будут когда ты отключишь интерфейс и сбросишь таблицы arp на маршрутизаторе\свитче. Но это собственно тоже самое что делает хостер, делая nullroute


Администрирование серверов. Защита от DDOS. Решение проблем.
Перейти в начало страницы         Просмотр профиля    Отправить личное сообщение
   + Цитировать сообщение
Статус пользователя bot123
сообщение 18.3.2015, 3:11
Сообщение #22


Стаж: 11 лет

Сообщений: 236
Благодарностей: 233
Полезность: 645

Fire, Это очень интересно, всегда спасал firewall, сейчас задам вопрос своему хостеру, интересно что ответит.
Перейти в начало страницы         Просмотр профиля    Отправить личное сообщение
   + Цитировать сообщение
Статус пользователя bot123
сообщение 18.3.2015, 3:30
Сообщение #23


Стаж: 11 лет

Сообщений: 236
Благодарностей: 233
Полезность: 645

Цитата
Здравствуйте,

да, может заблокировать, так как сетевой интерфейс общий у родительского сервера для всех виртуальных серверов, и, даже если вы у себя заблокируете через IPTABLES, нагрузка на сетевую карту всё-равно будет создаваться и мешать остальным.

Значит есть некоторые способы ддоса которым не обязательно иметь соединение с ОС, но в любом случае спасает от других видов атак.

И условия блокировки попросил:
Цитата
1) трафик на VDS 100 мбит/ и более
2) блокировка по мелким пакетам:
а) Если средний пакет менее 50 байт, трафик более 10 мегабит.
б) Если средний пакет более 50 байт и менее 100 байт, трафик 20 мегабит.


Отредактировал: bot123, - 18.3.2015, 3:46
Перейти в начало страницы         Просмотр профиля    Отправить личное сообщение
   + Цитировать сообщение
Статус пользователя csnet
сообщение 18.3.2015, 3:48
Сообщение #24
Стаж: 12 лет

Сообщений: 4808
Благодарностей: 3849
Полезность: 690

bot123 лучше погугли азы сетевых .
провайдер не будет ничего фильтровать, оно ему не нужно, он просто отключит впс, так как она потребляет всю полосу и даже больше.

Цитата
Если средний пакет картошки более 50 кг, я не до несу . DROP
Если пакет картошки легче 50 кг - Accept

так не следует делать

Отредактировал: csnet, - 18.3.2015, 3:55


go v cs:go
Перейти в начало страницы         Просмотр профиля    Отправить личное сообщение
   + Цитировать сообщение
Статус пользователя bot123
сообщение 18.3.2015, 21:20
Сообщение #25


Стаж: 11 лет

Сообщений: 236
Благодарностей: 233
Полезность: 645

Предложили альтернативу на хостинге
Цитата
да, можем предложить вам в тестовом режиме (бесплатно) подключить услугу – Защита от ДДос-атак. Такая возможность есть благодаря появлению у нас сетей, защищённых от паразитного флуда. Для использования защиты вам нужно обратиться с запросом в нашу службу тех. поддержки и иметь на счету средства на доп. IP-адрес, который мы подключим для проведения настроек защиты. После окончания периода тестирования потребуется обратная смена IP-адреса или перевод услуги ДДос-защита на платную основу. И тот, и другой вариант возможен опять же после вашего обращение с запросом в нашу службу технической поддержки.
Выполнить настройки вы можете сами либо мы в рамках услуги администрирования.


Отредактировал: bot123, - 18.3.2015, 21:22
Перейти в начало страницы         Просмотр профиля    Отправить личное сообщение
   + Цитировать сообщение
Статус пользователя f1nik
сообщение 18.3.2015, 22:19
Сообщение #26


Иконка группы

Стаж: 15 лет

Сообщений: 1862
Благодарностей: 932
Полезность: 1010

Я так понимаю что все мои потуги работы с трафиком никакого профита мне не принесут...(((
Спасибо всем за сочувствие и идеи))) придется ставить железяку под все свои нужды... Как раз сервер бушный нарисовался.. dl380 v4... для тс и сайта хватит наверное)
Перейти в начало страницы         Просмотр профиля    Отправить личное сообщение
   + Цитировать сообщение
Статус пользователя followX
сообщение 19.3.2015, 0:29
Сообщение #27


Стаж: 11 лет

Сообщений: 523
Благодарностей: 164
Полезность: 526

cshost.com.ua
сомниваюсь что железяка поможет, если сотку ложат, видимо там гораздо больше летит, просто вам не сказали сколько
Перейти в начало страницы         Просмотр профиля    Отправить личное сообщение
   + Цитировать сообщение
Статус пользователя Fire
сообщение 19.3.2015, 0:36
Сообщение #28


Иконка группы

Стаж: 17 лет

Сообщений: 2201
Благодарностей: 2227
Полезность: 963

Цитата(f1nik @ 19.3.2015, 0:19) *

Не в железке дело. а в канале до железки.


Администрирование серверов. Защита от DDOS. Решение проблем.
Перейти в начало страницы         Просмотр профиля    Отправить личное сообщение
   + Цитировать сообщение
Статус пользователя oxoTHuk.
сообщение 19.3.2015, 8:47
Сообщение #29


Иконка группы

Стаж: 17 лет

Сообщений: 879
Благодарностей: 515
Полезность: 867

Как уже правильно заметили, iptables заблочит траф именно до оси.
А на сетевое оборудование он будет точно так же идти, просто не дойдет до оси.
В этой ситуации, не понимаю почему провайдер не может зблочить вредный траф на сетевом обородовании, а блочит всю тачку.
Перейти в начало страницы         Просмотр профиля    Отправить личное сообщение
   + Цитировать сообщение
Статус пользователя coolman
сообщение 20.3.2015, 21:37
Сообщение #30


Стаж: 19 лет
Город: Екатеринбург

Сообщений: 1220
Благодарностей: 218
Полезность: 149

думаю стоит спросить у провайдера поподробнее о виде ддос атаки, и будет ли блокировка Ип, если вы у себя сделаете ограничения, просто если идет атака не требующая ответа от жертвы, пакеты все равно будут проходить хостера(забивая ему канал) и доходить до вашей ОС, могу помочь с настройками iptables.
Перейти в начало страницы         Просмотр профиля    Отправить личное сообщение
   + Цитировать сообщение
Статус пользователя coolman
сообщение 21.3.2015, 13:09
Сообщение #31


Стаж: 19 лет
Город: Екатеринбург

Сообщений: 1220
Благодарностей: 218
Полезность: 149

https://www.youtube.com/watch?v=mjuS_vZ2Gp4...t=RDi2DqG3njQaM
не автор случаем?(шутка)
Перейти в начало страницы         Просмотр профиля    Отправить личное сообщение
   + Цитировать сообщение
Статус пользователя kuznets92
сообщение 7.4.2015, 20:56
Сообщение #32


Стаж: 14 лет

Сообщений: 616
Благодарностей: 285
Полезность: 700

Цитата(oxoTHuk. @ 19.3.2015, 9:47) *
Как уже правильно заметили, iptables заблочит траф именно до оси.
А на сетевое оборудование он будет точно так же идти, просто не дойдет до оси.
В этой ситуации, не понимаю почему провайдер не может зблочить вредный траф на сетевом обородовании, а блочит всю тачку.


Потому что нужно еще определить какой трафик является вредным, а какой полезным.
Нужно фильтрующее оборудование, а оно больших денег стоит, и чем больше трафика нужно фильтровать, тем дороже оно будет стоить.

Отредактировал: kuznets92, - 7.4.2015, 20:57
Перейти в начало страницы         Просмотр профиля    Отправить личное сообщение
   + Цитировать сообщение
« Предыдущая тема · Linux · Следующая тема »
 
2 страниц V   1 2
 		 Ответить в данную темуНачать новую тему
 
0 пользователей и 1 гостей читают эту тему:
Режим отображения: Стандартный · Переключить на: Линейный · Переключить на: Древовидный
Сообщить другу · Версия для печати

Powered By Invision Power Board  © 2005-2026 
Counter Strike Support Community