Защита от ДДОС SYN_RECV

Имеем следующее в логах

201.211.174.68 - - [04/Sep/2014:09:08:15 +0100] "GET / HTTP/1.1" 403 494 "http://94t545q48v.ua/" "Mozilla/5.0 (Windows NT 5.1; WOW64; rv:16.0) Gecko/20100101 Firefox/16.0"
77.46.223.241 - - [04/Sep/2014:09:08:15 +0100] "GET / HTTP/1.1" 403 434 "http://xw09865i.com/" "Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 5.1; Trident/4.0; SLCC2; .NET CLR 2.0.444783; .NET CLR 3.5.444783; .NET CLR 3.0.444783"
95.65.66.183 - - [04/Sep/2014:09:08:15 +0100] "GET / HTTP/1.1" 403 434 "http://le8t065p7j6s4.ru/" "Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 5.1; WOW64; Trident/4.0; SLCC2; .NET CLR 2.0.750593; .NET CLR 3.5.750593; .NET CLR 3.0.750593"
76.66.90.131 - - [04/Sep/2014:09:08:15 +0100] "GET / HTTP/1.1" 403 494 "http://ptb9825.ru/" "Mozilla/5.0 (Windows NT 6.1; rv:10.0) Gecko/20100101 Firefox/10.0"
126.19.66.226 - - [04/Sep/2014:09:08:15 +0100] "GET / HTTP/1.1" 403 494 "http://81xyzn.ru/" "Mozilla/5.0 (Windows NT 5.1; WOW64; rv:15.0) Gecko/20100101 Firefox/15.0"
188.81.12.162 - - [04/Sep/2014:09:08:15 +0100] "GET / HTTP/1.1" 403 494 "http://zrl8728eh.net/" "Mozilla/5.0 (Windows NT 6.1; WOW64; rv:9.0) Gecko/20100101 Firefox/9.0"
94.153.78.96 - - [04/Sep/2014:09:08:15 +0100] "GET / HTTP/1.1" 403 494 "http://b6ed3385.net/" "Mozilla/5.0 (Windows NT 5.1; rv:16.0) Gecko/20100101 Firefox/16.0"
217.77.215.18 - - [04/Sep/2014:09:08:15 +0100] "GET / HTTP/1.1" 403 434 "http://qb1t8ma5.ru/" "Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 6.1; Trident/4.0; SLCC2; .NET CLR 2.0.311467; .NET CLR 3.5.311467; .NET CLR 3.0.311467"
77.78.34.38 - - [04/Sep/2014:09:08:15 +0100] "GET / HTTP/1.1" 403 434 "http://43ze977r7262.ru/" "Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 5.1; Trident/4.0; SLCC2; .NET CLR 2.0.770979; .NET CLR 3.5.770979; .NET CLR 3.0.770979"
182.171.149.89 - - [04/Sep/2014:09:08:15 +0100] "GET / HTTP/1.1" 403 494 "http://z4bk9nt4wh37.ru/" "Opera/9.80 (Windows NT 6.1; WOW64; U; Edition Bangladesh Local; ru) Presto/2.10.289 Version/7.00"

Командой

netstat -n --tcp | grep SYN_RECV

Удостоверимся что у нас с подключениями

tcp 0 0 85.17.103.68:80 220.150.32.177:62386 SYN_RECV 
tcp 0 0 85.17.103.68:80 126.45.252.136:65364 SYN_RECV 
tcp 0 0 85.17.103.68:80 122.131.214.30:49731 SYN_RECV 
tcp 0 0 85.17.103.68:80 111.255.254.133:2907 SYN_RECV 
tcp 0 0 85.17.103.68:80 78.178.127.40:2584 SYN_RECV 
tcp 0 0 85.17.103.68:80 61.228.67.54:2950 SYN_RECV 

…….
или просто подсчитать количество ботов
Можем просто подсчитать количество:

netstat -n --tcp | grep SYN_RECV | wc -l

Запрещаем все рефереры через htaccess кроме проверенных (временно, на время аттаки)

RewriteCond %{HTTP_REFERER} !^http://(.*)yandex(.*)
RewriteCond %{HTTP_REFERER} !^http://(.*)google(.*)
RewriteCond %{HTTP_REFERER} !^http://(.*)mail(.*)
RewriteCond %{HTTP_REFERER} !^http://(.*)имя-вашего-сайта(.*)
RewriteRule ^$ - [L,F]

Да, и лучше разрешить себе доступ сразу по ssh, а то мало ли

iptables -A INPUT -s xx.xx.xx.xx -j ACCEPT

Ну а остальное читать внимательно тут
http://xn--c1acmkkcc1l.xn--p1ai/anti-ddos-%D0%BF%D1%80%D0%B0%D0%B2%D0%B8%D0%BB%D0%B0-iptables/
http://farmal.in/2011/07/borba-s-ddos-atakami-sredstvami-iptables-i-sysctl/
http://unixa.ru/linux/ubuntu-firewall-ufw-uncomplicated-firewall-nastroyki-i-primeryi.html
http://mtaalamu.ru/blog/92.html
http://mtaalamu.ru/blog/93.html

Обновлено: 28/01/2015 — 22:01

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *