Alexander Shepetko wrote: > rvadmin wrote: > >>>> Я понял. Я просматривал ngrep и сам коннектился к сайту. Мои запросы - >>>> были с ответами апача, а остальные - без. >>>> Тогда как работает правило iptables? >>>> Позволяет устанавливать логическое соединение, но игнорирует запросы? >>>> >>>> >>> Что значит "логическое соединение"? >>> >>> >> То, что отличает TCP от UDP >> через UDP пакет отправляется, и пофиг, дойдет он или нет >> а TCP - сначала устанавливаю соединение - а потом отправляю пакет. >> > Так ведь, при установке TCP-соединения пакет, содержащий запрос на > соединение, > тоже адресуется на 80-й порт. Стало быть, при срабатывании правила фаервола, > режущего всё приходящее на 80-й порт, он тоже должен фильтроваться. > У Вас в правиле вообще сказано, чтоб все пакеты с определенного ИП дропились > независимо от порта назначения. > Насколько я понимаю, пакеты, приходящие на сетевой интерфейс Вашего сервера, > в > любом случае поступают в обработку ядром. Другое дело, что они не доходят до > процесса апача. Это дает возможность уменьшить трафик за счет исключения > ответов > апачем, но входящий трафик все равно будет. Вот вам и загрузка канала. Пусть > меньшая, чем если бы апач отвечал, но она есть. > У меня нет опыта борьбы с ddos-атаками, но мне кажется, что в вашем случае > чуть > ли не единственный выход - обратиться, как было сказано ранее, к провайдеру, > чтоб он зарубил весь нежелательный для вас трафик. > Понимаете, ботнет постоянно просыпается, и атака идет с новых адресов. Провайдер же не запустит мой скрипт у себя :) ну разве что для экономии канала можно запостить им то, что уже собрал...
-- ubuntu-ru mailing list ubuntu-ru@lists.ubuntu.com https://lists.ubuntu.com/mailman/listinfo/ubuntu-ru