ддос и фтп

[cyberianbrain]

Делаю сайт и за ранее знаю, что на него будут нападать конкуренты.
Будут ломать фтп и возможно будут ддосить.

По ддосу думаю, что можно отсеять часть айпишников разных стран, т.е. запретить доступ всем айпи кроме указанного интервала от и до. Каким способом это лучше всего реализовать и будет ли это эффективно при не очень широком диапазоне допустимых айпи?

Что делать с взломом фтп? Может если 5 раз за минуту неправильно введен пароль с любого айпи, то закрывается доступ к фтп вообще на пол часа? Как такое можно реализовать?

Может есть какая хостинговая компания, которая обеспечивает безопасность от таких атак? Может лучше под это сервер надо?
Вот гугла и яндекса же нельзя заддосить? Почему?

Может еще какие есть толковые способы?:corn:

 

[Mr.Di]

ставь дед, выбирай приличный ДЦ, желательно за бугром, ибо там особо закрывают глаза на траф и оборудование посерьезней стоит =\

 

[Ar3s]

курите статьи. Там много воды, но есть и правильные подходы с готовыми конфигами и примерами.

 

[cyberianbrain]

вопрос вот в чем
я так почитал, послушал мнения людей по этому поводу и понял, что если у противников достаточно бабла и мотивации чтоб валить сервак, а это так и есть, то любой покупной сервер с всякими ддос защитами, даже железными будет лежать.
правильно?
так какой тогда смысл вываливать такую кучу бабла на сервак и защиту, если результат будет такой же, как от дешевого хостинга за $0,99 в мес?
понимая это, я не знаю что делать.
у меня нет реального решения. :bang:

 

[profeto]

так какой тогда смысл вываливать такую кучу бабла на сервак и защиту, если результат будет такой же, как от дешевого хостинга за $0,99 в мес?

Чем серьезнее защита, тем больше денег потребуется конкуренту, чтобы вас завалить. А на хостинге за $0,99 после мало-мальски слабого хттп-флуда вас "попросят" уйти, либо просто заблокируют аккаунт.

 

[Fallen]

Тут в комментах нашел довольно интересную вещь.Долго думал как реализовать подобное.И нашел готовое решение.

      #!/usr/bin/perl

      use strict;

      my @BAD_BROWSERS = (
      'ZyBorg',
      'vaginamook@inktomi.com',
      'FAST-WebCrawler/3.8',
      'www\.lolyousuck\.com',
      'Opera/9.02',
      'Gecko/20061204 Firefox/2.0.0.1',
      'Mozilla/4.75',
      );


      my %banned = {};
      while ( <> )
      {
      my ( $ip, $date, $core, $request, $browser ) = m/^(.*?) .*? .*? (\[.*?\]) (\d+) "(.*?)" .*? ".*?" "(.*?)" ".*?"$/;
      for my $bad_browser ( @BAD_BROWSERS )
      {
      next if exists $banned{$ip};
      if ( $browser =~ m/$bad_browser/ )
      {
      $banned{$ip} = $bad_browser;
      print "Banning $ip [browser match $bad_browser: $browser]\n";
      system( "iptables -A INPUT -p tcp -m tcp -s $ip -i eth0 --dport 80 -j DROP" );
      }
      }
      }

где пункт

      ZyBorg',
      'vaginamook@inktomi.com',
      'FAST-WebCrawler/3.8',
      'www\.lolyousuck\.com',
      'Opera/9.02',
      'Gecko/20061204 Firefox/2.0.0.1',
      'Mozilla/4.75',
      );

Смотрим в логах какие у ботов прописаны юзер агенты,и вносим их.Разумеется кто работает с серьезным заказом и собственноручно написанным ботом сразу сменит юзерагент.Но от паблика и оленей всех мастей спасет.
Скрипт как видишь через iptables работает.

 

[cyberianbrain]

хехе
прикалываешься? )))
у меня вот спамилка и к ней специальный список 13,5к юзерагентов разных
по юзерагентам банить не пойдет
в общем решение такое, если начнется атака, то съедем на сервак йесхоста с защитой от ддос по необходимости

 

[profeto]

http://hll.msu.ru
Бесплатно помогут при ддос-атаках)))