У меня VPS не на Xen (точно не знаю, что это за программное обеспечение).
На прошлой неделе мы испытали несколько DDOS-атак на один (или несколько) хостов, и из-за использования большей, чем обычно, полосы пропускания весь сервер был приостановлен по этой причине.
Я использую DIrectAdmin.
Есть ли автоматизированный инструмент для обнаружения DDOS-атак и приостановки хоста при возникновении особого количества атак?
Мне нужен инструмент только для мониторинга (я нашел MRTG для этой цели и установлю его, как только сервер будет отключен)
Пожалуйста, посоветуйте мне лучшее решение.
Первое, что вам нужно сделать, это собрать правильную информацию об атаке, будь то DDOS или что-то еще. Хотя вполне возможно, что вы являетесь целью этой атаки, столь же вероятно, что ваша собственная система является источником этих атак, особенно если вы используете любую систему CMS массового распространения. (Вы сказали, что используете DirectAdmin ...)
Вы можете записать дневной трафик примерно так:
tcpdump -w file -G 60 -W 1440 -s0 -p -C 5
Это должно сказать вам, нужно ли вам писать собственный автоматизированный скрипт харакири. Понятно, что поскольку это довольно отчаянная мера, вы ее не найдете.
Если вы являетесь источником DDOS, то, ну, вы не можете ожидать большого сочувствия от вашего хоста - узнайте, что работает в вашей системе, и убейте его.
Если вы являетесь целью DDOS, вы можете ответить (или не ответить) соответствующим образом, остановив поток трафика. Если вы уже не отвечаете, то единственное, что вы можете сделать, это спрятаться в своей оболочке ... вы можете попробовать это, если думаете, что ваш противник уйдет через 10 минут:
screen # don't stay dead on shell hang-up
/etc/init.d/networking stop; sleep 600 ; /etc/init.d/networking start
Если у вас несколько IP-адресов, то удаление только целевого IP-адреса должно помочь.
Ваш провайдер может что-то сделать для отслеживания источника атак, но не задерживайте дыхание.