Я совершенно не мог использовать свой сервер последние пару дней. Я связывался с владельцами IP, которые нападают на меня, но это тяжелая битва. Поскольку я не знаю, кто атакует, что я могу сделать, чтобы остановить атаку?
Я уже разговаривал с центром colocation, и они сказали мне, что они не делают никаких мер по устранению ddos (хотя у меня есть список IP-адресов до того, как мой сервер вышел из строя).
Я подумал о пересылке пакетов некоторым меньшим хостам, которые атакуют в надежде, что они выйдут из строя, но мне действительно не нравится идея стрелять в мессенджер. Я не понимаю, почему компании, размещающие IP-адреса, ничего не делают, чтобы это остановить. Помогите!
Это сложная проблема. Есть компании (вроде http://www.prolexic.com/), которые могут вам в этом помочь, но будут стоить недешево. Учитывая, что вы сказали «мой сервер» в своем вопросе, это говорит мне о том, что ваш сайт меньше, и у вас может не быть ресурсов для привлечения такой компании, как они.
Вы знаете, как они на вас нападают? Можете ли вы добраться до консоли своего сервера и настроить iptables (при условии, что Linux) отбрасывает трафик с IP-адресов-нарушителей? Если Linux, вы включили TCP syncookies? echo 1 > /proc/sys/net/ipv4/tcp_syncookies
.
Вы уверены, что это не неправильная конфигурация сервера? Если у вас слишком высокое значение MaxClients в Apache, это может привести к переключению машины, что фактически будет DDOS при достаточном количестве подключений. (Добавьте к этому утечку памяти и результатом будет катастрофа.)
Довольно часто крупные DDOS-атаки насыщают входящие сетевые ссылки. Учитывая, что ваш провайдер на самом деле не обеспокоен этим, это не такая уж большая атака. Ваш сайт возвращается в онлайн после перезагрузки только для того, чтобы вскоре после этого работать? Это может быть просто проблема конфигурации вашего MaxClients.
Частичное решение: предлагает ли ваш Colo дополнительную услугу аппаратного межсетевого экрана? Если они это сделают, может быть хорошей идеей потратить $ и попросить их настроить и заблокировать IP-адреса.
Вам может быть интересно http://www.dshield.org/howto.html
Удачи.