Обновить

DDoS: от алерта до выбора модели: диагностика DDoS и Always-On vs On-Demand

Уровень сложностиПростой
Время на прочтение13 мин
Охват и читатели11K
Всего голосов 12: ↑12 и ↓0+14
Комментарии1

Комментарии 1

Про Тануки на 8 марта - точный пример: наплыв реальных заказов на графике легко принять за атаку. По логам вы это уже разбираете на уровне L7, добавлю пару сигналов ниже - они за минуту разводят атаку и всплеск нагрузки.

SYN-флуд видно сразу: ss -ntp state syn-recv | wc -l - если полуоткрытых соединений тысячи, это точно не покупатели набежали. Помогает дёшево - net.ipv4.tcp_syncookies=1, но именно от SYN-флуда, не от любого DDoS.

А ещё бывает так, что выглядит как атака, а это переполнение conntrack. conntrack -C против net.netfilter.nf_conntrack_max: таблица забита - новые соединения рубятся, сервер лежит, а трафик смешной. Тут не фильтры нужны, а поднять max и укоротить таймауты. И глянуть поток tcpdump-ом - однородный ли он.

Зарегистрируйтесь на Хабре, чтобы оставить комментарий

Информация

Сайт
www.itsumma.ru
Дата регистрации
Дата основания
Численность
101–200 человек
Местоположение
Россия
Представитель
ITSumma