Vlákno názorů k článku DDoS útok na servery Internet Info: pohled administrátora od r0ver - Treba? http://www.funtoo.org/Slowloris_DOS_Mitigation_Guide

Problém běžných řešení je, že počítají spojení na IP adresu a pak ji případně zaříznou. To funguje, pokud se útok pouští z jednoho nebo několika málo počítačů (což pro Slowloris obvykle stačí).

Tady ale byly ve hře stovky tisíc adres z celého světa a z každé přišlo jen pár požadavků. To se hodně blíží běžnému provozu a klasické limity na to neplatí (jak bylo popsáno v článku).

Kolik požadavků vygenerovala každá taková IP adresa za celou dobu útoku? Určitě neútočily boty z ad-hoc IP adres. Nevím, zda existuje hotové řešení postavené na dynamickém blokování IP adres na základě nastaveného limitu spojení za určitou dobu, možná by to ale pomohlo.

Ještě jeden dotaz: byly nějaké útoky i z IPv6?

Rekordni IP adresa drzela 5300 spojeni, ale vetsina maximalne desitky.

Z IPv6 jsem zadny utok nezaznamenal. Tipuji, ze zarizeni co nejak umi IPv6 jsou lepe zabezpecena, pripadne jsou pripojena do siti jejichz spravci se prece jen vice zajimaji o to co se u nich deje a sit si procistuji.

Mimochodem tohle nastaveni:

iptables -A INPUT -p tcp --syn --dport 80 -m connlimit --connlimit-above 100 -j DROP

byt je samozrejme ucinne, dokaze pri velkem poctu pps slusne utavit masinu.