https://www.opennet.ru/openforum/vsluhforumID1/95536.html Собственно, ось дебиан. На ней запущены игровые сервера на разных портах.<br>Частенько прилетают ддосы, если ntp и dns amplification закрыты еще до серверов, то обычный udp флуд долетает нормально, причем в основном не палится в логах ядра, если только не bad udp checksum<br>Вобщем стоит зачада, чтоб не логировать все подряд, т.к это очень дохрена, включать логи только если канал загружен\перегружен. Логов много не нужно, нужно только узнавать на какой IP\Port летит траф и s.ip+s.port<br> https://www.opennet.ru/openforum/vsluhforumID1/95536.html#6 Tue, 08 Apr 2014 11:59:17 GMT &gt; дак товарисчу и надо лишь поймать факт - думаю всем понятно что <br>&gt; фильтровать дос на конечной точке безсмысленно ) <br><br>Именно, фильтровать все это дело будет другое оборудование. Важем сам факт атаки, d\sIP + d\sPORT + размер пакетов, тоже как вариант.<br><br>2erera22 -- провайдеру собственно вообще похер, как складывается впечатление, они даже флоу не делают. Прилетает 10гбит, им пнх.<br><br><br> https://www.opennet.ru/openforum/vsluhforumID1/95536.html#5 Tue, 08 Apr 2014 05:12:26 GMT &gt; Вариант номер два. Убогий.<br>&gt; Использовать системные утилиты, начиная от обработки данных с netstat (/proc/net/udp) <br>&gt; или данных фаерволла, и ... Только толку-то? Если нагрузка на сервер <br>&gt; будет значительной, фильтровать придется на вышестоящих устройствах.<br><br>дак товарисчу и надо лишь поймать факт - думаю всем понятно что фильтровать дос на конечной точке безсмысленно )<br><br> https://www.opennet.ru/openforum/vsluhforumID1/95536.html#4 Mon, 07 Apr 2014 17:15:38 GMT Вариант номер раз. Хороший.<br>Уведомить о возможном паразитном трафике своего провайдера и попросить привязать свои адреса (порты коммутатора) к его системе мониторинга. При достижении определенных лимитов высылать уведомление, либо применить автоматом некие меры. И да, провайдеру быть готовым к подобной нагрузке тоже выгодно заранее. Если это не жесткий blackhole'р, которому насрать.<br><br>Вариант номер два. Убогий.<br>Использовать системные утилиты, начиная от обработки данных с netstat (/proc/net/udp) или данных фаерволла, и ... Только толку-то? Если нагрузка на сервер будет значительной, фильтровать придется на вышестоящих устройствах.<br> https://www.opennet.ru/openforum/vsluhforumID1/95536.html#3 Mon, 07 Apr 2014 09:19:25 GMT snort и еже с ним<br>http://serverfault.com/questions/269556/udp-flood-attack-linux-server вот тут пасоны айпэтаблз юзаю - тоже по логам можно увидеть ...<br>гугл великая сила ))<br> https://www.opennet.ru/openforum/vsluhforumID1/95536.html#2 Sun, 06 Apr 2014 14:14:49 GMT &gt;&gt; только узнавать на какой IP\Port летит траф и s.ip+s.port <br>&gt; вы полагаете что флуд идет с одного айпи? про ботнеты вы вообще <br>&gt; в курсе?<br>&gt; для подобных вещей есть софтины - гугля про них знает <br><br>Нет, не полагаю. Знаю что ипов много, не исключен спуф.<br>Вероятно я не совсем верно описал, мне нужен софт который определяет такие вот аномалии, когда на сыпется очень много трафа на IP\Port<br> https://www.opennet.ru/openforum/vsluhforumID1/95536.html#1 Sun, 06 Apr 2014 13:39:28 GMT &gt; только узнавать на какой IP\Port летит траф и s.ip+s.port <br><br>вы полагаете что флуд идет с одного айпи? про ботнеты вы вообще в курсе?<br>для подобных вещей есть софтины - гугля про них знает<br>