А что можно намониторить нетстатом, когда с 5000 хостов идут запросы на какой то один из десяти веб-сайтов, хостящихся на сервере? ИМХО реалтайм анализ логов вебсервера даст больше полезной информации.

HettавторОт 10к могут просто канал забить
Если это именно ДДОС, то врядли.
Только ли в канале может возникнуть проблема? Уверен, что если страница отдается не как голимый HTML, а формируется скриптом с запросами к БД, то крах настанет значительно раньше ))

Имею в виду, крах для сервера в целом - относительно медленные скрипты с запросами к одним и тем же таблицам просто встанут в длинную очередь из-за блокировок таблиц.

Hettкак вы поддерживаете веб-сервисы в рабочем состоянии при атаках? На моих хостинговых серверах на заддосеный аккаунт просто ставится страница-заглушка в виде простого HTML. Ясен пень, проблемный сайт не работает, но остальные вполне себе живы.

Hett,

>не анализируя трафик и не блокируя зловредные сети - толку не будет
>даже при слабой атаке, поэтому я и заговорил о фаерволе - средстве
>автоматизации этого процесса

Значит, это должно быть нечто, которое анализирует запросы от каждого хоста и принимает решение разрешить/запретить этому IP взаимодействовать с сервером. Так? А на каком основании оно будет принимать решение? Допустим, в некой локальной сети 100500 хостов за натом. Некто Вася нашел что какая то страничка ресурса достойна внимания широкой общественности и кинул ссылку в популярный локальный чат. В ближайшие пару минут на сервер обрушилась туева хуча однотипных запросов с одной подсети. Вапрос: как должен отреагировать ваш файрволл на такую ситуацию? Напоминаю, ддосить никто не пытался. Просто все захотели посмотреть одну страничку ))
Posted via ActualForum NNTP Server 1.4