В сети существует множество «поваренных рецептов» о том, как построить защиту от DDoS-атак своими руками. В докладе Александра Лямина, генерального директора HLL, презентованном на конференции «Российские интернет-технологии» (РИТ++/2012), проведен подробный анализ наиболее интересных из них, названы критерии эффективности системы защиты в целом и проведена оценка возможностей как отдельных методов противодействия, так и комбинированных.
17. Iptables --string
Плюсы Минусы
Работает. Не всегда работает. (фрагментация)
Быстро. Не всегда быстро. (kmp по телу пакета)
Открытые сокеты + retransmit.
Требует conntrack.
22. NGINX testcookie_module
Плюсы Минусы
Работает. Не осуществляет блокировку.*
NGINX. Изменяет UX.
Быстро. Не работает против FBS.
Предсказуемо.
Расширяемо.
* И не должно.
34. Домашнее задание.
1. Настроенные nginx/ipset на сервере.
2. Выключенный conntrack.
3. Выделенный ip для публикуемых сервисов
4. Представление о связности хостера.