На форуме запущен Anti-DDOS v2.0 

Недостаток предыдущего алгоритма был в том, что между выявлением атакующего адреса и его забаниванием на всех фронтендах проходило слишком много времени, вплоть до 1 минуты, а за такое время атакующие адреса успевали посылать ещё чуть ли не по тысяче запросов каждый. Хоть они и получают в ответ 403, но всё равно их слишком много.
Теперь реализован дополнительный алгоритм ускоренного забанивания, благодаря которому каждый атакующий адрес забаниваетя в течение 3-5 секунд после обнаружения. При некотором усовершенствовании алгоритма это время можно ещё сократить до 1-2 секунд.
Ну в общем вот щас посмотрим, насколько это всё эффективно работает.

молодчик

А пакеты дропать через iptables не эффективнее? Зачем на заведомо тупой запрос дёргать веб-сервер (даже если это nginx, а не апач)?

Спасибо защитникам форума!

Angerslave писал(а) :А пакеты дропать через iptables не эффективнее?

Дропать пакеты через iptables - это самого себя ддосить!)
Потому что все правила iptables проверяются для каждого пакета последовательно. При табличке порядка 10 тысяч забаненых адресов это будет смерть фронтенду.
Поэтому баним через ip route add ... dev lo , это гораздо эффективнее.

Даешь отвоевать последний оазис свободного волеизъявления в Омске!

казнить всех атакующих

казнить пару раз...

показывай код

Показывай атакующих!

Алекс, моя подсеть походу под нож попала:
95.29.218.ххх
Можно этот диапазон в исключения добавить?
Провайдер - Билайн.

Alex, по iptables не понятно... как там себя ддосить? 10 тыщь правил... Интригующе...

obertone писал : Alex, по iptables не понятно... как там себя ддосить? 10 тыщь правил... Интригующе...

Может он имеет ввиду, что пока пакеты по всем 10 тысячам правил пробегутся, так сервак нагрузят....

Пардон, он не про правила, он про бан-лист. Но все равно интересно...