Изящно, неплохой способ.

Как мило. Не спасет от хабраэффекта, но от ботов — должно помочь. Однозначный плюс.

Элегантное решение, вот она — админская смекалка

Вы недооцениваете ботов. Ботов пишут люди, а люди читают хабр =)

"GET http://www.lib.rus.ec/  HTTP/1.0\r\n\r\n"

"Cookie: type=this-is-not-bot\r\n"

Разумеется это все рассыпается прахом, когда ДДоС поток идет в 10раз большим потоком, чем ширина канала =(

Сам имел и имею, проблему с dDos'ом одного из моих серверов, сначала помог nginx + html cache, когда это уже начало прогинаться, сделал элегантное решение, http авторизацию(в месаге выводил логин и пароль), тоже особо не помогло, человек быстро смекнул и начал досить другие ресурсы на этом же сервере, дальше решил поставить ограничение на кол-во сессий с Ip адресса, так потом родился скрипт на перле ( который Павел devart.habrahabr.ru уже упоминал на хабре)
#!/usr/bin/perl

use strict;

my @BAD_BROWSERS = (
'ZyBorg',
'vaginamook@inktomi.com',
'FAST-WebCrawler/3.8',
'www\.lolyousuck\.com',
'rev1.51',
'Linux 2.6.15-1.2054_FC1',
'Opera/9.002',
'Gecko/20061204 Firefox/2.0.0.0.1',
'Mozilla/4.75.09',
'iOpus-I-N',
'FreeBSD i366',
'Chronne/0.4.154.25',
'en1',
'Firefox/2.0.0.199',
'Firefox/1.5.0.2',
'QXW03416',
'Windows NT 6.9',
);

my %banned = {};
while ( <> )
{
my ( $ip, $date, $core, $request, $browser ) = m/^(.*?) .*? .*? (\[.*?\]) (\d+) "(.*?)" .*? ".*?" "(.*?)" ".*?"$/;
for my $bad_browser ( @BAD_BROWSERS )
{
next if exists $banned{$ip};
if ( $browser =~ m/$bad_browser/ )
{
$banned{$ip} = $bad_browser;
print «Banning $ip [browser match $bad_browser: $browser]\n»;
#system( «iptables -A INPUT -p tcp -m tcp -s $ip -i eth0 --dport 80 -j DROP» );
system( «ip route add blackhole $ip» );
}
}
}
Если посмотреть на этот скрипт, то он тоже преобретал революцию, сначала я делал записи в Iptables, но к сожалению он в итоге давал сильную нагрузку, а роут в блекхол, помог :) Так же как видите почему то в ботнете который меня атаковал, не оригинальные User-agent'ы браузеров, и слегка изменённые.
Это меня и спасло. Плюс очень долго крутил настройки апача, мускуля, и нгинкса, дабы подобрать конфигурацию, которая будет более оптимальная.
Но теперь мы с Пашей столкнулись со следущей проблемой:
Наш форум заупячивают, на неком сайте(http://upyachkaplus.ru/), непонятный человек разместил предложение «засрать» ресурс до неузноваемости… Итог 2 дня выгребали хлам из форума, пришлось отключать на время регистрацию :( Есть множество видов атак, сделать сервер недоступным, захламить сайт, ну или же тупо сломать… Когда конкуренты понимают, что не смогут отбить у фирм/людей, клиентов, то они и прибегают к таким грязным методам, что честно говоря очень жаль… :(

Это защита от ботов, а не от ДДОСа

достаточно с 20к машин одновременно отправить запрос на установку соединения и вся ваша балалайка накроется медным тазом

а вообще нужно серваки тюнить нормально, а не велосипеды изобретать

у нормальных хостеров есть услуга, защита от ддос, стоит совсем скромных денег

Ах, какая наивность…
Если и поможет, то очень временно.

только вот если будут валить запросы на 80-й порт, то netfilter может спокойно сожрать все ресурсы… "-m string" достаточно тяжелая штука.

боты понимают кукисы уже очень давно, особенно в этом преуспели боты сеошников, парсящие всевозможные статистики

Сделаете вы исключение для поисковых роботов, прикинется ддос бот таким роботом и сайт ляжет :) Гораздо грамотнее уже limit_req крутить :) Заметка не тянет даже на базовую :)

n кол-во одновременных соединений, которые не закрываются сразу и сервак накроет

Тут небольшой алгоритм защиты от ДДоса — тезисы доклада на хайлоаде
www.highload.ru/papers2009/12217.html

не все так просто, как автор пишет, куки это только один шаг. помимо его
— закручивание гаек на nginx
— поиск странных заголовков
— отслеживание активности
— куки конечно
— отрубать заграничный трафик
— отдавать атаку кому-то стороннему — пусть они мучаются

Мне только одно интересно — автор-то проверял эту схему, перед тем, как запостить? :-)

от siege не спасёт — 2-3 siege бота повалят вам эту заглушку…

Я просто забыл написать продолжение истории :) Http://highloadlab.ru в итоге меня спас, бесплатно предоставляют защиту от ддоса :) Всё честно и нормально. Так же, как потом, узнал там работает один мой знакомый с прошлой работы :)

Мне интересно, из плюсующих хоть кто-нибудь попробовал эту строчку? Само по себе решение не работает. Если и работало, то правил там должно быть много разных.

Забавное quick&dirty решение для самой простой атаки ботами. Думаю не самый плохой первый шаг в борьбе с атакующими, но сам подход — отделить легальный траф от нелегального локально путём проверки умеет ли он принимать куки достаточно примитивен. С предложенным механизмом фильтрации даже неумеющие работать с куки боты на отдаче заглушки всем подряд вполне смогут долблением на заглушку просто сожрать весь канал. Даже с параметрозависисмой кукой если цель атакующего завалить сайт малым кол-вом тяжелых запросов то что ему помешает получить валидную куку для десятка атакующих ботов и завалить сайт этой малой кучкой, ведь после валидации дальнейшей проверки в данном случае не предусмотрено. Плюс не стоит забывать что атаку как правило мониторят с обеих сторон — все современные DDOS боты имеют инструменты оценки успешности атаки и не сумев достигнуть результата атакующий будет модернизировать запросы либо вполне может переключиться на другие методики. Предлагаемая метода это баловство, давайте уж тогда просто поставим на сайт BasicAuth с регулярной сменой пароля, боты не умеющие принимать куки наверняка и пароли вводить не умеют хех.

Тут надо бы как минимум докручивать чего-то для самой проверки «ботовости» (капча или js) и кука параметрозависимая и динамически изменяющаяся + блеклистинг по активности, без него вообще успешно отразить DDoS нереально имхо. Если память не изменяет для nginx есть очень быстрый функционал хеширования/шифрования позволяющий устанавливать валидационные куки и так же быстро проверять валидность. Есть скрипты для анализа логов и автоблеклистинга атакующих машин. Допилить побольше правил и HTTP атака на ресурсы уже не грозит. Дальше атакующий переключится на низкоуровневые атаки и защищаться надо будет совсем иначе

Я не очень хорошо шарю в системной безопасности, но у меня есть вопрос-предложение, как оставить сайт работающим для постоянных посетителей (для сайтов, где трафик имеет большой процент возвратов).

Придумать методику, когда мы вычленяем посетителя от бота. Например выполнение сложного действия или срок пребывания на сайте. И всех, кто евент проходит мы записываем в БД доверенных ip адресов.

Ура, теперь, когда на сайт обрушится атака, мы сможем продолжать работать для постоянных посетителей.