Sergey пишет: > On Tuesday 10 April 2007, Slava Dubrovskiy wrote: > > >> Вот и нас накрыло :-) . >> В связи с этим задумались про защиту. Расскажите, кто как защищается? >> Вот пока выбираю между: >> 1. mod_evasive >> 2. mod_security >> 3. snort >> > > Я, в похожей ситуации, поступил просто: > > for RULE in `netstat -an|grep -v unix| \ > sed -e "s/^.*:80 *\(.*\):\(.*\)/-A INPUT -s \1 -j DROP/"| \ > sort|uniq -c|sort -n|egrep "[0-9]{3,7} -A"|sed -e "s/ /_/g"`; do > > echo $RULE > > RULE_R=`echo $RULE|sed -e "s/_/ /g"|sed -e "s/^.*\(-A .*\)/iptables \1/"` > > echo $RULE_R > > `$RULE_R` > done > > То есть, если число коннектов трёхзначное, IP в drop. И в крон. > А если по одному конекту с 10000 не существующих IP? -- WBR, Dubrovskiy Vyacheslav