El Jueves 03 Junio 2010, carlopmart escribió:
En serio. Lo que comenta Jose Maria yo ya lo probé en su dia con un ataque DDoS real y el apache murió ... literalmente y eso que estaba en un señor servidor configurado por alguien que sabe muchísimo de tuning apache y murió igual. La solución que implantamos: QoS, firewall, IPS en cluster y TAPs de capturas de tráfico. Resultado: ni un cuelgue más y hemos sufrido más ataques ... Hombre no digo que en este caso se deba montar un cluster IPS ni TAPs, pero que un HIDS con iptables lo sigo viendo muchísimo más eficiente que hacer gestinar esto al apache. Como dije antes soy de la opinión que el apache se ponga a servir páginas y aplicativos y de la seguridad que se encarguen otros que están mejor capacitados ...
Saludos.
* Lo que es evidente es que no te leiste la respuesta, a estas alturas ya vas soportando el DDos con media docena de tecnicas a las que el 99% de los usuarios y empresas ni le interesan ni las implementaran por no estar en relacion con su infraestructura, medios ni necesidades de uptime y en lo que comentas insistes en local, lo cual ni tu ni Google ni Yahoo han conseguido, en un DDos de lo que se trata es de que no te saturen las lineas principales, en resumen deshacerte de las conexiones chungas lo antes posible y de rebote de muchas buenas por supuesto, apache muere si tu le dejas morir, lo unico que se puede hacer es lo mismo que el atacante distribuir el palo a servidores de sacrificio en terceras ip y con anchos de banda contratados preventivamente a tal efecto, cuando google sufre un ddos tiene a media docena de empresas al lado soportando el asunto, akamai, etc ...etc, con centenares de Gb/s disponibles. * Lo que tiene que hacer el que pregunta es lo que le he dicho si el ataque es desde pocas ips, con especial atencion a lo que le he comentado de cerrar la conexion si es un ddos desde muchas ips e irse a comer, por que me apuesto un cafe con leche a que el ancho de banda de este caballero no supera una T1 y ese es el problema no apache. * Y en tu caso cuando sufras un DDos en serio no de cuatro cantamañanas entrenandose para asaltar una pieza de mayor envergadura mediatica, ten preparado el asunto de la excavadora para cuando llamen tus clientes.