Начало атаки

[Lenin]

Добавьте в /etc/sysctl.conf следующие строки:

# vi /etc/sysctl.conf

# Защита от спуфинга:
net.ipv4.conf.default.rp_filter = 1
# Проверять TCP-соединение каждую минуту. Если на другой стороне - легальная машина, она сразу ответит. Дефолтовое значение - 2 часа.
net.ipv4.tcp_keepalive_time = 60
# Повторить пробу через десять секунд:
net.ipv4.tcp_keepalive_intvl = 10
# Количество проверок перед закрытием соединения:
net.ipv4.tcp_keepalive_probes = 5

 

[Дискетка]

Вообще надо убеждаться не только в запросах от одного пользователя, но и в их качестве - только по однотипности и бессвязности можно заподозрить атаку, да и то с разных IP.
Дальше - дроп: # iptables -A INPUT -s xxx.xxx.xxx.xxx -p tcp --destination-port http -j DROP и звонок провайдеру.

 

[Дискетка]

Вот, по HTTP-флуду:
# Увеличиваем максимальное количество используемых файлов
worker_rlimit_nofile 80000;
events {
# Увеличиваем максимальное количество соединений
worker_connections 65536;
# Использовать эффективный метод epoll для обработки соединений
use epoll;
}
http {
gzip off;
# Отключаем таймаут на закрытие keep-alive соединений
keepalive_timeout 0;
# Не отдавать версию nginx в заголовке ответа
server_tokens off;
# Сбрасывать соединение по таймауту
reset_timedout_connection on;
}
# Стандартные настройки для работы в качестве прокси
server {
listen 111.111.111.111 default deferred;
server_name host.com www.host.com;
log_format IP $remote_addr;
location / {
proxy_pass http://127.0.0.1/;
}
location ~* \.(jpeg|jpg|gif|png|css|js|pdf|txt|tar)$ {
root /home/www/host.com/httpdocs;
}
}

 

[Aracul]

Автору спасибо! прописал как предложили при много кратном нажатии F5 сайт блокирует!!! на деле не могу проверить, может есть статейка как проверить защиту на ДДос атаку, можете в личку отправить![Спасибо]