Народ! Сталкиваюсь с тем в последнее время, что меня ддосит Гугл. Но поразмыслив и порыв этот же гугл, наткнулся на мысль, что это злоумышленник подменяет заголовки TCP пакетов (Amplified Reflection).
Понимаю, что косяк за провайдерами, которые не валидируют проходящие через их оборудование пакеты.
Интересны ваши мысли, как защититься от этого дерьма?
Внешний IP - Ваш? Провайдер сделал всё корректно!
Вы сами решаете как и какие пакеты Вам принимать, а какие - нет.
1. Пропускайте только ожидаемые пакеты на файрволе.
2. Закройте tcp/udp-релэи различных служб из-вне. Почитайте
Это веб серверы. там и почта и базы и веб и ссл порты. Все остальное закрыто. Но злоумышленники в часть сайтов (например, вордпресс) путем прохода через уязвимости, внедряют бекдоры и с типа гугловых ip начинают их исполнять. Клиент думает, что это его гугл парсит, а на самом деле не гугл.
Олег Войтенко, Сайты - клиентов. Вот пусть они и следят за ними.
Ваша задача - не допустить доступ из окружения хостинга к хост-среде (и, по возможности, проинформировать клиента в случае обнаружения подозрительной активности) и следить, чтобы процессорное время и дисковая активность была в норме.
Внедрите проактивную защиту.
