Помогите защититься от DOS атак

Добрый вечер.

Хочу спросить совета по защите сервера (win 2003) от dos-атак злоумышленников.

Страдаем мы от этого последние 3 дня. Житья серверу нету. продуктивность страдает.

подскажите, как защитить своё детище. Софт, или ещё что?....

-----
Кто такие хакеры?

Эффективно защититься от DOS-атак (при отсутствии явнях проблем безопасности, к которым относятся, кстати, ошибка в ПО) поможет, наверное, только скоординированная работа администраторов сервера (серверов) и администрации хостинг-провайдера.
В случае если имеет место DDOS, скорее всего, это - применение аппаратных решений со стороны обслуживающего площадку тех. сервиса.

В случае, если атаки не имеют характер DDOS -
Если же у Вас нелицензионная ОС, то проблема, скорее всего, в использовании злоумышленниками какой-либо из недавно найденных уязвимостей. Хотя такому риску подвержены и лицензионные копии ОС от Майкрософт (вся беда в их политике выпуске обновлений даже для критических брешей)

Поэтому софт, скорее всего, Вас не спасет. Пожалуй, один из немногих случаев, когда он может помочь - на сервер активизировалось вредоносное ПО (и внедрило какой-нибудь бэкдор, как пример). Но это уже виднее администраторам Вашего сервера.

Посмотрите так же, не является ли причиной высокой нагрузки на сервер то, что он делает рассылки, которые не запланированы (то есть, быть может, сервер поражен вирусом, позволяющим сделать сего частью "ботнета"). В этои случае обычное сканирование антивирусной программой может помочь.

-----
Есть в мире две бесконечные вещи - это Вселенная и человеческая глупость. Но насчет первой .. я не уверен.

Благодарю за ответ.

Фактически мы сами держим сервер.
Хотелось уточнить как аппаратно можно защититься?
что для этого нужно докупить?

Винда - лицензия.

-----
Кто такие хакеры?

Вы можете (если финансовые возможности позволяют) использовать аппаратные решения Cisco:
http://www[dot]ciscolab[dot]ru/security/22-pixasa[dot]html
Но в этом случае необходимы специалисты, которые обеспечат настройку и дальнейшее обслуживание этого оборудования.
Я бы все же рекомендовал сначала исследовать причины (то есть - бреши в безопасности) и понять, каким образом злоумышленники могут организовывать атаки на сервер.

-----
Есть в мире две бесконечные вещи - это Вселенная и человеческая глупость. Но насчет первой .. я не уверен.

Отсылают большое количество пакетов-запросов.

-----
Кто такие хакеры?

С разных подсетей? (имеет место DDOS)
или с одной сети? (запрещающее правило на пакеты этой сети на фаерволе как решение)

-----
Есть в мире две бесконечные вещи - это Вселенная и человеческая глупость. Но насчет первой .. я не уверен.

Пока неизвестно.

Спасибо за помощь, будем работать.

-----
Кто такие хакеры?

Я с сервером виндовым не работал как таковым, приверженец линукса). В свое время очень сильно доссили веб-сервер, забивали канал, mysql бил ошибку. Настроил схему - фронтенд-бекенд + скриптик для отслеживания соединений больше 40 с одного айпи и последующим добавлением правила в фаервол. Сейчас даже slowloris положить не смог. Что успешно делается с другими серверами).

(Отредактировано автором: 06 Марта, 2010 - 00:36:19)

Ограничение на соединения с одного IP адреса не корректны - что, если это NAT какого-нибудь провайдера, и пользователи (добросовестные) оттуда хотят посетить Ваш ресурс?
Ограничивать нужный трафик из-за боязни ненужного, на мой взгляд, слишком расточительно.

-----
Есть в мире две бесконечные вещи - это Вселенная и человеческая глупость. Но насчет первой .. я не уверен.

выдерни шнур из сети и ничто тебе не страшно

Kerio win route ставьте и будет вам счастье.
Могу сам настроить, за умеренную плату

(Отредактировано автором: 02 Мая, 2010 - 12:15:44)

Для того чтобы заблокировать маршруты с определенных сетевых зон - можно использовать и обычную утилиту route или обычный firewall
Другое дело что со стороны маршрутизирующего узла вашего провайдера на ваш сервер также будут продолжать массово сыпаться пакеты - и соответственно запросы от реальных пользователей будут частенько висеть
Но могу заметить что полезно обезопаситься еще от одной вещи - ведь насколько известно код PHP-скрипта начинает свое исполнение после получения всех GET/POST-данных и поэтому делать ограничения на доступ в нем бесполезно - и в этом плане для защиты уже обычного брэндмауэра будет достаточно (Конечно пакеты также могут продолжать идти - но производительность сервера уже не будет тратиться на запуск PHP-скиптов которые все равно должны выдать отказ в доступе)

(Отредактировано автором: 03 Мая, 2010 - 01:50:48)

-----
Сделать можно все что угодно - нужно только старание, терпение и хороший поисковик
Безлимитный web-хостинг от 15 рублей за 40 МБ дискового пространства - http://ihost[dot]oks71[dot]ru/