есть сервак и его однотипно ддосят уже наверное год, регулярно меняя ботнеты. та часть ботнета что ддосит меня состоит обычно из 4-6 хостов и атака всегда одна и та же:
202.147.255.27.domain > 91.149.158.47.domain: [no cksum] 952+ [1au] ANY? ripe.net. ar: . OPT UDPsize=4096 OK (38)
19:44:04.576548 IP (tos 0x0, ttl 121, id 25957, offset 0, flags [DF], proto UDP (17), length 66)
задача как угодно автоматически банить такую вот хрень, можно даже по очень грубому условию в духе если больше 100 любых запросов за 10 секунд - бан на час. если сделать такое - проблема решится полностью.
вопрос - как бы не писать это самому, а взять готовое?
если готового нет, как проще всего слепить это из говна и палок
snort только что смотрел - штука замороченная, а где там написано про автоматизацию добавления правил в iptables я как-то даже и не нашел.
так же в этом треде можно подуцировать нелепые домыслы на тему того, кто и зачем нас ддосит, айпишник я спалил в общем-то специально.
айпишники хостов из ботнета тоже могу спалить без проблем.
причем по косвенным признакам, ддосить начали намного раньше, когда сервак еще никому известен небыл. он и сейчас не особо то кому-то нужен
такое впечатление, что нас ддосят за госбюджет для галочки