Τι κάνεις άραγε όταν σου επιτίθεται ένα botnet τέτοιων διαστάσεων;
Κι ακόμη χειρότερα, τι κάνεις όταν δε μπορείς να το ξεχωρίσεις εύκολα γιατί κάνει legitimate traffic, δηλαδή συνηθισμένα http requests για το /index.php που έχεις στον web server σου;
Don't fear the penguin 
Passive os fingerprint, kai to stavro sou :-)
Αστα να πάνε…
Μέχρι στιγμής το μόνο που κάνει δουλειά είναι το fail2ban ..
Θα δοκιμάσω και το mod_evasive που βρήκα τώρα, αν και το fail2ban είναι πιο generic..
Το πρόβλημα δεν είναι ότι σου την πέφτουν 1, 2, 5, 10 IP από fat-pipes για να σε γονατίσουν.. Είναι ότι σου την πέφτουνε χιλιάδες διαφορετικά με σχετικά μεγάλη χρονική διαφορά μέχρι να επανέλθουν (οπότε με τη στενή έννοια δεν κάνουν τίποτα κακό), αλλά λόγω του πλήθους σε γονατίζουν..
Και ανά δυο requests, αλλάζει και το UserAgent ..
Μόνο 400K hosts; Εδώ υπάρχουν μέχρι και 18Μ… Αυτό μου θυμίζει τις εποχές 10+ χρόνια πριν που η Panix.com είχε βγει offline:
http://www.interesting-people.org/archives/interesting-people/199609/msg00018.html
..και ενώ φαίνεται ότι έχει σταματήσει (μέχρι την επόμενη φορά)
μπορώ να πω ότι ..1500 διαφορετικές IP μέσα σε 1 ώρα, ανεβάζουν load 50 σ’ένα P4 @2GHz αν δεν κάνεις κάτι..
Μακριά από μας..
What a Botnet looks like.