Har du ingen fysisk brandvägg med stöd för dos? Annars kan du få låna en av Halon för utvärdering i 30 dagar utan kostnad. Dom har ett bra dos skydd och lite annat godis i sig.

Jag ska höra med Halon, annars har jag sett denna: http://www.intruguard.com/
Eller finns det fler?

Det du behöver göra är att filtrera trafiken innan de når dina servrar.
Du måste logga trafiken och analysera hur du kan blockera dem. om alla t.ex. har en unik user agent skulle du kunna enkelt spara ner dem alla och blockera dem i en brandvägg som står innan dina webbservrar. problemet med den typ av attack du är utsatt för är att om du blockerar 5000 ip, så har de snart 5000 nya ip att attackera från, det finns snorungar med enormt stora "botnät" på IRC som bara behöver ge ett litet kort kommando i en kanal för att "flooda" en viss URL.

Det ända lösningen är att antingen stänga ner servrarna en stund så de tröttnar eller filtrera bort den framför dina webbservrar, då det inte bara går att stänga ner port 80 så måste du antingen plocka ut en lista och blockera varje ip eller automatiskt blockera dem baserat av http throttle.

Borde det inte vara simpelt att sätta att efter XX requests /min så blockas den ip'n temporärt i XX min/tim.
Dvs auto mode.

i pfsense har jag satt:
Maximum state entries per host: 70
Maximum new connections / per second (jag antar att det är per IP): 15/5
State Timeout in seconds: tomt (eller ska man ha 5s här )

Och det verkar fungera rätt bra. Någon som har funderingar eller förbättringar på dessa inställningar?

Ser väll bra ut, nått som är bra också är ifall du märker att du blir ddos'ad så kan du dra åt snaran extra för tillfället.

15/5, är det 15 anslutningar per 5 sek?

Det stämmer, och pfsense verkar fungera väldigt bra just nu med dessa inställningar mot ddos.

Fast Halon för väl inget nytt under solen, det är väl Linux/Freebsd med iptables och netfilter? Eller kan patrikweb rätta mig?

Nästan alla brandväggar bygger på liknande, att betala pengar för en brandvägg är ju endast för att få något som blinkar sätt och kanske ett häftigt GUI.

Visst du får ju hårdvaran med, fast ska man se kostnaden så är det inte värt.

Men till din fråga om DDoS, hur ser trafiken ut?

Är det endast SYN paket eller skapar dom en full connection?

Viktigaste är kolla hur paketet ser ut i innehåll, skickar dom några headar?

Normalt så skickar dom aldrig några useragent eller liknande vilket gör det lätt att identifera och droppa.

Så normalt blir paketstorleken mycket lägre än legtima anslutningar vilket gör att du skulle kunnat skapa ett filter som droppar paket som är under en viss storlek mot port 80. Annars får du hitta ett mönster och sedan skapa ett L7 filter för matcha och droppa.

Det droppas av kernel innan det ens paketet behandlas på något sätt, så blir ändå minimal belastning. Så med ett någorlunda modern maskin så skulle det inte vara några problem att droppa några 100Mbit.