Хабр Курсы для всех
РЕКЛАМА
Практикум, Хекслет, SkyPro, авторские курсы — собрали всех и попросили скидки. Осталось выбрать!
Хабр доступен 24/7 благодаря поддержке друзей
Комментарии 117
Потерял я за все пять дней, но не в сумме дело. Списал это на оплату, за драгоценный опыт. В следующий раз буду действовать более четко, чего и вам желаю.
Большинство популярных хостеров (виртуальный хостинг, Россия) не будут «ковыряться в настройках» — гораздо проще и выгоднее избавиться от такого сайта, отключить.
Да, именно так и произошло в конце концов… И конечно, лучше в такой ситуации знать, что делать, а не панически гуглить.
Некоторые совсем выключают, некоторые делают гуманнее. У .masterhost'а, например, есть карантинный сервер, на котором порезан весь зарубежный трафик. Это регулярно спасает людей от полной задницы.
А я думал тут будет практическое пособие по настройкам ОС от ДДоС-а… что, где, как и зачем «крутить»… Или — как фильтрующий прокси там создать…
Если DDoS сильный и забивает канал запросами, то в любом случае сэкономить не получится. Для прокси нужен не дешевый сервер с широченным каналом и множеством свободного места для логов.
Может даже по стоимости будет более выгодно воспользоваться уже готовыми решениями, чем самому такой серв содержать.
Может даже по стоимости будет более выгодно воспользоваться уже готовыми решениями, чем самому такой серв содержать.
и множеством свободного места для логов
А толку их вообще в таких случае записывать? Только диски нагружать.
Анализ адресов атакующих. В случае серьёзного ДДоСа правильный хостинг может обратиться к своим аплинкам с просьбой заблокировать некоторую часть трафика, даже если не сможет разобраться с атакой сам. Блокировка в этом случае может затрагивать сразу страны (скажем, если 30% ботов из Бразилии, а атакуемый сайт рассчитан на рунет).
Можно подходить к проблеме с другой стороны — оптимизировать изначально движок, чтобы это была, скажем, nginx/Cherokee + uWSGI + Django + MongoDB/CouchDB, при ДДОСе по-быстрому заказываются дополнительные серверы ну и часть нагрузки отдаётся на них
ну, и конечно, мой любимый совет — хоститься в hetzner www.hetzner.de/en/hosting/produktmatrix/rootserver-produktmatrix-eq, а не у российских хостеров с их хилыми сервачками и завышенными ценами
ну, и конечно, мой любимый совет — хоститься в hetzner www.hetzner.de/en/hosting/produktmatrix/rootserver-produktmatrix-eq, а не у российских хостеров с их хилыми сервачками и завышенными ценами
Согласен, большинство крупных европейских и американский компаний имеют хорошую, дорогую аппаратную защиту от DDoS.
сам с ДДОСом не сталкивался, но вообще, они не должны угрожать отключением: у них же написано
*There are no charges for overage. We will permanently restrict the connection speed to 10 MBit/s if more than 5000 GB/month are used. 100 MBit/s speed can be optionally restored by committing to pay 6,90 € (incl. VAT) per additional TB used.
Плз, прокомментируйте, кто сталкивался…
*There are no charges for overage. We will permanently restrict the connection speed to 10 MBit/s if more than 5000 GB/month are used. 100 MBit/s speed can be optionally restored by committing to pay 6,90 € (incl. VAT) per additional TB used.
Плз, прокомментируйте, кто сталкивался…
100 мегабит это мало. Главное определись, что будешь делать, когда начнется DDoS и живи спокойно. Можешь у их суппорта даже уточнить, что они делают в таком случае.
Не могу часто комментировать (с отрицательной кармой не дают комментировать чаще, чем раз в час, такие тут на хабре порядки ^^) ), поэтому отвечу здесь на все сообщения:
PlatinumArcade,
да, это мало, могут вообщем-то забить весь канал, но на сайте есть опция заказать 1 GBit-Port (10 TB inclusive traffic) за 39 €. (после 10Тб также 6,90 € (incl. VAT) per additional TB ). Этого ведь должно хватить в большинстве случаев, канал не забьют?
Если вдруг у меня начнётся DDOS и потребуются какие-то большие суммы на борьбу с этим — возможно, мне будет выгоднее отключить те сайты, которые ддосят, остальные рассадить по разным ипам на другие серверы. Ну а что, в любом магазине в реальной жизни бывают дни, когда магазин закрыт, почему в интернете такое не может быть? :-)
но вообще, дц должен железку предлагать с таких случаях, надо будет уточнить в hetzner что они думают об этом…
syncsync:
а это реселлер так написал или реселлеру сам hetzner? не до конца понимаю, а какая им там разница, большая или нет нагрузка на сервер, если за трафик и сервер платить? почему их беспокоит это, там сервер что ли перегреется и развалится от большой нагрузки?
Bkmz:
а если нравится hetzner потому что хорошее соотношение цена/качество (переносить от них куда-нибудь ничего бы не хотелось), какой самый правильный метод борьбы с ddos'ом если вдруг случится? Заказать сервер в другой дц, там же железку для борьбы с ДДОСом к нему и использовать это как прокси перед hetzner'ом или как в данном случае логичнее/лучше/дешевле будет?
PlatinumArcade,
да, это мало, могут вообщем-то забить весь канал, но на сайте есть опция заказать 1 GBit-Port (10 TB inclusive traffic) за 39 €. (после 10Тб также 6,90 € (incl. VAT) per additional TB ). Этого ведь должно хватить в большинстве случаев, канал не забьют?
Если вдруг у меня начнётся DDOS и потребуются какие-то большие суммы на борьбу с этим — возможно, мне будет выгоднее отключить те сайты, которые ддосят, остальные рассадить по разным ипам на другие серверы. Ну а что, в любом магазине в реальной жизни бывают дни, когда магазин закрыт, почему в интернете такое не может быть? :-)
но вообще, дц должен железку предлагать с таких случаях, надо будет уточнить в hetzner что они думают об этом…
syncsync:
а это реселлер так написал или реселлеру сам hetzner? не до конца понимаю, а какая им там разница, большая или нет нагрузка на сервер, если за трафик и сервер платить? почему их беспокоит это, там сервер что ли перегреется и развалится от большой нагрузки?
Bkmz:
а если нравится hetzner потому что хорошее соотношение цена/качество (переносить от них куда-нибудь ничего бы не хотелось), какой самый правильный метод борьбы с ddos'ом если вдруг случится? Заказать сервер в другой дц, там же железку для борьбы с ДДОСом к нему и использовать это как прокси перед hetzner'ом или как в данном случае логичнее/лучше/дешевле будет?
Самый нормальный способ, это настроить nginx, настроить на нем кеширование для гостей. Это первый уровень. Если его не хватит, настраиваете фаерволл. Внизу давал ссылку. Данные методы у меня нормально себя чувствовали на 25к ипов.
Сап мне так откомментировал, перед отключением сайта «iptables дохнет, дохрена запросов к фронтенду».
Когда я защитился проксированием — проксик сказал, что дует 450 мегабит по http + 150 мегабит по UDP. А у меня на старом месте было 100 мегабит.
А вышеприведенная инфа касается оплаты за перерасход траффика.
И Hetzner в этом смысле поступает разумно и доброжелательно, автоматически ограничивая ширину клиенсткого порта, а не выписывая ультимативный многотысячный счёт за перерасход траффика.
Ну раз не сталкивались, не советуйте.
Я, правда в прошлом году, попадался на них… На загрузку канала какбы не очень важно, они по kpps смотрят. Создают тикет, показывают сколько чего на вас валится, и говорят, если в течении суток атака усилится или не прекратится, то ваш IP закроют на их первом Juniper'е.
Но имея другие сервера у них, к этом можно спокойно подключаться.
Я, правда в прошлом году, попадался на них… На загрузку канала какбы не очень важно, они по kpps смотрят. Создают тикет, показывают сколько чего на вас валится, и говорят, если в течении суток атака усилится или не прекратится, то ваш IP закроют на их первом Juniper'е.
Но имея другие сервера у них, к этом можно спокойно подключаться.
откуда данные про Hetzner? из личного опыта?
нам их как-раз таки рекомендовали в числе прочих
нам их как-раз таки рекомендовали в числе прочих
Оптимизация имхо нужна при syn или httpd флуде с толстым каналом (хотя помимо оптимизации яб посоветовал еще и кластер с Vyatta с парой аплинков и iBGP). У большинства сервантов сегодня 100Мбит труба что забивается ботнетом 30-40к.
Все системные настройки делает суппорт хостинга
ТОЛЬКО, если у вас шаред хостинг. VPS\VDS\Dedicated вы занимаетесь настройками.
2. Если хостер ковырялся в настройках ОС «пиццот» часов (для вас они покажутся вечностью) и ничего не смог сделать, то это не всегда означает, что он криворукий. Это может значить, что сервер не справляется с таким количеством запросов. Так же об этом может свидетельствовать «дырявый» пинг к вашему сайту.
По своему, и горькому и не очень, опыту знаю, что если идет HTTP-Flood. отбить его можно всегда. Нужны руки.
habreffect.ru/files/173/be10a893f/hetzneqpq_1.png
смотрим картинку. А теперь. В пиках, было 25к ботов не в единицу времени но за минуту точно собиралось столько. GET / и GET /captcha.php был. Проблем ну нисколько не было. Причем, как видно из названия, сервер находится в хетзнере, и проблем особых не возникает.
habreffect.ru/files/a30/cf674396d/hetzneoxo.png
А вот загрузка CPU. При таких нагрузках. К сожалению, не сохранял нагрузку на Apache, но я думаю все и так понятно, если отданных данных не много, и CPU не загружен, но 25к запросов в секунду сервер прожевывает не поперхнувшись.
PS. раз выпала такая возможность, пропиарю свою инструкцию по защите: защита от ddos
Я там описал не все что использую, а самые основные и действенные методы.
ТОЛЬКО, если у вас шаред хостинг. VPS\VDS\Dedicated вы занимаетесь настройками.
Ну не знаю, мне и выделенный сервер настраивал суппорт, т.к. я в настройках не соображаю.
Это всё равно что водитель — он может хорошо водить машину, но совсем не знать, как её отремонтировать, т.к. этим занимается СТО.
Спасибо за ссылку
Dedicated бывают под администрированием хостера.
Ведь сайт недоступен — так и с индекса поисковиков можно вылететь.В конце августа удалил один из своих сайтов с сервера. Оставил изображение-заглушку на главной. В январе(!) вернул обратно — трафик с поисковиков каким был высоким, таким и остался.
С гугла и яши пошло? Странно, что они полгода вели людей в никуда…
В июле 1000 посещений, в марте по состоянию на сегодня уже 500. Никакого продвижения никогда не было.
500 посещений в месяц? Вряд ли там боты ежечасно пасутся. Для высокотрафовых сайтов пролеживание несколько часов грозит вылетом из индекса и вернется он не сразу, а опять же для таких проектов каждый день простоя без индекса может быть критичным и очень ощутимым по деньгам.
Среднее в день. 500-1000 в день в среднем посещений.
Я с вами не согласен.
Я с вами не согласен.
У меня сайт изза ддоса лежал около 4 дней. Были еще простои почти на неделю. Поисковый траффик после не упал нисколько. Как был в районе 5к так и остался. Ну разве что чуть чуть снизился, но через несколько дней вернулся обратно.
Возможно, и не вели, но интересна сама тенденция очень быстрого восстановления трафика после долгого простоя.
Немного ошибся в месяцах, но выглядит это так:
Немного ошибся в месяцах, но выглядит это так:
Круто, но не знаю — это правило или исключение из правил. Чисто по логике, отвалившийся сайт должен выпадать из выдачи.
Да, я был тоже шокирован. Кстати, это форум. Более того, после восстановления, я перенес форум с подраздела на главную — поисковики и на это быстро отреагировали в мою пользу. Чудеса
но ничего не мешает ему быстро вернуться
У меня такой же примерно прикол был. До ддоса где то 5к с поиска в сутки. После ддоса (4 дня в дауне) буквально пару дней снижение до 4к, а потом подброс до 6к.
Высоким насколько, как часто контент обновляется и как часто ходят боты там и сколько лет сайту?
трафик с поисковиков каким был высоким, таким и остался
Да у вас счастливый домен! :) Цепляйте на парковку и зарабатывайте.
чисто из любопытства, а сколько сейчас стоит ддос? в $ за 100Мбит/с за час
Присоединяюсь к вопросу — интересен хотя бы диапазон. Так как если рассматривать все варианты защиты — надо знать, какую сумму имеет смысл тратить — защита не может быть дороже атаки.
отчего же, защита вполне может быть дороже атаки, не вижу причин в каком то ограничении.
Я немного неточно выразился — защита не должна быть дороже стоимости атаки для _атакуемого_, т.е. финансовые потери из-за атаки не должны быть дороже защиты. Но что-то мне кажется подозрительно низкими цены на DDoS, приведённые ниже по треду.
Если у человека свой ботнет, то по сути для него ДДОС бесплатен, так что все бывает в этой жизни.
Это не так на самом деле. Если начать защищаться, то у ддосеров подохнут боты. Ботов им придется или покупать (так делают большинство), а они недешевые, особенно в России или троянить самостоятельно, что тоже процесс затратный и непростой.
Так что повторюсь еще раз, главное не сдаваться. Даже если ботнет свой, ддос стоит денег и немалых.
И не нервничайте, относитесь к ддосу просто как к повышенной нагрузке. Раз вас ддосят, значит вы заняли хорошую нишу в чем-то. :)
Так что повторюсь еще раз, главное не сдаваться. Даже если ботнет свой, ддос стоит денег и немалых.
И не нервничайте, относитесь к ддосу просто как к повышенной нагрузке. Раз вас ддосят, значит вы заняли хорошую нишу в чем-то. :)
Я не имел в виду покупные ботнеты, от них толку… Ботнеты, которые народ сам троянит не так уж и сложны и для тех, кто их делает ддос «по сути» бесплатен. Знавал людей, которые ради эксперимента клали ненадолго ВКонтакте, просто ради любопытства упадет или нет.
Мы тут както читали на хабре, как кто-то ради любопытсва яндекс ложил…
Упадет или нет? 100Гбит…
Упадет или нет? 100Гбит…
По итогам было бы интересным узнать, кто взял этого доброхота на работу: Яндекс, Гугл или спецслужбы
Это только в сказках крутых хакеров сразу же зовут на работу. В реальности же серьёзная коммерческая организация не захочет связываться с асоциальным человеком, пусть он даже гениальный специалист.
Не спорю, такие случаи тоже бывают, но на порядок реже, чем это показывают в голливудских фильмах )
Не спорю, такие случаи тоже бывают, но на порядок реже, чем это показывают в голливудских фильмах )
В серьезных коммерческих организациях водятся разные люди. Откуда можно заранее знать, зачем такоей человек может пригодиться?
Конкуренты вот заказывают же ДДОС друг на друга.
Конкуренты вот заказывают же ДДОС друг на друга.
В один небольшой банк хорошего хакера взяли бы с удовольствием, как мне сказали недавно.
Ну, давайте тогда определимся, что называть «хорошим хакером».
Если просто высококлассного специалиста по сетевым технологиям и информационной безопасности — то взломами такие люди занимаются разве что в детстве. Ваш покорный слуга, грешен, сам в своё время любил полазать в универовской сетке :) Но это всё проходит, как только начинаешь нормально работать.
Если же у человека и в зрелом возрасте не исчезла тяга «лазить, куда не следует» — то это, пардон, уже патология, и такого специалиста лично я побоялся бы брать на работу. В банках есть сети, куда далеко не все сотрудники имеют доступ — различные биржевые шлюзы, платёжные системы и прочее. В некоторые подсети сотрудникам банка вообще по условиям договора запрещено ходить и никаких паролей от них нет. Где гарантия, что этот «хороший хакер» не полезет туда шаловливыми ручками?
Есть, конечно, ещё вариант — люди, занимающиеся взломами на заказ. Но тут уже вопрос совести — лично я не возьмусь за работу, под которой мне будет стыдно поставить свою подпись, и сотрудников из такой категории я брать тем более не стану.
Если просто высококлассного специалиста по сетевым технологиям и информационной безопасности — то взломами такие люди занимаются разве что в детстве. Ваш покорный слуга, грешен, сам в своё время любил полазать в универовской сетке :) Но это всё проходит, как только начинаешь нормально работать.
Если же у человека и в зрелом возрасте не исчезла тяга «лазить, куда не следует» — то это, пардон, уже патология, и такого специалиста лично я побоялся бы брать на работу. В банках есть сети, куда далеко не все сотрудники имеют доступ — различные биржевые шлюзы, платёжные системы и прочее. В некоторые подсети сотрудникам банка вообще по условиям договора запрещено ходить и никаких паролей от них нет. Где гарантия, что этот «хороший хакер» не полезет туда шаловливыми ручками?
Есть, конечно, ещё вариант — люди, занимающиеся взломами на заказ. Но тут уже вопрос совести — лично я не возьмусь за работу, под которой мне будет стыдно поставить свою подпись, и сотрудников из такой категории я брать тем более не стану.
Да, в этом случае де-факто для владельца ботнет бесплатен. Мне как-то пришла в голову мысль, что если в код той же «фермы» в соцсетях внедрить код, который делает невинную вещь — переодически раз в минуту или около того — пытается скачать «как бы рисунок» с сайта жертвы — это же какой ботнет получается?
Главное, чтобы защита не была дороже потенциального ущерба. И не важно, сколько при этом стоит атака.
Как мне сказали, небольшая атака стоит в районе 50$/в сутки. А дальше — больше. В районе 150$/в сутки будет гнать 500 мегабит. Но могу ошибаться, если что поправьте.
Почитал комменты — очень удивился тому, что сайты отключают из-за DDoS на них.
Оптимизоровать сайт — можно, но от syn-flood это не поможет. Плюс, вредоносный трафик все равно забивает каналы и нагружает оборудование.
ИМХО, защиту от DDoS, по-хорошему, должен предоставлять хостер и — на основе специального оборудования, а не путем настройки Линукса. Линукс — это хорошо, но обработка трафика при помощи CPU — это уже не модно.
Есть Cisco ASA, а если все совсем плохо, есть оружие массового поражения в виде BGP Blackhole. По-хорошему, инженеры хостера должны все это контролировать.
Оптимизоровать сайт — можно, но от syn-flood это не поможет. Плюс, вредоносный трафик все равно забивает каналы и нагружает оборудование.
ИМХО, защиту от DDoS, по-хорошему, должен предоставлять хостер и — на основе специального оборудования, а не путем настройки Линукса. Линукс — это хорошо, но обработка трафика при помощи CPU — это уже не модно.
Есть Cisco ASA, а если все совсем плохо, есть оружие массового поражения в виде BGP Blackhole. По-хорошему, инженеры хостера должны все это контролировать.
Давно работаю в хостинге. про ддос скажу так:
— атака в 10 000 ботов это не атака, это смешно.
— ддосеры в большинстве своем тупые, лупят одинаковыми запросами, благодаря чему атака отбивается
— на шаредхостинге никто вас отбивать от ддоса не станет, проще выгнать за превышение нагрузки. Хотя я частенько отбиваю только из ненависти к ддосерам.
— ддос в субботу на моей памяти, за последние 4 года не начинался ниразу. У нас в компании фраза была популярна «пятница день дидоса в ***хосте».
— серьезный ддос на плюшевые сайты висящие на шаредхостинге редкая редкость.
— ддосят очень часто полулегальные сайты, по тому что владелец не пойдет писать заявление в милицию, т.ч. можно у него вымогать деньги.
— серьезные атаки как правило приходится отбивать на пограничном маршрутизаторе или у аплинка по «штампам»
Ну для ддосеров, на заметку. В россии очень серьезные законы связанные с антитерроризмом, атака на провайдера (любая компания у которой есть лицензия минсвязи) считается террористической деятельностью и карается, ну скажем так анально, а не штрафами в сто рублей.
— атака в 10 000 ботов это не атака, это смешно.
— ддосеры в большинстве своем тупые, лупят одинаковыми запросами, благодаря чему атака отбивается
— на шаредхостинге никто вас отбивать от ддоса не станет, проще выгнать за превышение нагрузки. Хотя я частенько отбиваю только из ненависти к ддосерам.
— ддос в субботу на моей памяти, за последние 4 года не начинался ниразу. У нас в компании фраза была популярна «пятница день дидоса в ***хосте».
— серьезный ддос на плюшевые сайты висящие на шаредхостинге редкая редкость.
— ддосят очень часто полулегальные сайты, по тому что владелец не пойдет писать заявление в милицию, т.ч. можно у него вымогать деньги.
— серьезные атаки как правило приходится отбивать на пограничном маршрутизаторе или у аплинка по «штампам»
Ну для ддосеров, на заметку. В россии очень серьезные законы связанные с антитерроризмом, атака на провайдера (любая компания у которой есть лицензия минсвязи) считается террористической деятельностью и карается, ну скажем так анально, а не штрафами в сто рублей.
Насчет субботы вам повезло, у меня когда-то был случай. Проснулся в вс утром в палатке, в 100 км от цивилизации, погода чудная, пейзаж офигенный птички поют, идиллия и тут приходит смс мол сервер лежит, а проект онлайн и очень болезненный к простоям, доступ только у меня.
Матерясь пробиваюсь через хиленький 3g к шеллу и буквально молясь на то чтобы коннект не падал, час шаманю с настройками фаера и белыми списками. Ддос был успешно отбит, но машину пришлось с горки заводить, ибо 10 часов наблюдения за параметрами добили аккумулятор от которого питался ноут. Вот такой вот отдых получился.
А по поводу ддоса скажу по опыту, главное держаться. Пусть даже банально порезать регионы через гео (есть такой модуль iptables www.ducea.com/2009/03/18/iptables-geoip-match-on-debian-lenny/ ), работает так:
/sbin/iptables -A COUNTRY -p tcp -m multiport --dports 80,443 -m geoip --src-cc CN,LV -j DROP
российский ддос дорогой, обычно заказывают ерунду всякую китайскую, а она режется одним махом убирая до 80-90% ботов, дает возможность выиграть время.
да, и перед тем как бороться самостоятельно надо определить тип ддоса.
Син ддос — по простому можно отличить если запустить Htop, будет видно куча айпишников со статусом S--- и крутящийся счетчик коннектов, по которому можете прикинуть силу ддоса.
http flood — в логах апача или нжинкса будет куча мусора с левыми несуществующими реферерами, например IE 4.0 И т.д.
их можно сразу отправлять в черный список через ипсет
/sbin/iptables -A INPUT -p tcp --dport 80,443 -m string --string 'Mozilla/4.0 (compatible' --algo bm --from 0 --to 1000 -j SET --add-set black_list src,src
/sbin/iptables -A INPUT -p tcp -m multiport --dport 80,443-m set --set black_list src -j DROP
ну и жесткие ограничения на кол-во коннектов, это уже мануалов куча.
Пусть ваш сайт будет недоступен из некоторых регионов, пусть он будет дико тормозить, но ваша задача продержаться. Вечно ддосить вас не будут, а ваши посетители вас поймут.
А вот ддосеры, увидев что их бабло улетает в трубу забьют на это дело. Не так много готовых сутками платить по 100 вмз в сутки за то, чтобы сайт всего лишь тормозил.
Да, и ддосеров искать бесполезно, ищите заказчиков. Можно блефануть и раскидать потенциальным письмо, мол вы узнали что это они, отправили письмо в отдел К бла бла бла. Может возьмете на испуг.
Матерясь пробиваюсь через хиленький 3g к шеллу и буквально молясь на то чтобы коннект не падал, час шаманю с настройками фаера и белыми списками. Ддос был успешно отбит, но машину пришлось с горки заводить, ибо 10 часов наблюдения за параметрами добили аккумулятор от которого питался ноут. Вот такой вот отдых получился.
А по поводу ддоса скажу по опыту, главное держаться. Пусть даже банально порезать регионы через гео (есть такой модуль iptables www.ducea.com/2009/03/18/iptables-geoip-match-on-debian-lenny/ ), работает так:
/sbin/iptables -A COUNTRY -p tcp -m multiport --dports 80,443 -m geoip --src-cc CN,LV -j DROP
российский ддос дорогой, обычно заказывают ерунду всякую китайскую, а она режется одним махом убирая до 80-90% ботов, дает возможность выиграть время.
да, и перед тем как бороться самостоятельно надо определить тип ддоса.
Син ддос — по простому можно отличить если запустить Htop, будет видно куча айпишников со статусом S--- и крутящийся счетчик коннектов, по которому можете прикинуть силу ддоса.
http flood — в логах апача или нжинкса будет куча мусора с левыми несуществующими реферерами, например IE 4.0 И т.д.
их можно сразу отправлять в черный список через ипсет
/sbin/iptables -A INPUT -p tcp --dport 80,443 -m string --string 'Mozilla/4.0 (compatible' --algo bm --from 0 --to 1000 -j SET --add-set black_list src,src
/sbin/iptables -A INPUT -p tcp -m multiport --dport 80,443-m set --set black_list src -j DROP
ну и жесткие ограничения на кол-во коннектов, это уже мануалов куча.
Пусть ваш сайт будет недоступен из некоторых регионов, пусть он будет дико тормозить, но ваша задача продержаться. Вечно ддосить вас не будут, а ваши посетители вас поймут.
А вот ддосеры, увидев что их бабло улетает в трубу забьют на это дело. Не так много готовых сутками платить по 100 вмз в сутки за то, чтобы сайт всего лишь тормозил.
Да, и ддосеров искать бесполезно, ищите заказчиков. Можно блефануть и раскидать потенциальным письмо, мол вы узнали что это они, отправили письмо в отдел К бла бла бла. Может возьмете на испуг.
Прецеденты в студию, пожалуйста.
Хоть одно дело с подтекстом «терроризм» по факту ДДОСа компании с лицензией.
Хоть одно дело с подтекстом «терроризм» по факту ДДОСа компании с лицензией.
А как дела с DDoS с клиентами которые на EC2? Какой у них там аплинк?
Запрос капчи на главной (например у computeruniverse с недавних пор) — один из вариантов защиты? На сколько это практично и умно?
Это защита скорее от простых спам-ботов, но не от DDoS. Боты смогут положить сервер и простыми запросами к одной только главной странице.
Это ОЧЕНЬ крайний случай. Вы потеряете большую часть своих клиентов, а от син ддоса все равно не спасетесь. Уж лучше сделать яваскрипт капчу.
Да, и многие антиддосеры за умеренную плату предлагают т.н. клик страницу. Т.е. на главной появляется просто что-то типа «нажми на меня» и после клика грузится сайт. Но даже это нужно использовать только в самых крайних случаях и не надолго, а капча на главной это вообще издевательство над посетителями, особенно через рекапчу. Они вам этого не простят.
Да, и многие антиддосеры за умеренную плату предлагают т.н. клик страницу. Т.е. на главной появляется просто что-то типа «нажми на меня» и после клика грузится сайт. Но даже это нужно использовать только в самых крайних случаях и не надолго, а капча на главной это вообще издевательство над посетителями, особенно через рекапчу. Они вам этого не простят.
проблема SYN DDoS решается включением SYN cookies и небольшой настройкой фаерволла, если первого будет недостаточно
только и всего
только и всего
Да что вы такое говорите) Люди платят бешеные деньги, придумывают умные железки, а оно оказывается все легко)
Искренне вам желаю, чтобы ваши проблемы решались так просто, но на практике все оказывается далеко не так радужно.
Если это конечно не ботнет второкурсника Васи в пару сотен ботов, который заторянил свою общагу.
Искренне вам желаю, чтобы ваши проблемы решались так просто, но на практике все оказывается далеко не так радужно.
Если это конечно не ботнет второкурсника Васи в пару сотен ботов, который заторянил свою общагу.
Люди платят бешеные деньги
Платят бешенные деньги в первую очередь те, кто не может или не хочет разобраться с проблемой подручными средстами (а их, поверьте, очень немало) и меньшей ценой (например, сначала выслушать мнения независимых специалистов, или заранее выбирать ДЦ с адекватной реакцией на атаки).
но на практике все оказывается далеко не так радужно
Практика у всех разная, поэтому не стоит считать свой опыт единственно возможным и самым печальным.
Негативный эффект от большинства DDoS-атак возможно минимализировать всего лишь настройкой сервера. Если вам это недоступно в силу тех или иных причин, что ж, платите кому-то на стороне.
Смотря, каков поток этого самого syn flood, и смотря, на чем включаете. Опять же, Cisco ASA способна держать один объем флуда. Сервер на Линуксе — другой, на порядок меньше. Файервол на линуксе — и того меньше. Но даже возможности ASA можно превысить. Тогда — только BGP Blackhole.
Кроме того, о blackhole имеет смысл задуматься и тогда, когда ASA поток держит, но не хочется позволять атакующим забивать ваш внушний канал вредоносным трафиком.
Потом: blackhole на destination — это самый топорный способ, потому что делает недоступным сам сайт. В идеале — провести исследование атаки, выяснить, с каких адресов/роутов валится самый большой объем трафика, и анонсировать в blackhole их.
Так или иначе, без поддержки хостера не обойтись. Если это не ботнет второкурсника Васи (с), конечно :-)
Кроме того, о blackhole имеет смысл задуматься и тогда, когда ASA поток держит, но не хочется позволять атакующим забивать ваш внушний канал вредоносным трафиком.
Потом: blackhole на destination — это самый топорный способ, потому что делает недоступным сам сайт. В идеале — провести исследование атаки, выяснить, с каких адресов/роутов валится самый большой объем трафика, и анонсировать в blackhole их.
Так или иначе, без поддержки хостера не обойтись. Если это не ботнет второкурсника Васи (с), конечно :-)
Мне кажется, если кому-то очень захочется показать настоящую «кузькину мать», то на SYN флуд уже не будут распыляться, какой бы мощности он ни был.
Большинство DDoS'ов, направленных на конкретные веб-ресурсы, в настоящее время происходит в направлении HTTP (реже — HTTPS) протокола, путём «удушения» вебсервера поступающими от ботов запросами. Поправьте меня, если это не так.
Большинство DDoS'ов, направленных на конкретные веб-ресурсы, в настоящее время происходит в направлении HTTP (реже — HTTPS) протокола, путём «удушения» вебсервера поступающими от ботов запросами. Поправьте меня, если это не так.
> выяснить, с каких адресов/роутов валится самый большой объем трафика, и анонсировать в blackhole их.
одна проблема — анонсировать или не анонсировать вы можете только СВОИ сети
не анонсировать «с каких адресов» (т.е. атакующие сети) — это фантастика
можно разве что договорится с аплинком чтоб он вам трафик с таких-то сетей не присылал (фаерволом, грубо говоря) и не забивал канал. Но большие аплинки таким не заморачиваются а у небольших при мощной атаке и у самих канал может закончиться
одна проблема — анонсировать или не анонсировать вы можете только СВОИ сети
не анонсировать «с каких адресов» (т.е. атакующие сети) — это фантастика
можно разве что договорится с аплинком чтоб он вам трафик с таких-то сетей не присылал (фаерволом, грубо говоря) и не забивал канал. Но большие аплинки таким не заморачиваются а у небольших при мощной атаке и у самих канал может закончиться
#ip route <сеть атакующего> 255.255.255.255 Null0
И атакующий становится нашей сетью, да еще и с префиксом /32, что гарантирует установку маршрута во все маршрутизаторы.
Фантастика — она рядом ;-)
И атакующий становится нашей сетью, да еще и с префиксом /32, что гарантирует установку маршрута во все маршрутизаторы.
Фантастика — она рядом ;-)
Интерестно только, кто такое поддерживает? можно узнать, чем оно лучше -j DROP, если на маршрутизаторах это не примится.
Вопрос поддержки — уже вопрос ваших с вашим оператором договоренностей. ИМХО, в случае хостинга — просто must be.
Более детально о методе можно почитать в RFC 3882, кстати.
-j DROP — это конфигурация файервола на Линуксе. Линукс обрабатывает трафик при помощи CPU — уже этим он хуже Cisco, которая обрабатывает его при помощи ASIC.
Кроме того, для того, чтобы вредоносный трафик обрывался файерволом, он должен до него дойти. То есть, забить входящий канал, и нагрузить как ваш маршрутизатор, так и PE маршрутизатор оператора.
Потому ваш оператор, на самом деле, тоже заинтересован в уменьшении вредоносного трафика в своих сетях. Дальше этот blackhole он анонсирует своим пирам. После цепочки анонсов вредоносный трафик дискардится сразу же провайдером атакующего.
Более детально о методе можно почитать в RFC 3882, кстати.
-j DROP — это конфигурация файервола на Линуксе. Линукс обрабатывает трафик при помощи CPU — уже этим он хуже Cisco, которая обрабатывает его при помощи ASIC.
Кроме того, для того, чтобы вредоносный трафик обрывался файерволом, он должен до него дойти. То есть, забить входящий канал, и нагрузить как ваш маршрутизатор, так и PE маршрутизатор оператора.
Потому ваш оператор, на самом деле, тоже заинтересован в уменьшении вредоносного трафика в своих сетях. Дальше этот blackhole он анонсирует своим пирам. После цепочки анонсов вредоносный трафик дискардится сразу же провайдером атакующего.
Статья слишком общая. Хотя бы написали какой у вас тип хостинга. Читающие догадываются, что речь идет о colo-сервере, но уточнение этого не помешало бы. А непосредственно по поводу защиты от атак — есть контора, которая раньше оказывала услуги по защите на бесплатной основе — hll.msu.ru/. Не знаю, как там сейчас обстоят дела, но пару месяцев назад довольно часто клиенты хостера, где я работал, обращались к ним за помощью.
Я так понимаю что переехали в Драгонару если гуглили? А я-то думал какой блин гад хороший человек с ДДоС'ом пришел ;)
Порекомендуйте толковую контору, которая быстро может включиться в работу по отбиванию ДДоС-а? И если надо спроксирует трафик через себя.
Highload Lab highloadlab.ru/
Действительно, пост достаточно общий и не несет практически никакой ценности. Похвастаюсь максимальныим DDOS-ом который приходил на мой сервак — 6Гб. Была оплачена DDOS защита и датацентр терпел и пытался сфильтровать аж часа 4, а потом попросили поискать другой датацентр.
Главная миссия данной статьи — заставить людей задуматься об обороне заранее и жить спокойно. Иногда такого стимула многим и не хватает…
Пока гром не грянет мужик не перекрестится. :) По опыту знаю что бороться с ддосом проще под самим ддосом. Иногда даже благодарен ддосерам что они нашару дают возможность пораскинуть мозгами, придумать хитроумные схемы отфильтровки, черных/белых списков…
А без ддоса что, логи вэб сервера, они по сути бестолковые. Как понять какие ограничения выставлять, какие фильтры применять…
А без ддоса что, логи вэб сервера, они по сути бестолковые. Как понять какие ограничения выставлять, какие фильтры применять…
я раньше использовал blockdos.net — они достаточно хорошо защищали. а потом просто лучше купить мощный сервер!
купить мощный сервер!
кстати, людям не в теме напомню, что всевозможные полусомнительные конторы, предоставляющие защищённый от DDoS хостинг (в особенности, если они при этом не имеют собственных мощностей или дата-центра, арендуют свои же сервера на стороне), зачастую с другого хода сами же занимаются организацией атак на коммерческой основе
Любой ДДоС упирается в каналы, никакие хитрые настройки вам не помогут, когда счет пойдет на десятки гигабит. Т.е. скорее борьба бюджетов и сейчас, в отличие от ситуации 10 летней давности, защита впереди.
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
DDoS, когда его совсем не ждут