Bubniv Jul 1 2014 at 20:33

Как я поборол DDoS за 15 минут

3 min

63K

Information Security*

-1

Comments 28

Q2W Jul 1 2014 at 20:39

Из-за таких вот методов защиты некоторые русские сайты отказываются работать из-за границы.
Например, авто.ру и экзист не хотят со мной работать, когда я использую vpn-туннель до хетцнера.

Bubniv Jul 1 2014 at 20:47

Я с вами согласен. Нельзя просто взять и отрезать весь мир навсегда.
По этому я рекомендую данный способ только на время атаки.

Bubniv Jul 1 2014 at 23:17

Кстати, если на указаных вами сайтах страны заблокированы на уровне DNS, то вам не обязательно использовать VPN. Достаточно просто указать русский DNS сервер на той машине, с которой сидите в интернете. GeoDNS определят локацию именно по ip вашего DNS, а не по вашему ip адресу. Русские Public DNS можете взять тут: dns.yandex.ru/ (русский аналог Google Public DNS).

Q2W Jul 2 2014 at 00:31

Ну я не для того нерусский туннель поднял, чтоб русским dns'ом пользоваться. =)

ctapnep Jul 1 2014 at 20:40

И зачем гуглу такие пакости делать? Если уж менять DNS, то на 127.0.0.1

Bubniv Jul 1 2014 at 20:43

Вы правы. Я подметил это в статье. Спасибо

den26 Jul 2 2014 at 09:07

потрачу свой коммент в неделю на этот коммент :)
Обычно ставят IP адрес кремля или белого дома. На практике аттака быстро исчезает :)

heroino Jul 1 2014 at 21:00

Метод из разряда «против лома нет приема». Мне нравится, спасибо.

tzlom Jul 1 2014 at 21:05

Окромя другого лома, ботнеты в России дело не редкое.
Мне помогает фильтрация на основе тупых запросов и лимиты по количеству обращений.

Anastasia_K Jul 1 2014 at 21:11

О как. Какой то совсем тупой DDoS. Как только злоумышленник замечает смену DNS, как правило он переводит атаку на конкретный IP. Вам очень повезло, что метод сработал.

ZyXI Jul 1 2014 at 21:20

А зачем было что‐то писать вымогателю в первый раз, особенно про оплату (точнее, её отсутствие)? Так бы он, ожидая ответа, атаковал позже, а вы бы могли как‐то подготовится.

Bubniv Jul 1 2014 at 21:44

Я уже потом об этом сто раз думал. Но в тот момент мне казалось это обычным разводом. Я решил сразу написать, чтоб это понять. Но все пошло не так(

zapimir Jul 1 2014 at 22:06

Более того, нечего было вообще отвечать. Мало ли, типа мыло не работает, а пускать ресурсы ботнета без фидбека — смысла нет, кроме случаев, когда конкуренты или просто злые люди купили у этого хакера DDoS на ваш сайт.

mOlind Jul 1 2014 at 22:32

Удивительно, что никто в комментах еще не вспомнил о Cloudflare. Бесплатного тарифа хватило бы чтобы отсечь волну DDoS. Большую часть атакующих не пропустил бы DNS, т.к. они хранят базу засветившихся в ботнете машин и отправляют их лесом. Если пользователь кажется подозрительным — его просят тыкнуть кнопку «Я человек». Кроме этого они кэшируют страницы вашего сервера и атакующие не знали бы вашего ip адреса, атака бы уперлась в кэш-сервера Сloudflare. Сам пользуюсь этим сервисом, весьма доволен.

pomeo Jul 1 2014 at 22:55

Часть Cloudflare в России уже заблокирована, неужели вам не попадались безобидные сайты с текстом от роскомнадзора. А при проверке ip оказывалось, что это часть cloudflare. Так что нет смысла, для России станет только хуже.
А статья напоминает рекламу сайта, на который дана единственная ссылка на весь текст.

mOlind Jul 1 2014 at 23:11

До Минска рука роскомнадзора еще не добралась, так что не сталкивался.
На счет рекламы сайта, похоже, что вы правы.

DoctorX Jul 1 2014 at 23:28

А вот и добралась.
На Byfly периодически отключается lostfilm… и внезапно kohanaframework.org/
На момент написания поста снова работают.

EminH Jul 1 2014 at 22:57

Это надо заранее подключать, атака может же идти и на ip
Или как вариант, попросить поменять IP и в файрволлах разрешать только диапазон cloudflare.
Опять же, файрвол лучше аппаратный, iptables тоже может не выдержать

mOlind Jul 1 2014 at 23:14

Учитывая их бесплатность, подключить лучше рано, чем во время атаки. :)

vp_arth Jul 2 2014 at 05:47

Повезло вам однако с хакером… Непонятно зачем он вообще юзал DNS… Это же провал для DDoS…

Jekel Jul 2 2014 at 11:45

Ну здрасте, почитайте про dns amplification ddos.

vp_arth Jul 2 2014 at 11:55

Это две большие разницы, нет?

Механика DNS Amp вкратце:
— я иду в DNS с вопросом вроде «Какой IP у google.com? Пришли ответ на IP жертвы — это мой, честно :)»
— идет резольвинг IP в инфраструктуре DNS(root, tld, primary-servers)
— Ответ приходит к жертве на IP

В этом алгоритме нет резольва доменного имени жертвы, а следовательно «технология защиты» из статьи тут не работает…

Jekel Jul 2 2014 at 12:22

Да… я что-то напутал.
в таком случае действительно разнесенные гео-днс не помогут.

UFO landed and left these words here

maximw Jul 2 2014 at 10:19

Можно было сократить статью:

Как я поборол DDoS за 15 минут?
Нашел компанию, которая позволяет все делать из красивого интерфейса.

Слово «компания» можно сделать ссылкой. А то очень похоже, что без ссылки и статьи бы не было.

EXSlim Jul 3 2014 at 23:08

Судя по скриншоту, это Zerigo

vp_arth Jul 4 2014 at 03:23

там всё время была ссылка на доки zerigo, теперь она даже переместилась под слово «компанию».

maximw Jul 4 2014 at 10:18

Хех, мой сарказм был воспринят буквально :)