Comments 66
Прям как остросюжетный детектив :-)
Молодцы что справились.
Молодцы что справились.
+32
UFO just landed and posted this here
UFO just landed and posted this here
Мне нравится ваш стиль изложения. Очень интересно читать.
Поздравляю с успехом.
Поздравляю с успехом.
+9
Я тут подумал, а что бы не заюзать AppEngine для функции проксирования…
По идее можно легкий скрипт написать для работы с ip-ами, и фильтровать особо активные да поддиапзоны. Я так понимаю особо много cpu и траф это не съест, да и 1GB и 6.5ч CPU нахяляву в сутки дают, да и запросов позволяют до 500 req/sec. А если что можно и доплатить немного. Единственно что AppEngine не поддерживет https и поддомены на собственном домене…
По идее можно легкий скрипт написать для работы с ip-ами, и фильтровать особо активные да поддиапзоны. Я так понимаю особо много cpu и траф это не съест, да и 1GB и 6.5ч CPU нахяляву в сутки дают, да и запросов позволяют до 500 req/sec. А если что можно и доплатить немного. Единственно что AppEngine не поддерживет https и поддомены на собственном домене…
0
в пике 11 мегабит =) да и запросов поболее было.
+2
Ну так что запросов поболее не страшно, это й них втоматом обрежется, AppEngine не упадет :) А 11 мбит это за какой промежуток времени (я понимаю что маленький, но все же)? И вообще посуточно сколько трафа шло?
0
11 мегабит в секунду, на протяжении 4х часов.
+3
посуточно не считал, не было такой необходимости.
+1
UFO just landed and posted this here
У них поминутный пересчет квот, так что обрежется. Но понятно что это полностью не решет проблему, глобально решится когда они файрвол доделают, я им постоянно напоминаю об его необходимости в чате на irc, они вроде как что-то делают :)
Но это решение хоть может дать вероятность пробивание «не бота» на сайт. Да и основной сервер жив останется, винты греться не будут зазря :)
Но это решение хоть может дать вероятность пробивание «не бота» на сайт. Да и основной сервер жив останется, винты греться не будут зазря :)
0
Позвольте несколько вопросов.
11 Mbit это общий трафик на сайт? А какова ширина канала вообще? Сколько запросов в секунду от ботов? Запросы на один и тот же урл или на разные?
11 Mbit это общий трафик на сайт? А какова ширина канала вообще? Сколько запросов в секунду от ботов? Запросы на один и тот же урл или на разные?
0
поздравляю!
молодцы, что не поддались на шантаж.
а терпилам, которые предлагали «откупиться» от шантажистов — антиреспект.
молодцы, что не поддались на шантаж.
а терпилам, которые предлагали «откупиться» от шантажистов — антиреспект.
+11
хрен им, а не денег)
+9
вот такой?
или такой?
или такой?
-4
че та не вставилась картинко
посвящение этим ддосерам: pics.livejournal.com/abpaximov/pic/002y28g9 вот ваши деньги
забирайте!
посвящение этим ддосерам: pics.livejournal.com/abpaximov/pic/002y28g9 вот ваши деньги
забирайте!
-8
граждане страны привествуют ддосеров, увозимых в Колыму на каторгу www.moonbattery.com/moon-amtrak.jpg
-4
прям как детектив читается. «кулхацкеров-ддосеров-спамеров» надо валить!
+2
Классный сюжет. По законам жанра, теперь нужно чтобы сам дарк и был организатором ддос атак, чтобы вот начать говорить о своем сервисе по защите от них. Ведь кто лучше всех разбирается в дос аттаках, как раз сам доссер.)
+15
не сметь подозревать дарка! )
+4
UFO just landed and posted this here
кстати. Был бы мой проект, я бы посчитал его удачным. Громадный PR проблемы, идеализация образа борцов с ддос атаками и т и тп. Ведь само собой понятно что больше заработаешь не рэкетом, типа я выключу мой ботнет, а на страхе что твой сайт могут заддосить, предоставляя грамотный сервис по защите от них.
Поэтому я бы на месть мастеров ботнета, так бы и поступал. Сеял панику и ненависть к себе, параллельно под шумок организовав антиддос стартап(ы).
Поэтому я бы на месть мастеров ботнета, так бы и поступал. Сеял панику и ненависть к себе, параллельно под шумок организовав антиддос стартап(ы).
+1
молодцы, скрипт киддеров на плаху — хотя вряд ли до них теперь доберешся
0
Никаких переговоров с террористами! Начнёшь платить и станешь спонсоров будущих атак.
+3
лучше отдать деньги хорошему человеку за защиту, чем засранцам за шантаж…
молодцы!
молодцы!
+4
а меня юр. вопросы интересуют, вы в органы то пытались обращаться?
0
UFO just landed and posted this here
Как будут результаты от «других людей» об юридических и уголовных моментах, расскажите, пожалуйста.
+15
UFO just landed and posted this here
для начала привлечет небольшие компании, а потом как себя покажет, или превратится в очередную компанию однодневку.
сейчас модно сначала экономить на штатном админе, а потом вырубать бюджет под информационную безопасность
сейчас модно сначала экономить на штатном админе, а потом вырубать бюджет под информационную безопасность
0
Однакож он отлично сработал и нам помог, отчего он не может помогать другим?
+5
UFO just landed and posted this here
молодцы вы и все кто вам помогал и пытался помочь!
и вас правда очень интересно читать!
и вас правда очень интересно читать!
+1
Понимаю, конечно, моя идея наивна.
Но почему атакуемую страницу (корень сервера, как я понимаю) не выложить простым статическим html? Ну и обновлять эту html-ку по крону раз в час.
А ещё можно для снижения ширины канала атакующего (бота) — в эту html-ку добавить пару скрытых ифреймов с тяжелыми картинками из гугла или ютуб.
А уже для зарегистрированных пользователей (которые не атакуют и не боты) — «полный фарш», но уже по другой ссылке с главной (которую устанавливать, к примеру, из ещё одного ифрейма специальным джаваскриптом). Тогда бот, если парсить джаваскрипт не умеет — не найдёт реальный URL входа.
Но почему атакуемую страницу (корень сервера, как я понимаю) не выложить простым статическим html? Ну и обновлять эту html-ку по крону раз в час.
А ещё можно для снижения ширины канала атакующего (бота) — в эту html-ку добавить пару скрытых ифреймов с тяжелыми картинками из гугла или ютуб.
А уже для зарегистрированных пользователей (которые не атакуют и не боты) — «полный фарш», но уже по другой ссылке с главной (которую устанавливать, к примеру, из ещё одного ифрейма специальным джаваскриптом). Тогда бот, если парсить джаваскрипт не умеет — не найдёт реальный URL входа.
-2
UFO just landed and posted this here
«все юридические и уголовные моменты взяли на себя другие люди»
Этот вопрос тоже осветите. В третьей части остросюжетной статьи :)
Этот вопрос тоже осветите. В третьей части остросюжетной статьи :)
+2
Извиняюсь, что немного оффтопика привнесу… Но непосредственно связанного с темой.
Я смотрю на Хабре очень много внимания Энджин Х посвящают… А что делать, если сервер под виндой? Я сейчас не имею ввиду сборку nginx под Win, а конкретно связку Server 2008 + Apache 2 + PHP 5.2 как CGI + MySQL 5 + Zend (если это имеет значение) на дедикейтед машине уровня двухядерный оптерон, 2 Гб памяти, 7200 харды в рейд 1 фактически десктопные (ну типа серверная серия). Канал гигабитный.
Поясню почему ситуация такая. Дело в том, что изначально планировалось под проект 2 сервера — один на сайт (где я хотел развернуть по всем канонам никсы с энжин эксом, мемкэшами и прочими обязательными для хайлоад проекта вещами), и один на видеоретранслятор (основная функция сайта — вещание видео в реальном времени на пару тысяч человек, и этот ретранслятор работает как прокси — забирает входящий одиночный ручеек видео и множит на нужное количество подключающихся клиентов), который имеется без исходников и только в виде под винду. Потом немного бюджет сократили, и пока пришлось развернуть описанные выше вещи на винде (без ретранслятора то никак вообще, а описанная связка в любом случае лучше, чем виртуальный хостинг), т.е. машина одновременно и сайт хостит, и видео передает.
Пока нагрузки нет ни на сайт, ни на ретранслятор. Спрогнозировать что там будет, если зайдет посмотреть видео 1.5-2к людей я тоже не в состоянии. Но очевидно, что и без ддоса будет тяжело. Или я пока рано боюсь, и пару тысяч человек на самом обычном апаче (ДЛЕ движок и пхпбб на форум) такой серв вытянет и так без проблем? К сожалению, опыта в таких вещах нет, поэтому вынужден обратиться с таким вопросом — сильно не пинайте!
Ну и, собственно, второй вопрос. А если ддос? Посоветуйте пожалуйста что почитать по оптимизации апача, и вообще что можно сделать с ним, если ддос? Заранее спасибо!
Я смотрю на Хабре очень много внимания Энджин Х посвящают… А что делать, если сервер под виндой? Я сейчас не имею ввиду сборку nginx под Win, а конкретно связку Server 2008 + Apache 2 + PHP 5.2 как CGI + MySQL 5 + Zend (если это имеет значение) на дедикейтед машине уровня двухядерный оптерон, 2 Гб памяти, 7200 харды в рейд 1 фактически десктопные (ну типа серверная серия). Канал гигабитный.
Поясню почему ситуация такая. Дело в том, что изначально планировалось под проект 2 сервера — один на сайт (где я хотел развернуть по всем канонам никсы с энжин эксом, мемкэшами и прочими обязательными для хайлоад проекта вещами), и один на видеоретранслятор (основная функция сайта — вещание видео в реальном времени на пару тысяч человек, и этот ретранслятор работает как прокси — забирает входящий одиночный ручеек видео и множит на нужное количество подключающихся клиентов), который имеется без исходников и только в виде под винду. Потом немного бюджет сократили, и пока пришлось развернуть описанные выше вещи на винде (без ретранслятора то никак вообще, а описанная связка в любом случае лучше, чем виртуальный хостинг), т.е. машина одновременно и сайт хостит, и видео передает.
Пока нагрузки нет ни на сайт, ни на ретранслятор. Спрогнозировать что там будет, если зайдет посмотреть видео 1.5-2к людей я тоже не в состоянии. Но очевидно, что и без ддоса будет тяжело. Или я пока рано боюсь, и пару тысяч человек на самом обычном апаче (ДЛЕ движок и пхпбб на форум) такой серв вытянет и так без проблем? К сожалению, опыта в таких вещах нет, поэтому вынужден обратиться с таким вопросом — сильно не пинайте!
Ну и, собственно, второй вопрос. А если ддос? Посоветуйте пожалуйста что почитать по оптимизации апача, и вообще что можно сделать с ним, если ддос? Заранее спасибо!
+1
<irony>Почитайте статью «Как настроить апач чтобы любой DDOS был не страшен» ))</irony> если бы всё было так просто…
0
Никак.
Apache в текущих условиях НЕ_жилец. Тем-более с медленными win-сокетами.
Apache в текущих условиях НЕ_жилец. Тем-более с медленными win-сокетами.
0
Можете попробовать diskcryptor.net/_tools/mod_limit_v2.zip, от слабого ддоса, до 10к ботов, поможет. От более сильного, до 50к, поможет mod_limit + какой-нибудь быстрый фаерволл. От более сильного ничего не поможет, ибо ляжет канал.
0
Я не говорю, что это панацея от всего. Но лично мне этот модуль помогал, может и вам поможет. Попробовать стоит.
0
откройте много сокетов к своему apache серверу и забудьте о них clientside.
успех гарантирован. запросов нет, под ratelimit они не попадают.
сервер холодный, но ничего не отдает.
еще раз: apache в чистом виде НЕ_ЖИЛЕЦ.
убирайте его за современный веб-сервер на ваш выбор.
стройте разумные query rate политики.
успех гарантирован. запросов нет, под ratelimit они не попадают.
сервер холодный, но ничего не отдает.
еще раз: apache в чистом виде НЕ_ЖИЛЕЦ.
убирайте его за современный веб-сервер на ваш выбор.
стройте разумные query rate политики.
0
Пара тысяч может положить сам ретранслятор. Смотря, правда, как он трафик раздает — если как FMS, перепаковывая на лету, то почти гарантированно не хватит процессора, если там просто входящий поток режется и раздается, то по IO. Советую пару десятков тестовых клиентов на внешних хостах запустить (просто потоки выкачивать) и посмотреть что происходит.
0
А как с оплатой паразитного трафика?
0
Оплатите.
Именно поэтому Телко вообще не интересуют DDoS до тех пор пока это HTTP DDoS.
Для них это просто траффик за который вас хорошо можно побиллить.
Совсем другое дело когда начинает лететь в хороших обьемах мелкая udp нарезка которая «выдувает» весь MLS кэш на свитчах. Тогда да, тогда они начинают чесаться… как ужики на сковородке;)
Именно поэтому Телко вообще не интересуют DDoS до тех пор пока это HTTP DDoS.
Для них это просто траффик за который вас хорошо можно побиллить.
Совсем другое дело когда начинает лететь в хороших обьемах мелкая udp нарезка которая «выдувает» весь MLS кэш на свитчах. Тогда да, тогда они начинают чесаться… как ужики на сковородке;)
0
Это вирусный маркетинг!!! Darka пиарится!!!
(Тут, если что, АЙРОНИ!!! Просто не удержался :).)
(Тут, если что, АЙРОНИ!!! Просто не удержался :).)
+1
Один из вариантов защиты от DDoS web-приложений — использование статической индексной страницы с js-вставками, которые генерируют уникальный id сессии на основе некоторых внутренних переменных.
Все динамические части приложения перед инициализацией проверяют данный id и в случае несоответствия завершают работу.
Все динамические части приложения перед инициализацией проверяют данный id и в случае несоответствия завершают работу.
0
Купите железку, или наймите сисадмина — соберет прозрачный мост, на котором iptables+bash-скрипты по фильтру.
Zywall за свои 70к умеет очень много, нам спасает целый парк проектов от ддоса даже на 25й порт — от брутфорсов и вирусов. Там же, за дополнительную плату, ставится модуль защиты от Ддос от Касперского — мега решение!
Zywall за свои 70к умеет очень много, нам спасает целый парк проектов от ддоса даже на 25й порт — от брутфорсов и вирусов. Там же, за дополнительную плату, ставится модуль защиты от Ддос от Касперского — мега решение!
0
Нужно менять сервер на lighthttpd, регулярно настраивать ip-tables (вписывать в black list IP ботов), а первейшее средство для блокировки ddos — смена порта по-умолчанию, т.е. не 80, а к примеру 8081.
Также помогает выставление авторизации Authentication required, но тут проблема что не все пользоватетели смогут пройти такую авторизацию.
Ну и конечно если боты «тупые» т.е. не дают «User-Agent» и некоторые другие звголовки (http-headers), то задача упрощается.
А вообще полезно иметь резервный сайт на другом сервере и в случае атаки на основной сайт переписывать NS записи DNS, направляя трафик на резервный сайт, таким образом, IP сайта меняется, люди ходят на резервный сайт (как только записи DNS их провайдеров обновятся) а боты долбят старый сайт.
Также помогает выставление авторизации Authentication required, но тут проблема что не все пользоватетели смогут пройти такую авторизацию.
Ну и конечно если боты «тупые» т.е. не дают «User-Agent» и некоторые другие звголовки (http-headers), то задача упрощается.
А вообще полезно иметь резервный сайт на другом сервере и в случае атаки на основной сайт переписывать NS записи DNS, направляя трафик на резервный сайт, таким образом, IP сайта меняется, люди ходят на резервный сайт (как только записи DNS их провайдеров обновятся) а боты долбят старый сайт.
0
Sign up to leave a comment.
Шантаж 2: спасение от атаки