Могу предложить место на своем сервере. Хоть загрузить выпуск смогут все и без ограничений. Если заинтересует — внутренняя почта Хабра поможет нам договориться о деталях.
DoS-атака (от англ. Denial of Service — «отказ в обслуживании») и DDoS-атака (Distributed Denial of Service — «распределённый отказ обслуживания») — это разновидности атак злоумышленника на компьютерные системы. Целью этих атак является создание таких условий, при которых легитимные (правомерные) пользователи системы не могут получить доступ к предоставляемым системой ресурсам, либо этот доступ затруднён.
Страницы сайта есть предоставляемый системой ресурс. А юзать cisco для отражения атаки в 200 IP — вот это есть низкий уровень. Задачи понимаете разные у скриптов и железа, хотя цель одна.
> ~ 3000 — 4000 ботов выдержать с такой защитой можно, запуская такое решение по крону раз в минуту.
Я не вел речи о большом ботнете. Максимум что мне доводилось отражать это 10 000 IP. Верхнее решение помогало мне 7 раз. Да, был такой ребяческий флуд. Начиная с 7-8 тысячи любое решение размещенное на самом атакуемом сервере теряет свою эффективность на 99%. Вот когда начинаешь задумываться над наличием цисок и другого железа установленного перед атакуемым сервером
При чистейшем http- флуде при наличии какого-то отклонения в запрашиваемом URL (к примеру запрос вида «GET /lskdjflkdj.html») гораздо легче серверу выгребать инфу с помощью знакомого всем инструмента tail:
Получаем список IP. Далее лучше по моему мнению записать все это хозяйство в какую нибудь базу, например тот же niggerz, НО, нужно проверить а нет ли в ней дубликатов (perl меня тут спасает), проверив пишем в базу, и в очищенный файлик к примеру ddos. Далее все просто, читаем файлик ddos где у нас флудные, но не забаненные IP, читаем номер правила предыдущего добавленного правила в фаервол из файлика rules (предполагается наличие такового), и закрываем новую партию, обновляем файлик с номером правила, чистим файлик ddos. Все. ~ 3000 — 4000 ботов выдержать с такой защитой можно, запуская такое решение по крону раз в минуту.
Сейчас постараюсь выложить готовое решение на perl под freeBSD (линукса у меня нету)
Вот, а я думал он только меня так любит… Устав воевать с ним, я ограничил на фаерволе сервера лимит запросов для него. Nginx его держал легко, невзлюбил его mod_evasive, но так как этот модуль призван у меня лишь сигнализировать о возможных детских dos-атаках (при маштабной ddos- атаке от него толку нет вообще, скорее наооборот), то занесение рамблера в BL на 300 секунд отбивали у него охоту таким нахальным образом индексировать сайт ровно на сутки. Выдачу в нем не проверял, но рефералы идут с него, значит что-то он успевает все же проиндексировать
Это у Вас капча такая что ли? )) Я не использую mail.ru и подобные сервисы, заработал на свой почтовый сервер, добавьте пожалуйста в проверку формат почтового домена с дефисом.
ПсевдоСЕО — «невидимые» линки в комментариях, на большинстве ресурсов где комментарии доступны «гостям» стоит капча, бросил линк в каментах после того как капчу распознал индус — спас трое его детей от голодной смерти: D. А в основном только спам.
У меня KIS 2009 beta сразу сказал что в том топике фишинг атака.
Вы еще не видели логов серверов сегодня (не хабра конечно, я про свой): объявился бот с юзер- агентом libwww-perl/5.805 и libwww-perl/5.65 вот тот генерит офигетельный xss, когда попробовал посмотреть что же там за урлы, каспер взбунтовался не нашутку... пришлось даже FF из его блек-листа вытаскивать.
В общем перекинул графику с постов на субдомен. Скорость загрузки действительно возрасла, но и вместе с ростом скорости возрасла и нагрузка на сервер. Причем у меня довольно существенно.
Знаю, проходили.
Страницы сайта есть предоставляемый системой ресурс. А юзать cisco для отражения атаки в 200 IP — вот это есть низкий уровень. Задачи понимаете разные у скриптов и железа, хотя цель одна.
Я не вел речи о большом ботнете. Максимум что мне доводилось отражать это 10 000 IP. Верхнее решение помогало мне 7 раз. Да, был такой ребяческий флуд. Начиная с 7-8 тысячи любое решение размещенное на самом атакуемом сервере теряет свою эффективность на 99%. Вот когда начинаешь задумываться над наличием цисок и другого железа установленного перед атакуемым сервером
tail -1000 /var/log/nginx-access.log | grep «lskdjflkdj.html» | cut -f1 -d« „ |sort -u
Получаем список IP. Далее лучше по моему мнению записать все это хозяйство в какую нибудь базу, например тот же niggerz, НО, нужно проверить а нет ли в ней дубликатов (perl меня тут спасает), проверив пишем в базу, и в очищенный файлик к примеру ddos. Далее все просто, читаем файлик ddos где у нас флудные, но не забаненные IP, читаем номер правила предыдущего добавленного правила в фаервол из файлика rules (предполагается наличие такового), и закрываем новую партию, обновляем файлик с номером правила, чистим файлик ddos. Все. ~ 3000 — 4000 ботов выдержать с такой защитой можно, запуская такое решение по крону раз в минуту.
Сейчас постараюсь выложить готовое решение на perl под freeBSD (линукса у меня нету)
Это у Вас капча такая что ли? )) Я не использую mail.ru и подобные сервисы, заработал на свой почтовый сервер, добавьте пожалуйста в проверку формат почтового домена с дефисом.
Вы еще не видели логов серверов сегодня (не хабра конечно, я про свой): объявился бот с юзер- агентом libwww-perl/5.805 и libwww-perl/5.65 вот тот генерит офигетельный xss, когда попробовал посмотреть что же там за урлы, каспер взбунтовался не нашутку... пришлось даже FF из его блек-листа вытаскивать.
; <<>> DiG 9.3.4-P1 <<>> ODNOKLASSNIKIS.INFO
;; global options: printcmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 38019
;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 2, ADDITIONAL: 0
;; QUESTION SECTION:
;ODNOKLASSNIKIS.INFO. IN A
;; ANSWER SECTION:
ODNOKLASSNIKIS.INFO. 14330 IN A 124.217.246.79
;; AUTHORITY SECTION:
ODNOKLASSNIKIS.INFO. 86330 IN NS ns2.2014ru.com.
ODNOKLASSNIKIS.INFO. 86330 IN NS ns1.2014ru.com.
Фишинг одним словом... пишем письма в антивирусные компании...