Комментарии 634
1. Обратиться в отдел «K»
2. Обратиться в Яндекс, чтобы пробили с какого IP адреса регистрировали кошелек.
Если все производилось через анонимные прокси, то ничего не сделаешь. концы в воду
2. Обратиться в Яндекс, чтобы пробили с какого IP адреса регистрировали кошелек.
Если все производилось через анонимные прокси, то ничего не сделаешь. концы в воду
НЛО прилетело и опубликовало эту надпись здесь
Не знаю, как другие хостинг-компании, а от Мастерхоста помощи точно ждать не стоит. Они будут спокойно сидеть и смотреть, как утекают деньги со счета из-за превышения соотношения трафика.
Если сайт ddos-ят на виртуальном хостинге, то площадку переносят на карантинный сервер, где отключен зарубежный трафик. И только если DDOS продолжается и там, то отключают доступ.
Если Вы подскажете хостинг за 500р/месяц, который справится с атакой 100к в минуту, то подскажите, буду иметь в виду.
Если атака идет на colo-сервер, то также можно заблокировать зарубежный трафик для ip.
Если Вы подскажете хостинг за 500р/месяц, который справится с атакой 100к в минуту, то подскажите, буду иметь в виду.
Если атака идет на colo-сервер, то также можно заблокировать зарубежный трафик для ip.
Я вам реальный случай говорю. -300 долларов со счета за 2 с небольшим часа. А техподдержка только руками разводила. Мы их попросили VPS выключить. Они его выключили так, что потом 6 часов поднимали. Это было в сентябре или октябре 2008 г. Никто нам никуда VPS не переносил и не предлагал.
мастерхост нас по такой схеме и вырубил.
завтра может скажу про такой хостинг, если сработает.
завтра может скажу про такой хостинг, если сработает.
Понимаете… они готовы предоставить защиту от ДДОС, но это оговаривается в индивидуальном порядке и зависит от того сколько вы готовы потратить на это денег.
смотря что за атака.
с «популярным» SYN-флудом мы например обычно относительно успешно боремся )
а так если что-то сложное то за бесплатно конечно никто не будет этим заниматься, хардаврные решения настраивать и т.д.
Все это приличных денег стоит
с «популярным» SYN-флудом мы например обычно относительно успешно боремся )
а так если что-то сложное то за бесплатно конечно никто не будет этим заниматься, хардаврные решения настраивать и т.д.
Все это приличных денег стоит
это точно. там роботы какие-то сидят, не человеки
Обратиться в отдел «K» самое правильное решение
Моего знакомого в своё время в из отдела «К» послали в отделение по месту жительства аргументируя тем, что их отдел дел не заводит и работает только по запросу от людей, ведущих дело.
НЛО прилетело и опубликовало эту надпись здесь
Потерянные деньги в обеих случаях!
Большие — если сайт лежит месяц, малые — платишь раз в месяц за неддос.
Лучше среднее, заплатить и найти ублюдков, оторвать яйци
Большие — если сайт лежит месяц, малые — платишь раз в месяц за неддос.
Лучше среднее, заплатить и найти ублюдков, оторвать яйци
НЛО прилетело и опубликовало эту надпись здесь
Здравствуйте.
Если вы хотите, что бы Ваш ботнет xxxxxxxxxx работал, вы должны будете платить нам $100. ежедневно.
Внимание! начиная с 26-го августа Ваш ботнет будет переведен под наш контроль. Он будет недоступен до тех пор, пока вы не начнете нам платить.
1-й платёж (100$) должен быть совершён не позднее 31 августа.
За просрочку платежа будут начисляться пени +100% за каждый день просрочки.
Например, если вы не успеете произвести оплату в любой день месяца, то на следующий день вы будете должны оплатить пени 100%, т.е. всумме 100$, если оплатите только через два дня, то будет уже 300$ т.д. Пожалуйста, платите во время, и тогда сумма 100$ будет неизменна.
Оплату нужно производить на наш кошелек яндекс-денег Номер ************. Каждый месяц номер кошелька будет новый, будьте внимательны. Про то, как пользоваться яндекс-деньгами читайте на www.money.yandex.ru.
Если вы захотите обратиться в правоохранительные органы, мы не будем Вас отговаривать. Мы даже дадим вам их контакты: www.fsb.ru, www.mvd.ru
Если вы хотите, что бы Ваш ботнет xxxxxxxxxx работал, вы должны будете платить нам $100. ежедневно.
Внимание! начиная с 26-го августа Ваш ботнет будет переведен под наш контроль. Он будет недоступен до тех пор, пока вы не начнете нам платить.
1-й платёж (100$) должен быть совершён не позднее 31 августа.
За просрочку платежа будут начисляться пени +100% за каждый день просрочки.
Например, если вы не успеете произвести оплату в любой день месяца, то на следующий день вы будете должны оплатить пени 100%, т.е. всумме 100$, если оплатите только через два дня, то будет уже 300$ т.д. Пожалуйста, платите во время, и тогда сумма 100$ будет неизменна.
Оплату нужно производить на наш кошелек яндекс-денег Номер ************. Каждый месяц номер кошелька будет новый, будьте внимательны. Про то, как пользоваться яндекс-деньгами читайте на www.money.yandex.ru.
Если вы захотите обратиться в правоохранительные органы, мы не будем Вас отговаривать. Мы даже дадим вам их контакты: www.fsb.ru, www.mvd.ru
По международной практике нельзя вести переговоры с террористами))
А вы сами то хоть раз в этот К обращашись, а? ;)
НЛО прилетело и опубликовало эту надпись здесь
Подковырка в том, что хотелось бы услышать примеры закрытых дел по таким случаем. Ну и кроме того, в таком уж контексте, хочется узнать по каким статьям таких героев можно закрыть, а главное как доказать, что именно этот херой их совершил?
Только я говорю о реальных кибер преступниках, а не о тех сопливых кулхацерках, которые скачав какую то программу для взлома тут же пытаются её использовать с домашнего компа (при нулевом уровне знаний хотя бы основ сетевого стека) с белым IP, а потом льют слезки «мяямяяя, я больше так не будуууууу». Дело балаковской троицы? Ну извините меня, так там британцы фигурируют. Хочу примеров по родному отечеству…
Знаю как минимум один достоверный случай, когда человек стер все сайты на площадке хостера. Его смогли не только установить, но и точно выяснили где он находится. А толку. Что предьявлять? Логи сервера? Ха, обычный текстовой файл, правиться в vim-е элементарно — подделали. Провайдер готов подтвердить наличие определенного трафика с домашней машины? 1) См. п. про логи. даже если отбросим п.1 переходим к 2) а теперь докажите, что именно в это время за этой машиной находился именно этот человек. А пусть даже и находился, ничаго-не-знаю-ничего-не-делал, может вирусы.
Любое преступление оставляет финансовый след, берем злодея при получении денег? А, ну да, так он сам и пришел их забирать.
Только я говорю о реальных кибер преступниках, а не о тех сопливых кулхацерках, которые скачав какую то программу для взлома тут же пытаются её использовать с домашнего компа (при нулевом уровне знаний хотя бы основ сетевого стека) с белым IP, а потом льют слезки «мяямяяя, я больше так не будуууууу». Дело балаковской троицы? Ну извините меня, так там британцы фигурируют. Хочу примеров по родному отечеству…
Знаю как минимум один достоверный случай, когда человек стер все сайты на площадке хостера. Его смогли не только установить, но и точно выяснили где он находится. А толку. Что предьявлять? Логи сервера? Ха, обычный текстовой файл, правиться в vim-е элементарно — подделали. Провайдер готов подтвердить наличие определенного трафика с домашней машины? 1) См. п. про логи. даже если отбросим п.1 переходим к 2) а теперь докажите, что именно в это время за этой машиной находился именно этот человек. А пусть даже и находился, ничаго-не-знаю-ничего-не-делал, может вирусы.
Любое преступление оставляет финансовый след, берем злодея при получении денег? А, ну да, так он сам и пришел их забирать.
Такие дела не всегда получают огласку. Но это не значит, что их нет (я знаю как минимум один случай). «Закрывают» по статьям 273, 274 (это только как минимум, могут еще 163, наверное).
И, судя по всему, у вас довольно скудное представление о системах безопасности, логах и подобном.
И, судя по всему, у вас довольно скудное представление о системах безопасности, логах и подобном.
В епреступлениях более удачна не «постфактум»-практика, а наоборот, когда оперативники представляются потенциальными заказчиками нелегальной услуги и «ловят на живца». Тут можно было бы провернуть аналогичное.
В Яндекс пусть лучше обращается отдел К — у них быстрее и лучше получается.
Все электронные системы легко идут на сотрудничество с ними.
Если не будут принимать заявление — пишите письма в прокуратуру — надзирающий орган, как никак.
Правда на месте злоумышленников, я бы работал с левыми кошельками через тор, а выводил деньги через обменники. В этом случае дело приостановят и закроют по сроку давности. Поймать их можно только на деньгах, т.к. привязать бот-систему к конкретным людям практически невозможно, только если отслеживать сессию до бот-системы через провайдера злоумышленников, а потом изъять компьютер, с которого он выходил, а затем изъять сервера.
Подумайте на тему колллокейшена с широким каналом, это будет всяко дешевле, чем платить злоумышленникам.
Все электронные системы легко идут на сотрудничество с ними.
Если не будут принимать заявление — пишите письма в прокуратуру — надзирающий орган, как никак.
Правда на месте злоумышленников, я бы работал с левыми кошельками через тор, а выводил деньги через обменники. В этом случае дело приостановят и закроют по сроку давности. Поймать их можно только на деньгах, т.к. привязать бот-систему к конкретным людям практически невозможно, только если отслеживать сессию до бот-системы через провайдера злоумышленников, а потом изъять компьютер, с которого он выходил, а затем изъять сервера.
Подумайте на тему колллокейшена с широким каналом, это будет всяко дешевле, чем платить злоумышленникам.
интернет гоп-стоп процвевает…
осталось завести себе интернет-крышу
осталось завести себе интернет-крышу
НЛО прилетело и опубликовало эту надпись здесь
НЛО прилетело и опубликовало эту надпись здесь
По своему опыту могу сказать, что каким бы не был сисадмин, в общем случае ддоса без должной поддержки со стороны хостера ничего нельзя сделать. Я хоть и не претендую на роль мага в администрировании, но могу сказать, что когда канал забивается на 90%, то уже можно забить на какие-то попытки вытащить сервер без хостера или же каких-то специальных защит. Мы в своё время воспользовались услугами компании по антидос защите, потому что количество запросов, просто вырубало сервер в любом раскладе.
хороший сисадмин отобьётся от любой атаки, вовремя узнав про неё… часть — предотвратит.
Ах да — флуд траффиком сейчас не рулит (дорого, заумно, сложно). Eгопники используют флуд HTTP запросами.
Ах да — флуд траффиком сейчас не рулит (дорого, заумно, сложно). Eгопники используют флуд HTTP запросами.
И как админ защитит при потоке в 800мбит, допустим(случай из практики)?
Дай контакты этого чудо-админа.
Дай контакты этого чудо-админа.
Два варианта, выносят канал, это проблема хостера, прям им жалобы на не удолетворительные услуги и тп. И соотвенсвенно законный отказ оплачивать не полностью оказанную (ненадлежащего качества) услугу. И вообще акты не подписывать, на одного клиента хостер может и забить (правда через договор их можно нагнуть все равно) разорвав договор, на пачку начнут шевелиться, ну и поболее инфы сюда у кого из хост провайдеров проблема со спецами и рамещаться не стоит. Второй выносят сервис, тот же апач ресурсоемкими запосами и тп, тут уже как раз админ и фаир который их будет отбрасывать. В любом случаи положить сайт не получиться. Правда стоить все это дорого будет, ибо входящий трафик.
выше был пример, с сылкой на комбатс, это реально.
Имеется ввиду DDoS в общем случае, HTTP-flood это лишь малая часть того что могут сделать. В общем случае рассматривается именно объём входящего трафика, при определённых величинах уже не имеет смысла защищаться на самом сервере. Когда за сутки тебе в канал по отчёту хостера влетает несколько терабайт, то нужно задуматься о альтернативе.
Слышь, у тебя электронные деньги есть? А если найду?
НЛО прилетело и опубликовало эту надпись здесь
забей
НЛО прилетело и опубликовало эту надпись здесь
В первом комет все правильно сказано.
Можно указать в днс главную страницу хостера — скорее всего тогда он начнёте принимать меры =))
Или конкурентов — пусть думают вместе с вами что делать с этой напастью.=))
Ну а серьёзно — надо проанализировать откуда идет атака, иногда удается минимизировать наносимый ущерб путем отсекания какой нибудь страны или даже региона.
Можно указать в днс главную страницу хостера — скорее всего тогда он начнёте принимать меры =))
Или конкурентов — пусть думают вместе с вами что делать с этой напастью.=))
Ну а серьёзно — надо проанализировать откуда идет атака, иногда удается минимизировать наносимый ущерб путем отсекания какой нибудь страны или даже региона.
Если указать страницу хостера — то он, конечно, зашевелится и подаст на вас в отдел «К» сам.
Помнится можно было указывать в ДНС — страницу угавного управления ФСБ. Бот нет прикрывались за три часа.
Ссылки?
Сейчас не могу вспомнить, но некотрое время назад имел место прецедент перенастройки DNS то ли ФСБ, то ли на администрацию президента. Атака прекратилась за три часа.
Был прецедент атаки на сайт ЯБЛОКА, когда они редирект на сайт президента сделали — тоже очень быстро всё прикрыли, но тут уже политика. Ссылки сходу не нашёл :(
Был прецедент атаки на сайт ЯБЛОКА, когда они редирект на сайт президента сделали — тоже очень быстро всё прикрыли, но тут уже политика. Ссылки сходу не нашёл :(
собственно, сайт они сами дали — fsb.ru вот туда можно и перенаправить :)
$100 за сутки. Т.е. каждые сутки их 50K ботнета, это -$100 для них. Можно и с этой стороны посмотреть. :)
$100 за сутки. Т.е. каждые сутки их 50K ботнета, это -$100 для них. Можно и с этой стороны посмотреть. :)
Осталось дело за малым — предупредить всех клиентов о внеплановой первоапрельской шутке, отключить сервер от интернета (ибо ddos по ip еще никто не отменял) и заняться offline рекламой своей продукции…
Кстати! как идея — довольно интересная…
но вот чем это обернется для владельца домена — не понятно.
но вот чем это обернется для владельца домена — не понятно.
а я помню, когда нас ддосили, мы прописали в днс ip адрес 127.0.0.1
гениальное рядом ;)
НЛО прилетело и опубликовало эту надпись здесь
Может проще было просто выдернуть сетевой шнур? :)
О, я тоже помню. 2 года назад башоргру так поступил при ддосе.
Zoi, перелогиньтесь.
Zoi, перелогиньтесь.
Баш тогда в Норвегию свалил на Хостэкс. Сами они ничего не делали. Там (в хостэксе) люди грамотные очень. Лично знаю. Там мозги еще те.
Верно, и вопрос в том не _где_ отражают атаку а _кто_ отражает.
Многие провайдеры просто дергают сетевой провод или уводят в blackhole, тогда как профи защищают своих клиентов, и как правило не берут даже за это денег т.к. это входит в любой пакет услуг. Само собой каналы должны быть толстыми, иначе никакие мозги не помогут ;)
Многие провайдеры просто дергают сетевой провод или уводят в blackhole, тогда как профи защищают своих клиентов, и как правило не берут даже за это денег т.к. это входит в любой пакет услуг. Само собой каналы должны быть толстыми, иначе никакие мозги не помогут ;)
Мы тогда много чего делали, в том числе и несколько дней находились в хостексе, да.
У вас детектор барахлит.
НЛО прилетело и опубликовало эту надпись здесь
Говоришь на меня, а переводишь на себя!
Кстати, их угрозы вполне реальны, так как даже если вы и вычислите IP атаковавших компьютеров, то это будут только зомби. Ботнет может быть очень большой. От его размера зависят ваши действия. Если машин немного — вносите в блеклисты IP. Также необходимо правильно настроить сервер. Ограничить кол-во подключений с одного IP и т.д. Если ботнет большой, то вам мало кто сможет помочь.
Насколько мне известно, пара кисок должна фильтровать, если не забьют канал.
А нельзя использовать white list, как временную меру?
НЛО прилетело и опубликовало эту надпись здесь
В нашу доблестную? Смешно, однако. У них компьютеры только как печатные машинки.
В «К» обращаться и, в общем, выше на эту тему уже написали грамотную инфу.
В «К» обращаться и, в общем, выше на эту тему уже написали грамотную инфу.
НЛО прилетело и опубликовало эту надпись здесь
Вот тут не решусь комментировать, какие государственные учреждения какую юридическую силу имеют.
Просто такая мысль, что тут нужна вовсе не милиция, а, допустим какой-нибудь суд…
Но это уже юристов спрашивать.
Просто такая мысль, что тут нужна вовсе не милиция, а, допустим какой-нибудь суд…
Но это уже юристов спрашивать.
Сейчас модно по форумам спамить текстом с предложением пирамиды и указанием кошельков на Яндексе (раньше на WebMoney было обычно). Так вот, если отправить даже простой копипаст и ссылку на размещенную информацию, меры уже начинают принимать.
По простой жалобе яндекс тоже реагирует. Для начала кошелёк лочится, то есть не совсем лочится, деньги на него поступают, нигде ничего не написано, а вывести деньги с кошелька нельзя. Так что есть некоторое время в запасе, чтобы написать заявление куда следует…
Отдел «К» не работает с «физическими лицами»
А Вы думаете, что написавший «физик»?
Имеется ввиду, что нельзя «написать» или «позвонить» в К, они занимаются только делами по завявками самой миллиции, переданными «внутри» конторы.
То есть единственный способ предусматривается — писать заяву в отделение милиции по месту жительства, а они уже внутри передадут в К.
В теории это работает так.
По крайней мере милиция считает, что работает, не надо ухмыляться. :-|
То есть единственный способ предусматривается — писать заяву в отделение милиции по месту жительства, а они уже внутри передадут в К.
В теории это работает так.
По крайней мере милиция считает, что работает, не надо ухмыляться. :-|
Мне кажется стоит задуматься о смене хостинга, если этот не принимает никаких мер.
напиши e-mail, я им лучей поноса пошлю
e-mail легко подделать. Если бы всё было так просто…
так может они ждут моего лучезарного ответа?
А HELO-запись заголовка легко подделать? :)
Первый раз об этом слышу, если честно :)
Я не специалист, но почтовые сервера ставят записи в заголовках письма при пересылке.
И запись с тегом «HELO» ставит тот сервер, с которого отправляется письмо.
И вроде почтовые сервера верифицируют логи, чтобы письмо с сервера «А» по логам не пришло с сервера «Б». Защита от спама, ага.
А ещё, они по-идеи верифицируют домен в записи «FROM», и чтобы оно тоже совпадало с сервером, с которого отсылается письмо.
Попробуйте отправить письмо сами себе с обратным адресом bil.gayts@microsoft.com
Только не со своего почтового сервера на свой же, а куда-нибудь на gmail или yandex
И запись с тегом «HELO» ставит тот сервер, с которого отправляется письмо.
И вроде почтовые сервера верифицируют логи, чтобы письмо с сервера «А» по логам не пришло с сервера «Б». Защита от спама, ага.
А ещё, они по-идеи верифицируют домен в записи «FROM», и чтобы оно тоже совпадало с сервером, с которого отсылается письмо.
Попробуйте отправить письмо сами себе с обратным адресом bil.gayts@microsoft.com
Только не со своего почтового сервера на свой же, а куда-нибудь на gmail или yandex
Может быть FROM?
Ну почти. Поле FROM указывает на почтовый адрес для ответа.
А HELO на адрес сервера с которого ушло письмо.
Вообще, я здесь написал то, как я себе это представляю.
Да, не все почтовые клиенты показывают RFC заголовки.
А HELO на адрес сервера с которого ушло письмо.
Вообще, я здесь написал то, как я себе это представляю.
Да, не все почтовые клиенты показывают RFC заголовки.
Ну только сервер узнаешь. А не %юзернейм%.
Я бы начал с ограничения количества подключений на IP. Так же самых активных DDOSеров нужно просто заноситься в черный список.
Если атака распределённая, подключений на IP может много и не быть.
А если канал положат? или сервак упадет от обработки блек листа?
Простите, что это за сервер такой, если он падает от обработки черного списка?
маленький, слабый- болел много в детстве )
Был недавно ддос на 50кппс. Этим вполне реально могут нагрузить фаер любого линуха или бсд + очередь tcp, буферы и т.п. Сервер коре дуо ляжет, а если еще и до бэкэнда доходить запросы будут…
А на оборудовании хостера блочить нельзя было?
Можно прописать роуты. Несколько десятков тысяч роутов средняя машинка нормально довольно разруливает. роут на злобный ip черезщ 127.0.0.1
Каналу, правда, может и не помочь. Тут, как вариант блочить страны, что в не в ЦА, если атака или часть атаки будет не из них. Настроить лимит запросов с одного ip итд. Соединения не будут приниматься и канал будет меньше засираться.
Каналу, правда, может и не помочь. Тут, как вариант блочить страны, что в не в ЦА, если атака или часть атаки будет не из них. Настроить лимит запросов с одного ip итд. Соединения не будут приниматься и канал будет меньше засираться.
НЛО прилетело и опубликовало эту надпись здесь
Жалко у них нет сайта, можно было бы накрыть хабраэффектом. :)
ddos за 10 тысяч рублей? Кризис чтоль?
Накатать заяву в мастерхост во все отделы, а лучше выйти напрямую на их руководство. Пусть сами ловят того мудака-админа, который у них там зарабатывать пытается подобным образом.
Накатать заяву в мастерхост во все отделы, а лучше выйти напрямую на их руководство. Пусть сами ловят того мудака-админа, который у них там зарабатывать пытается подобным образом.
Брать ребят с УБОП и идти по следу денег. Налицо вымагательство, а еще группой лиц…
идея! можно шантажировать хабраэффектом. все легально, никаких ботов. платите мне 10 000 рублей в месяц и я не буду размещать статью на хабре с адресом вашего сайта.
Такое чувство, что текст писали дети.
не у вас одного сложилось такое впечатление))
дети они всякие бывают… кто-то в 14 лет рвет всех на олимпиадах про программированию, а кто-то растит сеть ботов… в общем возраст не может быть критерием определения серьезности или несерьезности угрозы :(
Очень похоже. 14-ти летние ксакепы, накопавшие скрипты для управления. Может и кошелек не догадались через прокс регистрировать? Писать в Яндекс нужно в любом случае.
школота детектед!
Точняк студенты младшекурсники или школьники. Человек по-старше и по-умнее написал бы завуалировано, чтобы нельзя было докопаться за вымогательство
Однако-ж.
>В назначенный час сайты подвергаются атаке и умирают. Хостеры мастерхост и русоникс — разводят
>руками, помощи от них нет.
Вы извините, но это подтверждённые данные?
>В назначенный час сайты подвергаются атаке и умирают. Хостеры мастерхост и русоникс — разводят
>руками, помощи от них нет.
Вы извините, но это подтверждённые данные?
Совершенно
Как-то сомнительно. Потому что по идее ложатся соседи по серверу. Или у вас выделенный?
нет был не выделенный. думаю, легли вместе с соседями. нас быстренько от них отселили, в случае мастерхоста.
А выделенный лег также сразу )
Могу сказать про masterhost (опыт «сотрудничества» около 3х лет).
Если ДДОСят виртуальный хост, то блокируют сайт и предлагают единственный вариант — переезд на выделенный сервер (а там уже сам разбираешься). Если ДДОСят сервер на colocation, то в лучшем случае заблокируют или UDP, или зарубежные IP (и то, после нескольких десятков писем в разные отделы и множества гневных звонков).
Более того, при ДДОСе нарушается соотношение входящего трафика к исходящему и бывает, что за час набегает пара сотен долларов за принятые гигабайты (посчитайте убытки недельной атаки), которые в любом случае придется платить, если не удастся выровнять до конца месяца (самый простой способ — запустить в ответ мощный UDP Flood).
Из договора:
3.3 При «паразитном» трафике (dos атака, иные злоупотребления третьих лиц по отношению к серверу, хостингу Абонента) трафик оплачивается в порядке, указанном в настоящем договоре.
Пример письма от MX:
Если ДДОСят виртуальный хост, то блокируют сайт и предлагают единственный вариант — переезд на выделенный сервер (а там уже сам разбираешься). Если ДДОСят сервер на colocation, то в лучшем случае заблокируют или UDP, или зарубежные IP (и то, после нескольких десятков писем в разные отделы и множества гневных звонков).
Более того, при ДДОСе нарушается соотношение входящего трафика к исходящему и бывает, что за час набегает пара сотен долларов за принятые гигабайты (посчитайте убытки недельной атаки), которые в любом случае придется платить, если не удастся выровнять до конца месяца (самый простой способ — запустить в ответ мощный UDP Flood).
Из договора:
3.3 При «паразитном» трафике (dos атака, иные злоупотребления третьих лиц по отношению к серверу, хостингу Абонента) трафик оплачивается в порядке, указанном в настоящем договоре.
Пример письма от MX:
Здравствуйте!
Уведомляю Вас, что огромным количеством запросов по протоколу HTTP к Вашему домену example.ru была вызвана критическая нагрузка на сервер виртуального хостинга, что могло крайне отрицательно сказаться на его работоспособности.
Мы вынуждены были отключить доступ по HTTP к данному домену.
Если у Вас есть информация о том, когда активность данных обращений спадет, просьба ее предоставить, после чего мы сможем включить сайт.
Также уведомляю Вас, что подобная нагрузка уже не первая, и при следующем таком инциденте будем вынуждены отключить домен example.ru без возможности включения на виртуальном хостинге, поскольку не можем рисковать работоспособностью серверов.
Всего доброго.
1-й платёж (10 000р.) должен быть совершён не позднее 31 августа.
Тогда как это подтверждено?
Банить IP наврядли получится, т.к. это могут быть зараженные машины клиентов, т.е. если всех банить — забанятся посетители. Кошельки они создают скорей всего через прокси сервера, так что IP от яндекса ничего не даст. Можно договориться с Яндексом, чтобы по IP отследили способ вывода, хотя и там замыть следы не сложно… Yandex -> Money Bookers ->… -> какая-то пластиковая карта какой-то страны… Мде, грустно…
Вполне возможно что программа яндекс.денех на стороне клиента может смотреть внешний ip.
p.s. К сожалению не имел дела с яндекс.деньгами посему это чисто предположение.
p.s. К сожалению не имел дела с яндекс.деньгами посему это чисто предположение.
Возможно… Но даже если может, эти люди хоть и пишут как дети, но так просто себя впоймать не дадут.
Вполне возможно аккаунт яндекс денег создаётся из виртуальной машины, которая получает доступ в интернет через мост прокси серверов. Причем создание аккаунтов скорей всего поставлено на поток…
Вполне возможно аккаунт яндекс денег создаётся из виртуальной машины, которая получает доступ в интернет через мост прокси серверов. Причем создание аккаунтов скорей всего поставлено на поток…
А что даёт виртуальная машина то?
Она каждый раз чистая?
А для зареганья в яденьгах надо иметь чистую винду? :)
Просто нет следов. NeonXPуже написал.
Как минимум поддельный мак адрес и в случае чего инфу с неё легче уничтожить, чем с «большого брата». На самом деле просто предосторожность.
НЛО прилетело и опубликовало эту надпись здесь
Возможно, что они сами и не создают аккаунтов.
Недавно было на фрилансерском сайте объявление «Нужно создать 100 почтовых аккаунтов, оплата 5 руб./шт.» — большая вероятность, что тут что-то не чисто. Также может быть и с кошельками вполне.
Недавно было на фрилансерском сайте объявление «Нужно создать 100 почтовых аккаунтов, оплата 5 руб./шт.» — большая вероятность, что тут что-то не чисто. Также может быть и с кошельками вполне.
ответ прост — vpn
анаонимный vpn, все так же с зараженного компьютера, а дальше сверху еще проксик навешивается, а вообще можно еще сходить в интернет кафе, или в wi-fi зону. Вариантов куча, так же можно скинуть деньги на обменники, и за 30-40% очистить деньги и получиться уже на свой кашелек чистые деньги.
анаонимный vpn, все так же с зараженного компьютера, а дальше сверху еще проксик навешивается, а вообще можно еще сходить в интернет кафе, или в wi-fi зону. Вариантов куча, так же можно скинуть деньги на обменники, и за 30-40% очистить деньги и получиться уже на свой кашелек чистые деньги.
Не может — вся работа с Я.деньгами идет через веб-интерфейс
Проверенный веками совет — никаких переговоров с шантажистами. Сразу бейте.
Если вы хотите, что бы Ваш сайт xxxxxxxxxx работал, вы должны будете платить нам 10 000 руб. ежемесячно.
Внимание! Начиная с 26-го августа ссылка на Ваш сайт будет размещена на Хабре, а сам сайт подвергнут хабраэффекту. И всё, пиши-пропало!
Внимание! Начиная с 26-го августа ссылка на Ваш сайт будет размещена на Хабре, а сам сайт подвергнут хабраэффекту. И всё, пиши-пропало!
свой сервак + грамотный админ
Хм, наверно поэтому я на vremenno.net зайти не могу. Парни как раз на мастерхосте хостятся. Жаль 8(
Будет интересно прочитать чем все закончилось и какие действия предпринимались.
Будет интересно прочитать чем все закончилось и какие действия предпринимались.
Кстати, ещё вариант — связаться с Яndex-деньги и пусть те блокируют кошелёк. Если во всех случаях поступать так, а не чесать репу, то сей вид промысла сдохнет сам собой.
Я уже не раз это говорил — не надо платить всей этой сволочи — тем, кто заказывает спам-рекламу, кибесквоттерам, такой вот забавной херне как в теме поста. Вымрут как динозавры.
Я уже не раз это говорил — не надо платить всей этой сволочи — тем, кто заказывает спам-рекламу, кибесквоттерам, такой вот забавной херне как в теме поста. Вымрут как динозавры.
А при личной встрече еще неплохо бы наносить травмы, желательно без свидетелей.
Или же заранее оповестить окружающих кто это, тогда свидетели присоеденятся и будут говорить что он сам накинулся.
Почему-то напомнило www.xkcd.ru/562/
>… тогда свидетели присоеденятся и будут говорить что он сам накинулся.
Из милицейского протокола: "… и тогда он разозлился и 38 раз ударил почками по ногам присутствовавших рядом людей..."
Из милицейского протокола: "… и тогда он разозлился и 38 раз ударил почками по ногам присутствовавших рядом людей..."
И ничего прикольного. Весной моего соседа судили — пьяный вдрабадан побил двух здоровых, трезвых ментов. И ведь осудили… Мальчик щюпленький, из спорта тока пивболом занимался… Причем у ментов была справка от медиков, что никаких повреждений не обнаружено и полное отсутствие свидетелей…
Кошелек, скорее всего, индивидуальный для каждого клиента (я бы так делал — так безопаснее). И на счету там 0.000 Если такой кошелек заблокируют, то шантажисты просто станут злее.
Начхать сколько там денег. Требуют денег — информируем Яndex. Ничего не платя.
Злиться могут сколько угодно, а вот наглеть не стоит.
Злиться могут сколько угодно, а вот наглеть не стоит.
«Слыш вась, тут на Хабре неплохое замечание сделали, надо применить» — лениво крикнул через экран своего монитора один ддосер другому :)
Полностью согласен, необходимо выбивать у них базис — доходы. Кто бы они не были, но без доходов рано или поздно им приддется заняться другим делом, найти работу
А вариант со сменой хостинга не катит? Посмотрите в сторону www.secureservertech.ru/ (не реклама)
На всякий можно поставить обычные php-антиддос скрипты.
Мне это помогало. Погугли.
Мне это помогало. Погугли.
интересно при чем тут php, если сервак от ddos атаки тормозит и ложится уже на уровне вебсевера, а не скриптов.
НЛО прилетело и опубликовало эту надпись здесь
Рискну поддержать столь жестоко заминусованный коммент -)
Если от ddos достигнут лимит соединений вебсервера, скрипт, который каждую минуту берёт из логов IP атакующих, заносит в блэк-лист iptables и перезагружает Апач, вполне может помочь. PHP или не PHP тут абсолютно неважно.
Если от ddos достигнут лимит соединений вебсервера, скрипт, который каждую минуту берёт из логов IP атакующих, заносит в блэк-лист iptables и перезагружает Апач, вполне может помочь. PHP или не PHP тут абсолютно неважно.
НЛО прилетело и опубликовало эту надпись здесь
Вопрос не так надо ставить — надо делать так, чтобы это самое максимальное количество не было достигнуто. Ставьте Nginx для блокировок динамики, а еще лучше просите хостера блокировать на фаерволле до того как трафик попадет на сетевую карту вашего сервера. Если нужны варианты — пишите в личку.
Это только для битриксов поможет.
Нормально спроектированная система будет грузит сервер меньше, чем такая «защита».
Но это поможет лишь для детских ддосов ) Что-то подростковое уже не остановить на уровне приложения.
Нормально спроектированная система будет грузит сервер меньше, чем такая «защита».
Но это поможет лишь для детских ддосов ) Что-то подростковое уже не остановить на уровне приложения.
Та ладно меньше, помню обычным скриптом удавалось отбивать весьма нехилые атаки (правда были запасные аэродромы в виде нескольких серверов, которые раздавали файлы).
Сразу атака ложила сайт полностью, решили с js не мудрить, просто запускать скрипт как демон, который парсит логи nginx, добавляет нужные правила в фаервол, ждет 10мс и снова парсит. Скрипт крутился по кругу, банил по 100-150 адресов в минуту (за первые 10 мин забанил, правда, больше 10К) и нормально себе отбивал атаку. Со временем фаервол помер, исправили на роуты и все. Я не знаю сколько ботов атаковало но если изначально они ложили даже 7 серверов без шансов, то после запуска скрипта посетители через время даже не замечали атаку.
Сразу атака ложила сайт полностью, решили с js не мудрить, просто запускать скрипт как демон, который парсит логи nginx, добавляет нужные правила в фаервол, ждет 10мс и снова парсит. Скрипт крутился по кругу, банил по 100-150 адресов в минуту (за первые 10 мин забанил, правда, больше 10К) и нормально себе отбивал атаку. Со временем фаервол помер, исправили на роуты и все. Я не знаю сколько ботов атаковало но если изначально они ложили даже 7 серверов без шансов, то после запуска скрипта посетители через время даже не замечали атаку.
Шутник :)
Содержимое статьи не фэйк, где ни будь кроме хабра подобное проскакивало? В подобных случаях по идее нужно обращаться в правоохранительные органы т.к это откровенное вымогательство. Могу предположить, что силовики заинтересуются этой проблемой.
А что ты сделаешь, если ты и твой сайт в Москве, вымогатель — на Украине (или в любой другой стране мира), а ддосят ботнетом со всего света?
Какая разница? По вашей логике, если вас ограбил кавказец и сбыл награбленное китайцу, то обращаться в органу нет смысла (вопрос эффективности их работы не будем обсуждать )
Не приписывайте мне свою логику.
Дело не в национальности.
Что может сделать московская милиция против мелкого шантажиста в Эквадоре (ещё попробуй угадай, где он) и исполнителей в США?
Дело не в национальности.
Что может сделать московская милиция против мелкого шантажиста в Эквадоре (ещё попробуй угадай, где он) и исполнителей в США?
В теории, если из другой страны, то этим занимается интерпол.
Из моей практики общения с милицией, с трудом они у вас заявление примут и то, только потому, что отказаться они не могут. Да и толку, напишут отказное. Милиция, по моему опыту, работает так: найди зломышленника, привези его к ним, тогда они только заведут дело, а тут не факт, что даже приложив усилия их можно найти.
Украина. Днепропетровск.
Из моей практики общения с милицией, с трудом они у вас заявление примут и то, только потому, что отказаться они не могут. Да и толку, напишут отказное. Милиция, по моему опыту, работает так: найди зломышленника, привези его к ним, тогда они только заведут дело, а тут не факт, что даже приложив усилия их можно найти.
Украина. Днепропетровск.
Я вот не раз слышал, когда наш отдел К помогал американцам ловить таких вымогателей, покусившихся на сайты американских компаний
есть разница: американцам не лень поднять жопу и попытаться что-то сделать для гражданина своей страны, права которого нарушены
Да, но американцы вышли на то, что хакеры в РФ сидят, а уже наши их тут нашли. Не лень и им было (если нам про этот случай правильно рассказывал препод).
По косвенным признакам (стиль письма) здесь замешан россиянин-студент или россиянин-школьник.
ЯД обналичивать всё-равно как-то надо, а значит словить человека можно. Тут уж смотря какой ресурс. Если деньги будут потеряны большие — нужно заморочиться и словить, а если нет — то полежать некоторое время — работа ботнета стоит денег и если шантажист поймёт, что денег ему не дадут — он пойдёт к другим жертвам вместо того, чтобы тратить деньги. Платить полюбому нельзя — дороже получится.
ЯД обналичивать всё-равно как-то надо, а значит словить человека можно. Тут уж смотря какой ресурс. Если деньги будут потеряны большие — нужно заморочиться и словить, а если нет — то полежать некоторое время — работа ботнета стоит денег и если шантажист поймёт, что денег ему не дадут — он пойдёт к другим жертвам вместо того, чтобы тратить деньги. Платить полюбому нельзя — дороже получится.
Хостинг смените, да и всего делов.
Вах, какой маркетинг! И бонусы, и скидки, и разные пакеты, и тарифы…
И для корпоративных пользователей, и для малого бизнеса, и для среднего…
Красота!
Надо ждать, когда партнёрку прикрутят :)
И для корпоративных пользователей, и для малого бизнеса, и для среднего…
Красота!
Надо ждать, когда партнёрку прикрутят :)
Недавно совсем пиарился Центр телекоммуникаций и технологий Интернет МГУ имени М.В. Ломоносова.
Они бесплатно защиту от ДДОС делают
Контакты:
email: be@hll.msu.ru
skype: highloadlab
icq: 551992774
С ними кто то работал? Как успехи?
Они бесплатно защиту от ДДОС делают
Контакты:
email: be@hll.msu.ru
skype: highloadlab
icq: 551992774
С ними кто то работал? Как успехи?
забавно, в первых комментах тоже давали эти адреса, но без объяснения кому они принадлежат. за что нахватали минусов. а тут с объяснениями, видимо поэтому «плюсики» :")
развернутые ответы рулят :D
развернутые ответы рулят :D
Думаю, не просто так они второй раз уже в ленте комментов… Явно эти парни. Всё на них указывает. Опять же «Дети писали»
Ну еще варант — встать на соседнюю стойку с Яндексом. Его-то не завалят… Только это дорого… Вообще интересно как деятели выбирают получателей «письма счастья». Сайт должен быть критичным ресурсом для бизнеса, а бизнес приносить существенно больше 10000 чистыми.
А вообще, дураки они. Есть куча компаний для которых интернет (но не сайт) критичный ресурс. В этих компаниях до чертиков денег и 10 тыс. наликом для них не проблема… Только я наводок давать не буду, пусть сами голову ломают что это за бизнес-клястеры…
А вообще, дураки они. Есть куча компаний для которых интернет (но не сайт) критичный ресурс. В этих компаниях до чертиков денег и 10 тыс. наликом для них не проблема… Только я наводок давать не буду, пусть сами голову ломают что это за бизнес-клястеры…
Биржевики?
У этих хорошая Защита. Брокера далеко не каждого можно завалить. Так разве что немного замедлить совершение сделок не на долго. ТАм сис-админы быстро вычисляют атаки и принимают меры… Ищите дальше :)
«немного замедлить совершение сделок не на долго.» для труброкера замедление сделок-повод рвать не голове волосы. на памяти недавний скандал на нью-йоркской бирже
Досеры даже замедлить не могут. У ведущих брокеров стоить мощное магистральное оборудование фильтрации пакетов. Там по-другому атаковать надо. Не буду распространяться как…
P.S. У нас тоже такое случается. Вот недавно сбер тоже сообщал о замедлении сделок. По Москве решили проблему за пару часов. А уж у сбера ивестиционных сделок кот наплакал. По оборотам в сотню не попадает.
P.S. У нас тоже такое случается. Вот недавно сбер тоже сообщал о замедлении сделок. По Москве решили проблему за пару часов. А уж у сбера ивестиционных сделок кот наплакал. По оборотам в сотню не попадает.
я полагаю – эти бизнесмены решать эти вопросы будут не через милицию какую-нибудь :D а тупо найдут организаторов и их же самих на деньги «поставят» :D
Любой работающий и прибыльный интернет-магазин не пожалеет 10к рублей(всего лишь!) в месяц на поддержку работоспособности своего единственного источника дохода.
НЛО прилетело и опубликовало эту надпись здесь
НЛО прилетело и опубликовало эту надпись здесь
Привет. Сталкивался и я когда-то с подобной ситуацией, тоже ложили под ддос ни за что, ни про что, и не требовали первое время не чего, просто баловались. Я нашёл слабенький, но выход из ситуации
Маленький Perl скрипт (простите, перл знаю крайне поврхнастно)
где пункт
меняйте под себя, смари в логах какие юзерагенты юзаются для ддоса и вносите их.
Собственно, как видно по скрипту он, по айпитаблам работает.
Так как у меня собственный сервер, меня это спасло, если у вас тоже свой сервер, попробуйте поставить себе модули к Apache
модули mod_iplimitcon + mod_evasive.
Меня данный метод очень спас, надеюсь и вам поможет.
Маленький Perl скрипт (простите, перл знаю крайне поврхнастно)
#!/usr/bin/perl
use strict;
my @BAD_BROWSERS = (
'ZyBorg',
'vaginamook@inktomi.com',
'FAST-WebCrawler/3.8',
'www\.lolyousuck\.com',
'Opera/9.02',
'Gecko/20061204 Firefox/2.0.0.1',
'Mozilla/4.75',
);
my %banned = {};
while ( <> )
{
my ( $ip, $date, $core, $request, $browser ) = m/^(.*?) .*? .*? (\[.*?\]) (\d+) "(.*?)" .*? ".*?" "(.*?)" ".*?"$/;
for my $bad_browser ( @BAD_BROWSERS )
{
next if exists $banned{$ip};
if ( $browser =~ m/$bad_browser/ )
{
$banned{$ip} = $bad_browser;
print "Banning $ip [browser match $bad_browser: $browser]\n";
system( "iptables -A INPUT -p tcp -m tcp -s $ip -i eth0 --dport 80 -j DROP" );
}
}
}
где пункт
ZyBorg', 'vaginamook@inktomi.com', 'FAST-WebCrawler/3.8', 'www\.lolyousuck\.com', 'Opera/9.02', 'Gecko/20061204 Firefox/2.0.0.1', 'Mozilla/4.75', );
меняйте под себя, смари в логах какие юзерагенты юзаются для ддоса и вносите их.
Собственно, как видно по скрипту он, по айпитаблам работает.
Так как у меня собственный сервер, меня это спасло, если у вас тоже свой сервер, попробуйте поставить себе модули к Apache
модули mod_iplimitcon + mod_evasive.
Меня данный метод очень спас, надеюсь и вам поможет.
Так нагло даже в лихие 90-е не шантажировали…
это не шантаж, это рекет. Напоминает «лихие девяностые». Есть смысл переносить сайт / представительство компании в места, не подверженные DDoS-атакам (например, использовать сервера Google).
то же самое хотел сказать.
если сайт простой или написан на Java/Python, то смело сливайте его на Google AppEngine.
С одной стороны, это *дешевле* чем ваш нынешний хостинг (бесплатно)
С другой — абсолютно резиновая масштабируемость. Они заддосятся вас ддосить =)
если сайт простой или написан на Java/Python, то смело сливайте его на Google AppEngine.
С одной стороны, это *дешевле* чем ваш нынешний хостинг (бесплатно)
С другой — абсолютно резиновая масштабируемость. Они заддосятся вас ддосить =)
Если использовать cloud hosting, то при DDoS-атаках счет за услуги хостера будет неприятным, если я ничего не спутал.
Из их faq:
Если вы считаете, что ваше приложение находится под угрозой атаки отказа в обслуживании, обратитесь в нашу службу поддержки и предоставьте фрагмент журналов запросов, указывающий на это, и объяснение, почему вы так думаете. На это время вам может быть предоставлен кредит на услугу.
Если ДДОС подтвердят, за него ничего не заплатите, как на форуме ребята из app.team говорили, nick johnson по-моему.
Если вы считаете, что ваше приложение находится под угрозой атаки отказа в обслуживании, обратитесь в нашу службу поддержки и предоставьте фрагмент журналов запросов, указывающий на это, и объяснение, почему вы так думаете. На это время вам может быть предоставлен кредит на услугу.
Если ДДОС подтвердят, за него ничего не заплатите, как на форуме ребята из app.team говорили, nick johnson по-моему.
Фэйком за километр попахивает пост.
терроризм :(
Про Максакова уже забыли видимо. Восемь лет строгого.
Погуглил, толком ничего не нашел. Можно поподробнее, плз?
Плохо гуглите :) держите
Да, забыл добавить в запрос слово «ddos». Видать, конец рабочего дня сказывается. :) Спасибо!
Круто! Но вообще, имхо, совсем другой «коленкор». Во-первых, дело международное; во-вторых суммы совершенно другие. И да: «За четыре месяца удалось установить IP-адреса». Сомневаюсь, что службы рьяно пойдут на такое из-за 10 килорубей.
P.S. «Потери из-за хакерских атак пострадавшие оценили в 2 млн. долларов. Еще столько же компании, по их расчетам, потратили на ремонт испорченного оборудования...»
Я, походу, хреновый специалист, но как ддосом можно было повредить оборудование, еще и на такие суммы?
P.S. «Потери из-за хакерских атак пострадавшие оценили в 2 млн. долларов. Еще столько же компании, по их расчетам, потратили на ремонт испорченного оборудования...»
Я, походу, хреновый специалист, но как ддосом можно было повредить оборудование, еще и на такие суммы?
Харды только так улетают.
Читаете через строчку
Пострадавшие компании относятся к числу сетевых: вся их деятельность — от приема ставок до выплаты выигрышей — проходит в Интернете.
Т.е. в данном случае потери — это потерянная, из-за ддос, прибыль. Рассчитывается как средняя прибыль за тот же период в прошлом, минус в текущая прибыль. В «нормальных» странах является заявительной — джентльменам верят наслово.
Пострадавшие компании относятся к числу сетевых: вся их деятельность — от приема ставок до выплаты выигрышей — проходит в Интернете.
Т.е. в данном случае потери — это потерянная, из-за ддос, прибыль. Рассчитывается как средняя прибыль за тот же период в прошлом, минус в текущая прибыль. В «нормальных» странах является заявительной — джентльменам верят наслово.
www.kommersant.ru/doc.aspx?DocsID=709912
Студент Балаковского института техники, технологии и управления 22-летний Иван Максаков, по версии обвинения, в 2003 году написал несколько программ-роботов (ботов) и создал хакерскую сеть. Программы инициировали DoS-атаки на сайты букмекерских контор, принимающих ставки в интернете, блокируя эти сайты. По данным следствия, контролировал проведение DoS-атак 24-летний выпускник Астраханской академии права Александр Петров, а подготовку к атакам проводил 25-летний Денис Степанов из Санкт-Петербурга.
Студент Балаковского института техники, технологии и управления 22-летний Иван Максаков, по версии обвинения, в 2003 году написал несколько программ-роботов (ботов) и создал хакерскую сеть. Программы инициировали DoS-атаки на сайты букмекерских контор, принимающих ставки в интернете, блокируя эти сайты. По данным следствия, контролировал проведение DoS-атак 24-летний выпускник Астраханской академии права Александр Петров, а подготовку к атакам проводил 25-летний Денис Степанов из Санкт-Петербурга.
Ну платить как то совсем бесперспективно. Остается отдел К — неглупые люди вроде там сидят.
Нижайше прошу вас держать общественность в курсе дальнейшего развития ситуации.
Или действительно попробуйте применить DNS forward на тот же мастерхост, я думаю они станут шевелиться чуть быстрее. С другой стороны это всё равно не выход, сайт-то работать не будет, но вероятность того, что кулхацкер получит по ушам несколько увеличивается.
У нас была подобная ситуация, было натравлено около 150 000 ботов. Легла вся подсеть у хостера, анти-ддос защита вообще никак не справлялась. Хостер просто отключил сервер на несколько дней. Как это ни печально — пришлось заплатить, хоть и цена была небольшая ~150$. ДДосер оказался не русский, так что отдел К просто развел руками.
Больше не повторялось.
Больше не повторялось.
>> хостеры мастерхост и русоникс — разводят руками, помощи от них нет
Это было еще одним пунктом в принятии решения о смене хостера буквально недавно.
Это было еще одним пунктом в принятии решения о смене хостера буквально недавно.
А вы думаете что когда к вам придет ДДОС который будет забивать бОльшую часть каналов хостера — он вас будет долго терпеть? нет.
ибо от атаки страдаете не только вы, но также и другие клиенты.
это суровая реальность.
ибо от атаки страдаете не только вы, но также и другие клиенты.
это суровая реальность.
>>А вы думаете
Я думаю совсем не так, как вы описали :)
За 5 лет, будучи клиентом, уже понял как устроен хостинг Х, и кто работает в службе поддержки.
Приехав однажды в датацентр, ждал 20 минут, пока оператор договорит по аське со своей девушкой.
А за те деньги, которые платятся в Москве за коллокэйшн вполне можно обеспечить клиентов минимальной поддержкой в случае хакеров-ддосов и прочих неприятностей.
Я думаю совсем не так, как вы описали :)
За 5 лет, будучи клиентом, уже понял как устроен хостинг Х, и кто работает в службе поддержки.
Приехав однажды в датацентр, ждал 20 минут, пока оператор договорит по аське со своей девушкой.
А за те деньги, которые платятся в Москве за коллокэйшн вполне можно обеспечить клиентов минимальной поддержкой в случае хакеров-ддосов и прочих неприятностей.
А что спрятано за фразой «Х и У разводят руками»? Как выглядит это процесс? С кем велась переписка\разговор?
Писали на почту, а потом общались по телефону с ТП. От обоих хостеров ответ был таков «У нас нет способа вам помочь»
«Мы можем отключить ваш траффик-порт, на какой-нибудь срок» — еще вариант ответа.
ммм. я бы для начала вышел на кого-нить выше чем ТП. Любым способом хоть до приезда лично в офис и поиска нужной персоны. Это если отвлечься от технических вариантов, как более сложно реализуемых ) Когда в письменном виде получил бы за подписью ответ от кого-то поважнее чем сотрудник ТП, со спокойной душой продолжил бы дальше перебор вариантов.
Как раз вчера анализировал DDoS-бота. Напишите в личку, есть пара вопросов по этим атакам.
Как страшно жить! :)
подавайте заявление в отдел «К», как вариант развития — оплата под присмотром Кшников и пробивание путей вывода денег к конечному владельцу сети
[offtopic]
«Фальшивые зеркала» Лукьяненка вспоминается.
[/offtopic]
«Фальшивые зеркала» Лукьяненка вспоминается.
[/offtopic]
Когда-то Крылов писал: ай, Мося, знать она сильна, коль лает на слона… Скорее всего тут пахнет каким-то пиаром, пока непонятно в чью сторону. Дальнейшее развитие ситуации покажет кому было выгодно шум поднимать.
ага, голос получит тот, кто щас нам поможет.
Ребята, я уже написал, что у меня сейчас есть информация по одной из бот-сетей, занимающейся DDOS'ом. Час назад написал…
Я видел. Чем вы можете нам помочь? В вирусе есть ключи к его хозяевам?
короче, похоже что это пиар в пользу фсб
потом пойдут крики: сажать их, вешать, на кол…
а потом всех дружно заарестуют, например, чтоб какие отпечатки пальцев взять )))
потом пойдут крики: сажать их, вешать, на кол…
а потом всех дружно заарестуют, например, чтоб какие отпечатки пальцев взять )))
НЛО прилетело и опубликовало эту надпись здесь
Ждем в коментах ссылки на хостера где подобные проблемы «оперативно решаются сотрудниками техподдержки»? :)
Господа, позвольте… а не для этого случайно СОРМ придумывали. Ведь всех провайдеров обязали его себе ставить.
При правильном обращении в ФСБ, а не в отдел «К», который в этом случае неэффективен, можно легко и беспрепятственно накрыть этот детский сад вместе с воспитателем :)
При правильном обращении в ФСБ, а не в отдел «К», который в этом случае неэффективен, можно легко и беспрепятственно накрыть этот детский сад вместе с воспитателем :)
сорм бесполезен, если мошенники с презервативом под впн-ом/проксей сидят. А они не думаю, что настолько тупы под своим ип-ом темные дела делать.
Это вопрос времени и ресурсов.
В том и дело, что сначала вычисляется до проваедера, а потом поднимаются логи выдачи на район, квартал, дом. Для ФСБ это достаточно.
Один раз спровоцировать DDOS-еров и привет, уже сидят!
Один раз спровоцировать DDOS-еров и привет, уже сидят!
Не, я не спорю, но их спровоцировть еще надо. Крайне маловероятно.
И такие люди обычно даже новости под впн-ом читают с рабочих машин…
И такие люди обычно даже новости под впн-ом читают с рабочих машин…
Эсли это дети, то да. Хотя на моей практике такие случаи были. И наша доблестная милиция очень оперативно срабатывала.
Прошу прощения за нубский вопрос, но а вот если у меня сервер в амазоновском облаке лежит, они его точно так же могут положить? Или Амазон выстоит?
Думаю здесь важней вопрос сколько вам придётся отдать Амазону за этот ддос.
Я опять же не знаток вопроса, но при DDOS трафика выжирается относительно немного, сервер просто закидываюд запросами. А Амазону нужно только за трафик и ежечасную работу образа выплачивать.
НЛО прилетело и опубликовало эту надпись здесь
Если амазон выстоит, то думаю кошелек — нет. Хотя зависит от предлагаемых услуг Амазоном. Лучше у них спросить.
Один облачный хостер тут обещал защиту от ддос-атак и невзимание средств в случае таковых.
Один облачный хостер тут обещал защиту от ддос-атак и невзимание средств в случае таковых.
Да фигня это. Нормальный программер/сис. админ и всё решится. Если они флудят по HTTP, то можно пофильтровать на файрволе с трансляцией блокирующих правил на upstream (на железки провайдеру).
Ну и прикрутить такую штуку чтоб страничка открывалась только если есть кука, а если нет, то Set-Cookie + location.refresh(), ну и в белый лист всякие поисковики добавить, их диапазоны широко известны и публично доступны.
Кому нужно отбить DDoS — пишите в личку ;-) Нидорага.
Ну и прикрутить такую штуку чтоб страничка открывалась только если есть кука, а если нет, то Set-Cookie + location.refresh(), ну и в белый лист всякие поисковики добавить, их диапазоны широко известны и публично доступны.
Кому нужно отбить DDoS — пишите в личку ;-) Нидорага.
Вот немного погуглил.
group-ib.ru/ddos.html — ребята занимаются
* Расследования DDOS-атак
* Мероприятия по защите от DDOS атаки во время атаки (время реакции от 20 минут до 1 часа)
* Мероприятия по профилактике DDOS атак
Если в друг найдешь решение проблеммы, маякни мне пожалуйста.
Недавто меня тоже ддосили :-(
group-ib.ru/ddos.html — ребята занимаются
* Расследования DDOS-атак
* Мероприятия по защите от DDOS атаки во время атаки (время реакции от 20 минут до 1 часа)
* Мероприятия по профилактике DDOS атак
Если в друг найдешь решение проблеммы, маякни мне пожалуйста.
Недавто меня тоже ддосили :-(
А мне кажется тру пипл, взламывают без предупреждения. Шиношантаж
во первых, 2000 ботов это не ддос.
во вторых, думать тут не о чем идти в милицию и писать заявление. Состав преступления тут очевиден сразу по двум статьям. На моей практике работы в хостинге, были прецеденты когда отдел К решал вопрос.
во вторых, думать тут не о чем идти в милицию и писать заявление. Состав преступления тут очевиден сразу по двум статьям. На моей практике работы в хостинге, были прецеденты когда отдел К решал вопрос.
НЛО прилетело и опубликовало эту надпись здесь
Оптимальный вариант — работать только с теми хостерами, которые не будут винить вас в dos-атаке сервера. Отключение сервера на пару дней, требование доплаты, переселение на другой сервер не может быть адекватным решением проблемы и только портит репутацию хостера ИМХО.
Ну и, соответственно, обращение в «соответствующие органы», которые уже смогут проследить дальнейший трансвер денег с кошельков, указанных вымогателями. Самостоятельно пытаться выйти на след преступников — пустая трата времени.
Ну и, соответственно, обращение в «соответствующие органы», которые уже смогут проследить дальнейший трансвер денег с кошельков, указанных вымогателями. Самостоятельно пытаться выйти на след преступников — пустая трата времени.
1. Написать статью о шантаже
2. Заверить, что это правда
3. Разослать письма испуганным юзерам
4. ?????
5. PROFIT
2. Заверить, что это правда
3. Разослать письма испуганным юзерам
4. ?????
5. PROFIT
НЛО прилетело и опубликовало эту надпись здесь
Не платите, ждите пока у них деньги на ддос закончатся!
вычислительные облака амазона, взять «хостинг» с3, они весь кал отрежут сами, в скором порядке
угу, а за траф сколько платить потом?
ботовый траф очень мизерный, он вернее как шум, а что бы он стал ощутимый нужно куда больше 50к ботов, ибо если он станет увесистым, то зараженный компы начнут палится загрузкой проца и сетевой карты
Я человек неопытный в этих вопросах, но полагаю, что 1 запроса в _минуту_ с 50 000 ботхостов на один среднестатистический сайт (сервер) вполне достаточно, чтобы этот сайт (сервер) лёг.
Вы в Google работаете?
Вы в Google работаете?
Нет, не работаю, но не против :)))
Каналы на амазон.с3 слишком широки, атака (хттп-запрос, весом до 2к, у ботов и того меньше, где-то 0.2-05) одновременно всех 50к ботов мало вероятна. Займут не много, утонут в канале.
ДДос атаки амазон.с3 отрезает в начале, сам по себе, пропуская шумовой мизер, трафа будет не много левого ;)
Но да, амазон дорог, и брать его на сайт с 2к-5к посетителей нету смысла наверное
Каналы на амазон.с3 слишком широки, атака (хттп-запрос, весом до 2к, у ботов и того меньше, где-то 0.2-05) одновременно всех 50к ботов мало вероятна. Займут не много, утонут в канале.
ДДос атаки амазон.с3 отрезает в начале, сам по себе, пропуская шумовой мизер, трафа будет не много левого ;)
Но да, амазон дорог, и брать его на сайт с 2к-5к посетителей нету смысла наверное
Storage
$0.180 per GB – first 50 TB / month of storage used
$0.170 per GB – next 50 TB / month of storage used
$0.160 per GB – next 400 TB / month of storage used
$0.150 per GB – storage used / month over 500 TB
забить эти боты такой траф врядли смогут, даже за месяц
$0.180 per GB – first 50 TB / month of storage used
$0.170 per GB – next 50 TB / month of storage used
$0.160 per GB – next 400 TB / month of storage used
$0.150 per GB – storage used / month over 500 TB
забить эти боты такой траф врядли смогут, даже за месяц
вы немножко путаете )
в данном случае нужен EC2 и стоимость трафика
aws.amazon.com/ec2/#pricing
вообще, данное решение в качестве способа отбить атаку очень хороший вариант
в данном случае нужен EC2 и стоимость трафика
aws.amazon.com/ec2/#pricing
вообще, данное решение в качестве способа отбить атаку очень хороший вариант
+ s3.amazonaws.com/aws_blog/AWS_Security_Whitepaper_2008_09.pdf
The AWS network provides significant protection against traditional network security
issues and the customer can implement further protection. The following are a few
examples:
• Distributed Denial Of Service (DDoS) Attacks: AWS API endpoints are hosted
on the same Internet-scale, world class infrastructure that supports the
Amazon.com retail site. Standard DDoS mitigation techniques such as syn
cookies and connection limiting are used. To further mitigate the effect of
potential DDoS attacks, Amazon maintains internal bandwidth which exceeds its
provider-supplied Internet bandwidth.
100 ботов хватает чтобы повалить LAMP(Debian) ненастроенный с Друпалом. Точнее не повалить, а разорвать Апач и мускуль.
а 50к хватит чтобы… нуу… ммм… свалить такой сервер, просто обращаясь на html страницу)))
а 50к хватит чтобы… нуу… ммм… свалить такой сервер, просто обращаясь на html страницу)))
Клин клином. Пару проверенных методов социальной инженерии, и ребята попадутся на крючок. Обращайтесь.
*пробегая мимо* Извините, что встреваю, но имхо, за информацию кто производит атаку я бы денег не пожалел, даже куда больших, чем требуют с вас эти кулхацкеры.
«Внимание! начиная с 26-го августа Ваш сайт будет подвергнут Ддос атаке.» (с)
А можно узнать, ддос атака началась?
А можно узнать, ддос атака началась?
Вспоминаются слова друзей/знакомых/родственников/блондинок и прочих виндузятников: «А что, мне вирус не мешает. Ну и пусть себе работает. Мне то что?».
Таким вот образом обычные люди помогают шантажистам (я про формирование ботнета)
%username%, ты уверен что ты или твои знакомые сейчас не участвуют в этой атаке?
Таким вот образом обычные люди помогают шантажистам (я про формирование ботнета)
%username%, ты уверен что ты или твои знакомые сейчас не участвуют в этой атаке?
Ну да, так и есть.
Пару дней назад мне позвонил сотрудник с просьбой посоветовать антивирус, а то что-то комп начал тормозить. У него ноут, на котором отродясь антивирусов не было. Антивирус должен был быть бесплатным.
Порекомендовал Avira Antivir, но не подошёл, на непонятном языке софт. Сошлись на Avast (вполне себе уважаемый антивирус, правда истерит иногда не по делу).
В итоге оказалось что у гражданина заражены практически все ехе, dll, sys файлы плюс к тому «диких тел» хватало. Аваст честно их убил. Ну он спрашивал что делать, а клиент нажимал «Убить» (зачем мне два диска С? Я один и удалил).
В итоге мне сегодня выкатили заявление, что «Лучше бы я с этими вирусами жил, чем с этим долбанным антивирусом, на… ты мне его посоветовал, у меня теперь бук не грузится» ну и прочее бла-бла-бла.
Вот так.
Пару дней назад мне позвонил сотрудник с просьбой посоветовать антивирус, а то что-то комп начал тормозить. У него ноут, на котором отродясь антивирусов не было. Антивирус должен был быть бесплатным.
Порекомендовал Avira Antivir, но не подошёл, на непонятном языке софт. Сошлись на Avast (вполне себе уважаемый антивирус, правда истерит иногда не по делу).
В итоге оказалось что у гражданина заражены практически все ехе, dll, sys файлы плюс к тому «диких тел» хватало. Аваст честно их убил. Ну он спрашивал что делать, а клиент нажимал «Убить» (зачем мне два диска С? Я один и удалил).
В итоге мне сегодня выкатили заявление, что «Лучше бы я с этими вирусами жил, чем с этим долбанным антивирусом, на… ты мне его посоветовал, у меня теперь бук не грузится» ну и прочее бла-бла-бла.
Вот так.
знакомая ситуация :(
> у меня теперь бук не грузится
Таким людям компы нельзя давать :) Так их и надо «мочить», форматированием диска :)
Ну а если без шуток, то автор топика просит помощи. Посильной помощью будет не забивать на знакомых с вирусами, а поставить им хотябы бесплатный антивирус. Эдакая профилактика таких ситуаций.
К тому же не секрет, что многие (включая хабролюдей) качают палёную 7ку ;)
Таким людям компы нельзя давать :) Так их и надо «мочить», форматированием диска :)
Ну а если без шуток, то автор топика просит помощи. Посильной помощью будет не забивать на знакомых с вирусами, а поставить им хотябы бесплатный антивирус. Эдакая профилактика таких ситуаций.
К тому же не секрет, что многие (включая хабролюдей) качают палёную 7ку ;)
Вот как на 4 года по 274 статье его посадят — сразу соглашаться начнет.
НЛО прилетело и опубликовало эту надпись здесь
Уважаемый Майсерж, Вы действительно думаете, что пользователь компьютера должен заниматься всякой хернёй вместо работы — такой как пересборка ядра, настройка Wi-Fi и веб-камеры, синаптиковского тачпэда? Может быть за это сам Торвальдс платит пользователю деньги?
простите, не удержался
простите, не удержался
НЛО прилетело и опубликовало эту надпись здесь
Я бы немного по другому поставил вопрос:
Вы действительно думаете, что жилец любой квартиры должен заниматься всякой херней вместо работы — устанавливать замки, решетки на окна, сигнализацию в дебильно спроектированных домах, окна которых выходят на улицу. Может за это <подставьте имя мэра города где вы живете> платит жильцам деньги?
Вы действительно думаете, что жилец любой квартиры должен заниматься всякой херней вместо работы — устанавливать замки, решетки на окна, сигнализацию в дебильно спроектированных домах, окна которых выходят на улицу. Может за это <подставьте имя мэра города где вы живете> платит жильцам деньги?
Не вводите людей в заблуждение. Я 2 года на линуксе. Без понятия как пересобирать ядро. Да и wifi, вебкамера и тачпад не знаю как настраивать. Работает и так ;)
>Вы действительно думаете, что пользователь компьютера должен заниматься всякой хернёй вместо работы — такой как пересборка ядра, настройка Wi-Fi и веб-камеры, синаптиковского тачпэда?
Нет, не должен. А зачем?
Вы не поверите, но я не занимаюсь вылавливанием вирусов вот уже несколько лет (в силу того, что не пользуюсь системами от МС), однако и описанные Вами ужасы мне совершенно чужды. Ядро я собирал один-единственный раз в жизни, году этак в 2005-м, и то ради эксперимента, уж очень руки чесались, веб-камера на десктопе настроилась сама, достаточно было установить драйвер (из репозитория, кстати), а на ноуте вообще подхватилась автоматом во время установки. С вайфаем проблем никаких не было (а вот под Виндой на старом ноуте, кстати, ровно наоборот: сеть отваливалась с произвольным интервалом, при том что под Дебианом пахала сутками без разрывов).
>простите, не удержался
Зря. Аргументы получились из серии «а у вас зато негров линчуют», да и те, честно говоря, уже попахивают нафталином…
Нет, не должен. А зачем?
Вы не поверите, но я не занимаюсь вылавливанием вирусов вот уже несколько лет (в силу того, что не пользуюсь системами от МС), однако и описанные Вами ужасы мне совершенно чужды. Ядро я собирал один-единственный раз в жизни, году этак в 2005-м, и то ради эксперимента, уж очень руки чесались, веб-камера на десктопе настроилась сама, достаточно было установить драйвер (из репозитория, кстати), а на ноуте вообще подхватилась автоматом во время установки. С вайфаем проблем никаких не было (а вот под Виндой на старом ноуте, кстати, ровно наоборот: сеть отваливалась с произвольным интервалом, при том что под Дебианом пахала сутками без разрывов).
>простите, не удержался
Зря. Аргументы получились из серии «а у вас зато негров линчуют», да и те, честно говоря, уже попахивают нафталином…
Ну а я никогда не занимался вылавливанием вырусов, не смотря на то, что импользую систему от МС. Тачку тоже придётся часто чинить, если не умеешь её водить = )
Давайте рассуждать логически.
Мы говорили о простых пользователях, которые не обладают Вашей квалификацией, поэтому им то и дело приходится вылавливать вирусы (ну или просить об этом более квалифицированных товарищей). Также эти пользователи не обладают достаточной квалификацией для настройки камеры в случае, если она не поднимется автоматом. А теперь внимание, логические рассуждения:
1) Пользователь хочет Виндовс без вирусов. Варианта 2: либо а) становиться специалистом самостоятельно (мне, к примеру, таким специалистом стать не удалось за ~7 лет использования Винды), либо б) звать того, кто таким специалистом уже является. Третьего не дано. Вывод: внимание специалиста требуется в 100% случаев, иначе вирусованность гарантирована.
2) Пользователь хочет Линукс с веб-камерой и вайфаем. Варианта 3: либо а) камера и вай-фай заработают сами, либо б) нужно становиться специалистом, либо в) нужно звать специалиста. Вывод: внимание специалиста требуется в < 100% случаев.
Причём по моему опыту — сильно <100%. Если быть точнее, то все три :) камеры, с которыми я имел дело, заработали без проблем. Две из них потребовали установки пакета gspca из репозитория (название пакета нашлось первой же ссылкой из гугля по запросу "<модель_камеры> linux"), да и то, подозреваю, потому что дистрибутив в обоих случаях был «суровый Debian», а третья камера (встроеная на ноуте Thinkpad T400) заработала сама, как под Федорой 10, так и под Убунтой 9.04.
С вайфаем ситуация похожая: на десктопе нужно было установить дополнительный пакет (да-да, там всё тот же Дебиан :)), на двух ноутах всё заработало само и сразу. Внимание специалиста не потребовалось.
Мы говорили о простых пользователях, которые не обладают Вашей квалификацией, поэтому им то и дело приходится вылавливать вирусы (ну или просить об этом более квалифицированных товарищей). Также эти пользователи не обладают достаточной квалификацией для настройки камеры в случае, если она не поднимется автоматом. А теперь внимание, логические рассуждения:
1) Пользователь хочет Виндовс без вирусов. Варианта 2: либо а) становиться специалистом самостоятельно (мне, к примеру, таким специалистом стать не удалось за ~7 лет использования Винды), либо б) звать того, кто таким специалистом уже является. Третьего не дано. Вывод: внимание специалиста требуется в 100% случаев, иначе вирусованность гарантирована.
2) Пользователь хочет Линукс с веб-камерой и вайфаем. Варианта 3: либо а) камера и вай-фай заработают сами, либо б) нужно становиться специалистом, либо в) нужно звать специалиста. Вывод: внимание специалиста требуется в < 100% случаев.
Причём по моему опыту — сильно <100%. Если быть точнее, то все три :) камеры, с которыми я имел дело, заработали без проблем. Две из них потребовали установки пакета gspca из репозитория (название пакета нашлось первой же ссылкой из гугля по запросу "<модель_камеры> linux"), да и то, подозреваю, потому что дистрибутив в обоих случаях был «суровый Debian», а третья камера (встроеная на ноуте Thinkpad T400) заработала сама, как под Федорой 10, так и под Убунтой 9.04.
С вайфаем ситуация похожая: на десктопе нужно было установить дополнительный пакет (да-да, там всё тот же Дебиан :)), на двух ноутах всё заработало само и сразу. Внимание специалиста не потребовалось.
Ваша логика утыкается всего только в один интересный фактик — никто, кроме гиков (читай-специалистов) не станет ставить себе что-либо, кроме винды. Это и без логики видно и в доказательствах не нуждается.
А по поводу того, что всё заработает — может Вы и правы — я никогда не пытался проверять.
Суть одна — как только любой из никсов станет по популярности сравним с виндой — под него станет писаться куча малвара и начнутся те же самые проблемы
А по поводу того, что всё заработает — может Вы и правы — я никогда не пытался проверять.
Суть одна — как только любой из никсов станет по популярности сравним с виндой — под него станет писаться куча малвара и начнутся те же самые проблемы
>Ваша логика утыкается всего только в один интересный фактик — никто, кроме гиков (читай-специалистов) не станет ставить себе что-либо, кроме винды.
Вы почему-то игнорируете ещё один «интересный фактик»: никто из «не специалистов» не будет себе ставить вообще ничего, в том числе и винду. Ставить будет сосед-компутерщик (читай — гик).
>Суть одна — как только любой из никсов станет по популярности сравним с виндой — под него станет писаться куча малвара и начнутся те же самые проблемы
А-а-а, так Вы из тех, кто уверен, что проблемы винды исключительно в распространённости, и что «будет линукс популярен — будут и вирусы и всё остальное?»
Дык сказали бы сразу — я бы не тратил своё время.
Вы почему-то игнорируете ещё один «интересный фактик»: никто из «не специалистов» не будет себе ставить вообще ничего, в том числе и винду. Ставить будет сосед-компутерщик (читай — гик).
>Суть одна — как только любой из никсов станет по популярности сравним с виндой — под него станет писаться куча малвара и начнутся те же самые проблемы
А-а-а, так Вы из тех, кто уверен, что проблемы винды исключительно в распространённости, и что «будет линукс популярен — будут и вирусы и всё остальное?»
Дык сказали бы сразу — я бы не тратил своё время.
Простите, что влезаю в ваш ученый спор, но хотелось бы отметить, что объективная реальность, данная мне в ощущениях, как раз таки свидетельствует о том, что установить, настроить линь так, чтобы все заработало (gprs, звук, видео — с этими часто проблемы), нужно потратить туеву хучу сил.
И при этом пользователь потом тебе все равно выставит претензии вида «вот, на работе ребята про такую игрушку(подставить любую программу) рассказывали, почему я без тебя не могу ее поставить?».
А с виндой таких проблем нет.
Я веду не к тому, что линь отстой, а винда круто, а к тому, что вы, с моей точки зрения, излишне приукрашиваете реальность — линь далеко не так дружественен пользователю. Разумеется, вполне может и такое быть, что у меня и других моих знакомых из области IT, ставивших линь знакомым не-из-IT, руки растут не из того места, а у этих не-IT-людей какие-то дикие запросы, с которыми вы не сталкивались. А может быть, и наоборот, вы случайное исключение, а у всех остальных дикие проблемы скажем, с теми же камерами.
Это я к тому, что делать «объективные» выводы на основе личного опыта (или опыта нескольких знакомых) неверно — нерепрезентативная (слишком малая) выборка получается.
И при этом пользователь потом тебе все равно выставит претензии вида «вот, на работе ребята про такую игрушку(подставить любую программу) рассказывали, почему я без тебя не могу ее поставить?».
А с виндой таких проблем нет.
Я веду не к тому, что линь отстой, а винда круто, а к тому, что вы, с моей точки зрения, излишне приукрашиваете реальность — линь далеко не так дружественен пользователю. Разумеется, вполне может и такое быть, что у меня и других моих знакомых из области IT, ставивших линь знакомым не-из-IT, руки растут не из того места, а у этих не-IT-людей какие-то дикие запросы, с которыми вы не сталкивались. А может быть, и наоборот, вы случайное исключение, а у всех остальных дикие проблемы скажем, с теми же камерами.
Это я к тому, что делать «объективные» выводы на основе личного опыта (или опыта нескольких знакомых) неверно — нерепрезентативная (слишком малая) выборка получается.
НЛО прилетело и опубликовало эту надпись здесь
>Неверно. С виндой такие же проблемы, но их решения давно известны.
Уважаю ваше право читать между строк, но, тем не менее, хочу отметить, что я говорю ровно противоположное — с виндой таких проблем нет. Мой личный опыт говорит именно это. Ваш может говорить противоположное.
Собственно, я об этом и говорю — почти все участники споров «ос vs. ос» упирает на то, что по их личному опыту одна ось или другая лучше. Неудивительно, что так сложно с убеждением противника — его-то опыт говорит совершенно противоположное.
Или, другими словами — не надо говорить за всех.
Уважаю ваше право читать между строк, но, тем не менее, хочу отметить, что я говорю ровно противоположное — с виндой таких проблем нет. Мой личный опыт говорит именно это. Ваш может говорить противоположное.
Собственно, я об этом и говорю — почти все участники споров «ос vs. ос» упирает на то, что по их личному опыту одна ось или другая лучше. Неудивительно, что так сложно с убеждением противника — его-то опыт говорит совершенно противоположное.
Или, другими словами — не надо говорить за всех.
… я говорю ровно противоположное — с виндой таких проблем нет. Мой личный опыт говорит именно это.
Странно у Вас получается: когда я рассказывал о том, как у меня не было проблем в Линуксе или когда jcrow говорит о проблемах в Винде — Вы говорите «делать «объективные» выводы на основе личного опыта (или опыта нескольких знакомых) неверно» и «другими словами — не надо говорить за всех».
И ТУТ ЖЕ говорите «я говорю ровно противоположное — с виндой таких проблем нет. Мой личный опыт говорит именно это».
Давайте уж определимся: либо личный опыт имеет вес (но тогда имеет вес и мой опыт, и опыт jcrow (в том числе и негативный в Виндой)), либо же не имеет (тогда и Ваши слова про то, что в Винде проблем нет, точно так же не имеют веса).
Странно у Вас получается: когда я рассказывал о том, как у меня не было проблем в Линуксе или когда jcrow говорит о проблемах в Винде — Вы говорите «делать «объективные» выводы на основе личного опыта (или опыта нескольких знакомых) неверно» и «другими словами — не надо говорить за всех».
И ТУТ ЖЕ говорите «я говорю ровно противоположное — с виндой таких проблем нет. Мой личный опыт говорит именно это».
Давайте уж определимся: либо личный опыт имеет вес (но тогда имеет вес и мой опыт, и опыт jcrow (в том числе и негативный в Виндой)), либо же не имеет (тогда и Ваши слова про то, что в Винде проблем нет, точно так же не имеют веса).
>… объективная реальность, данная мне в ощущениях...
Вы хотя бы понимаете, что говорите сейчас «сухая вода», «горячий лёд» и так далее? Ощущения по определению субъективны. Т.е. то, о чём Вы говорите — это Ваша субъективная реальность. Не нужно выдавать свои субъективизмы за объективную реальность.
>установить, настроить линь так, чтобы все заработало (gprs, звук, видео — с этими часто проблемы), нужно потратить туеву хучу сил.
Вы внимательно читали мой предыдущий пост? Я не говорил, что проблем не будет. Я как раз говорил, что проблемы возможны. Но проблемы возникают в <100% случаев, причём из моего субъективного опыта — установка Линукса на 3 десктопа и 2 лэптопа прошла совершенно безболезненно.
В случае Винды проблема вирусов требует решения в 100% случаев. Перечитайте, пожалуйста, тот пост, на который Вы отвечали, ещё раз.
>И при этом пользователь потом тебе все равно выставит претензии вида «вот, на работе ребята про такую игрушку(подставить любую программу) рассказывали, почему я без тебя не могу ее поставить?».
Мы кажется о железе говорили, нет? При чём тут проблемы отдельно взятого пользователя, которому кто-то поставил Линукс без учёта его потребностей?
Мне, к примеру, тёща «выставляла претензии», как Вы выражаетесь, «а почему у тебя нет никаких вирусов, а у меня постоянно?» После объяснения, что у меня другая система, которой вирусня по барабану, она уточнила, «можно ли в ней интернет, фотографии, музыку и в ворде печатать», и после получения утвердительного ответа попросила сделать ей так же. В июне 2006 года. После этого претензий никаких не возникало.
>А с виндой таких проблем нет.
Таких — возможно, нет. Но если бы Вы внимательно следили за дискуссией, то Вы бы увидели, что мы обсуждали вполне определённую проблему, которая никак не связана с озвученной Вами.
>может и такое быть, что у меня и других моих знакомых из области IT, ставивших линь знакомым не-из-IT, руки растут не из того места, а у этих не-IT-людей какие-то дикие запросы, с которыми вы не сталкивались
Возможно. Я нигде и никогда не говорил, что Линукс является 100% универсальной ОСью, подходит всем без исключения и удовлетворяет 100% потребностей 100% пользователей. Достаточно одного запроса «шоб во все игрушки можно было играть» — и Линукс теряет очки (хотя и сохраняется возможность запуска через Wine, причём запускается большинство игр, но требуются определённые танцы).
Но как-то так получилось, что то ли возраст у меня уже «не тот», то ли окружение «не то», но игрун у меня из знакомых только один, да и тот на PS2 :)
Вы хотя бы понимаете, что говорите сейчас «сухая вода», «горячий лёд» и так далее? Ощущения по определению субъективны. Т.е. то, о чём Вы говорите — это Ваша субъективная реальность. Не нужно выдавать свои субъективизмы за объективную реальность.
>установить, настроить линь так, чтобы все заработало (gprs, звук, видео — с этими часто проблемы), нужно потратить туеву хучу сил.
Вы внимательно читали мой предыдущий пост? Я не говорил, что проблем не будет. Я как раз говорил, что проблемы возможны. Но проблемы возникают в <100% случаев, причём из моего субъективного опыта — установка Линукса на 3 десктопа и 2 лэптопа прошла совершенно безболезненно.
В случае Винды проблема вирусов требует решения в 100% случаев. Перечитайте, пожалуйста, тот пост, на который Вы отвечали, ещё раз.
>И при этом пользователь потом тебе все равно выставит претензии вида «вот, на работе ребята про такую игрушку(подставить любую программу) рассказывали, почему я без тебя не могу ее поставить?».
Мы кажется о железе говорили, нет? При чём тут проблемы отдельно взятого пользователя, которому кто-то поставил Линукс без учёта его потребностей?
Мне, к примеру, тёща «выставляла претензии», как Вы выражаетесь, «а почему у тебя нет никаких вирусов, а у меня постоянно?» После объяснения, что у меня другая система, которой вирусня по барабану, она уточнила, «можно ли в ней интернет, фотографии, музыку и в ворде печатать», и после получения утвердительного ответа попросила сделать ей так же. В июне 2006 года. После этого претензий никаких не возникало.
>А с виндой таких проблем нет.
Таких — возможно, нет. Но если бы Вы внимательно следили за дискуссией, то Вы бы увидели, что мы обсуждали вполне определённую проблему, которая никак не связана с озвученной Вами.
>может и такое быть, что у меня и других моих знакомых из области IT, ставивших линь знакомым не-из-IT, руки растут не из того места, а у этих не-IT-людей какие-то дикие запросы, с которыми вы не сталкивались
Возможно. Я нигде и никогда не говорил, что Линукс является 100% универсальной ОСью, подходит всем без исключения и удовлетворяет 100% потребностей 100% пользователей. Достаточно одного запроса «шоб во все игрушки можно было играть» — и Линукс теряет очки (хотя и сохраняется возможность запуска через Wine, причём запускается большинство игр, но требуются определённые танцы).
Но как-то так получилось, что то ли возраст у меня уже «не тот», то ли окружение «не то», но игрун у меня из знакомых только один, да и тот на PS2 :)
Ребят, прикручивайте холивор, это сведёт вас в могилу = )
Прочитайте и поймите определение холивара, пожалуйста. Тут им и не пахнет.
Я никому ничего не навязываю и уж тем более не пытаюсь убедить в превосходстве чего-то. Каждый из моих постов в данной ветке является исключительно попытками пробудить логику и указать на ошибки в рассуждениях.
Если Вы этого действительно не видите — «у меня для Вас плохие новости»…
Я никому ничего не навязываю и уж тем более не пытаюсь убедить в превосходстве чего-то. Каждый из моих постов в данной ветке является исключительно попытками пробудить логику и указать на ошибки в рассуждениях.
Если Вы этого действительно не видите — «у меня для Вас плохие новости»…
= )
такая озлобленность и переход на личности — это первичный признак холивора
такая озлобленность и переход на личности — это первичный признак холивора
Озлобленность? Вы о чём?
Или для Вас отсутствие смайликов означает озлобленность? Тогда у меня для Вас ещё одни плохие новости… %)
А на Вашу личность я не переходил — Вы сами начали своё участи в обсуждении с фразы «а вот я никогда не занимался вылавливанием вирусов». Поэтому никакого «перехода» не было, т.к. Ваша личность фигурировала с самого начала.
Ну и плюс ко всему переход на личности не является «первичным признаком холивара». Холивар легко и непринуждённо ведётся и без перехода на личности. А переход на личности легко осуществляется и за пределами холивара. Т.е. переход на личности не является ни необходимым, ни достаточным признаком холивара. Т.е. связи между ними нет никакой.
Учите матчасть (смайлик).
Или для Вас отсутствие смайликов означает озлобленность? Тогда у меня для Вас ещё одни плохие новости… %)
А на Вашу личность я не переходил — Вы сами начали своё участи в обсуждении с фразы «а вот я никогда не занимался вылавливанием вирусов». Поэтому никакого «перехода» не было, т.к. Ваша личность фигурировала с самого начала.
Ну и плюс ко всему переход на личности не является «первичным признаком холивара». Холивар легко и непринуждённо ведётся и без перехода на личности. А переход на личности легко осуществляется и за пределами холивара. Т.е. переход на личности не является ни необходимым, ни достаточным признаком холивара. Т.е. связи между ними нет никакой.
Учите матчасть (смайлик).
Всегда удручало наплевательское отношение пользователей к собственной безопасности, при чем даже не далеких от IT :(
Факт возможного причастия к рассылке спама, ДДоСам и хакингу оных нисколько не смущает и не беспокоит ]:(
Факт возможного причастия к рассылке спама, ДДоСам и хакингу оных нисколько не смущает и не беспокоит ]:(
Прикинем: аппаратная часть для решения проблемы ddos для начала от $20k + грамотный инженер для развертывания и обслуживания системы от $3k в месяц.
Так что 10.000р в месяц абонплаты это практически даром.
А вот по какой причине ваш провайдер не хочет решать проблемы безопасности своих клиентов это вопрос интересный. Нужно посмотреть что по этому вопросу значиться в вашем договоре. Видимо пора поинтересоваться, а не в доле ли с этими ребятами провайдер?
Клиентам не имея собственной сетевой инфраструктуры (активное сетевое оборудование + управление траффиком + грамотное администрирование) решать вопросы защиты от более-менее серьезных атак мало реально.
Так что 10.000р в месяц абонплаты это практически даром.
А вот по какой причине ваш провайдер не хочет решать проблемы безопасности своих клиентов это вопрос интересный. Нужно посмотреть что по этому вопросу значиться в вашем договоре. Видимо пора поинтересоваться, а не в доле ли с этими ребятами провайдер?
Клиентам не имея собственной сетевой инфраструктуры (активное сетевое оборудование + управление траффиком + грамотное администрирование) решать вопросы защиты от более-менее серьезных атак мало реально.
> Так что 10.000р в месяц абонплаты это практически даром.
:~D Это случайно не Вы подобные письма рассылаете?
:~D Это случайно не Вы подобные письма рассылаете?
10.000р — это одному ддосеру. А он, в отличии от той же крыши в 90х, от других защищать не будет.
Ещё надо учитывать тот факт, что атака на ресурс может быть при умелом подходе может быть показана, как атака на свободу пользователей ресурса, что ещё больше сплотит этих самых пользователей. Яркий пример — вконтакте.ру их ддосили, но они это обратили в свою пользу.
Кстати могли бы придумать что-нибудь интересное, например: «Уважаемый СЭР, известная сеть производит ДОС аттаки не один год, мы можем и хотим вам помочь, но наши услуги стоят немножко денег, 10 тысяч руб. Уверяем, мы сможем вам помочь.»
На месте автора я бы валил с таких хостов.
Любой VDS\VPS с nginx защитит вас от подобных атак.
habrahabr.ru/blogs/infosecurity/67685/
Любой VDS\VPS с nginx защитит вас от подобных атак.
habrahabr.ru/blogs/infosecurity/67685/
Ну, VDS тут точно не спасет
1) Если на OpenVZ/Virtuozzo — то сразу упрется в numfile, kmemsize, буферы и прочие ненужные ограничения там.
2) Если на нормальных системах — очень просто забить канал. Думаю, ни один хостер не будет держать у себя на ноде даже 50мегабитную впску.
1) Если на OpenVZ/Virtuozzo — то сразу упрется в numfile, kmemsize, буферы и прочие ненужные ограничения там.
2) Если на нормальных системах — очень просто забить канал. Думаю, ни один хостер не будет держать у себя на ноде даже 50мегабитную впску.
Любой vps сможет выдержать атаку 100к обращений в минуту? Вы наивный…
У меня такой глупый вопрос: откуда берутся эти ботнеты? Т.е. да, понятно, компьютеры с виндус. Но сами ботнет-клиенты за счет чего существуют? Компьтеры без антивируса? Уязвимости ОС?
Дурные пользователи с правами администратора. При таких вводных никакие патчи и антивирусы проблему не решат.
1) Компьютеры без антивирусов.
2) Компьютеры с антивирусами с устаревшими базами. Хотя даже самый свежак ничего не гарантирует.
Сначала появляется вирус, потом уже записи в антивирусные базы. Приходилось сталкиваться с такой фигней — практически врукопашную выкорчевывать с зараженных компов заразу. Потом через месяц-другой
3) Компьютеры, на которые антивирусы были поставлены ПОСЛЕ заражения. Есть вирусы которые впиваются в различные системные библиотеки и не видны даже как процессы в task-mgr. Если антивирус удалит такие зараженные библиотеки, компьютер перестанет работать.
4) ботнет-клиенты не пальцем деланы. Многие из них испрользуют темную магию, полиморфизм, антиотладочные приемы и пр.
5) Антивирусные компании просто не справляются с таким количеством новых вирусов каждый день. Вирусы пишутся быстрее, чем лекарства. Скоро все венды будут заражены. Skynet.
2) Компьютеры с антивирусами с устаревшими базами. Хотя даже самый свежак ничего не гарантирует.
Сначала появляется вирус, потом уже записи в антивирусные базы. Приходилось сталкиваться с такой фигней — практически врукопашную выкорчевывать с зараженных компов заразу. Потом через месяц-другой
3) Компьютеры, на которые антивирусы были поставлены ПОСЛЕ заражения. Есть вирусы которые впиваются в различные системные библиотеки и не видны даже как процессы в task-mgr. Если антивирус удалит такие зараженные библиотеки, компьютер перестанет работать.
4) ботнет-клиенты не пальцем деланы. Многие из них испрользуют темную магию, полиморфизм, антиотладочные приемы и пр.
5) Антивирусные компании просто не справляются с таким количеством новых вирусов каждый день. Вирусы пишутся быстрее, чем лекарства. Скоро все венды будут заражены. Skynet.
Кстати интересный вопрос… хотелось бы где то увидеть статистику по методам заражения. Подозревая что большая часть — это дыры в MS IE и в Adobe Flash
Да господь с вами, какие дыры, все проще. На адалтном трафе предлагают скачать «кодек» для просмотры супер-мега-порнушки. Ну и качают, и ставят. Аналогично в меньшей степени софт патченый с торрентов и еще меньше автозапуск на архивы с вирем (типа .rar или вообще свой «архиватор» предлагают скачать)
не ну всякие кодеки или кряки это понятно… но неужели до сих пор основной процент заражения идет через них?
ну да, самый простой и эффективный способ. Сплойты всякие дают очень маленький процент пробива, насколько я знаю, и стоят к тому же. А тут лендинг нарисовал — и вперед…
а как же антивирусы? каждую неделю пиштся новый образец или расчет тупо на тех у кого его нет?
Я не занимался малварой, честно :) хотя пару раз меня зазывали в эту тему, не поддался.
Насколько я знаю, «кодек» 1-2-3 раза в день для каждого партнера пересобирается на сервере, предварительно идет проверка на сервисах со всеми известными антивирями, шоб не палился. В кодеке содержится маленький лоадер, что б потом в фоне все что надо прогрузить (тряны, софт и т.п). При этом блокируется доступ к обновлениям антивирусов по возможности, пути для их скачки и т.п. Ну как-то так. Естественное уменьшение популяции «ботнета», а вернее совокупности зараженных машин (и с ботнетом, и с троянами, и с софтом) — составляло 2 года назад около 30% в месяц.
Насколько я знаю, «кодек» 1-2-3 раза в день для каждого партнера пересобирается на сервере, предварительно идет проверка на сервисах со всеми известными антивирями, шоб не палился. В кодеке содержится маленький лоадер, что б потом в фоне все что надо прогрузить (тряны, софт и т.п). При этом блокируется доступ к обновлениям антивирусов по возможности, пути для их скачки и т.п. Ну как-то так. Естественное уменьшение популяции «ботнета», а вернее совокупности зараженных машин (и с ботнетом, и с троянами, и с софтом) — составляло 2 года назад около 30% в месяц.
Да, он-лайн проверка, это скорее плюс вирусописателям, нежели пользователям.
Не, там другой вид сервисов — на отдельном сервере под виртульными машинами запускаются антивири, которые гарнтированно не передадут инфу о проверяемых файлах. И им вливают каждый час обновленные базы (ну или как часто они обновляются)
Пользоваться онлайн-проверщиками на сайтах-производителях нельзя… Тут же все палится будет.
Пользоваться онлайн-проверщиками на сайтах-производителях нельзя… Тут же все палится будет.
А, да. Недописал. Автоматически пересобирается с помощью крипторов и полиморферов. А когда палится начинает — прогеры вручную допиливают, обновляют — и опять на автоматические циклы.
Ччёрт… знакомый почерк, правда конторка закрылась, но судя по новым версиям (попалась недавно) они всё ещё живы.
И уж больно описание на Кидо смахивает.
И уж больно описание на Кидо смахивает.
попалась новая версия, не конторка * (а жаль)
:)
:)
Чего-й? Какая конторка? Так работала вся система «кодеков» у всех партнерок. Да и сейчас походу работает…
нет, вы не поняли, не схема внедрения, а схема работы руткита
Ну так она единственно правильная… Как еще то лоадер в актуальном состоянии поддерживать. Кидо это трой, а кодек грузит как правило лоадер, а он прогружет потом все че скажут в фоне.
я это все к тому что:
When launching, the worm injects its code into the address space of one of the “svchost.exe” system processes.
* Blocks addresses which contain the following strings:
indowsupdate
wilderssecurity
threatexpert
castlecops…
и так далее подробней
* Blocks addresses which contain the following strings:
indowsupdate
wilderssecurity
threatexpert
castlecops…
и так далее подробней
ИМУ?=)
— А теперь вопрос, кто нибудь еще получал такие письма? Какими были ваши действия?
Писем не получал, но дос атакам подвергался регулярно.
Действия были направлены на максимизацию стоимости дос атаки. Если вы доведете эту стоимость для атакующего с 10$ в день до 1000$ в день — интерес к вам пропадет.
Что можно сделать:
— купить железку за 20-25 тыщ$
— воспользоваться одним из дос защищенных хостингов — таких при изучении вопроса выявилось много. Это те ребята, которые уже купили нужные железяки и фактически сдают их ресурсы в аренду.
— сделать свое решение. Я пошел этим путем — пустил запросы через Nginx, который отфильтровывает запросы с дос ботов. Это помогло, проблема решилась.
Писем не получал, но дос атакам подвергался регулярно.
Действия были направлены на максимизацию стоимости дос атаки. Если вы доведете эту стоимость для атакующего с 10$ в день до 1000$ в день — интерес к вам пропадет.
Что можно сделать:
— купить железку за 20-25 тыщ$
— воспользоваться одним из дос защищенных хостингов — таких при изучении вопроса выявилось много. Это те ребята, которые уже купили нужные железяки и фактически сдают их ресурсы в аренду.
— сделать свое решение. Я пошел этим путем — пустил запросы через Nginx, который отфильтровывает запросы с дос ботов. Это помогло, проблема решилась.
спасибо. Nginx уже установили недавно на один из серверов.
НЛО прилетело и опубликовало эту надпись здесь
— Вы видимо не очень понимаете (как и 90% пользователей тут) что такое «DDoS атака» и как она осуществляется.
Я отлично понимаю, что такое распределенная DoS атака, как она работает, и как работает ее экономика.
Если вы путем фильтрации машинных запросов с помощью nginx за первые пол часа атаки соберете несколько дясятков тысяч IP ботов, с которых идут запросы и тупо добавите их в deny лист аппаратного фаервола — вы уже дешевой железкой завернете большую часть паразитных запросов. Поверьте, вас оставят в покое и найдут более тупого кандидата для развода.
Я отлично понимаю, что такое распределенная DoS атака, как она работает, и как работает ее экономика.
Если вы путем фильтрации машинных запросов с помощью nginx за первые пол часа атаки соберете несколько дясятков тысяч IP ботов, с которых идут запросы и тупо добавите их в deny лист аппаратного фаервола — вы уже дешевой железкой завернете большую часть паразитных запросов. Поверьте, вас оставят в покое и найдут более тупого кандидата для развода.
А можно просто тарпит-модуль поставить у себя, и тогда весь их ботнет резко уменьшится в количестве (процентов на 70-80). Но это конечно не для впс и не для шареда
scrolls.combats.com/community/~adminion/559096.html
Согласен, вот тому пример.
Согласен, вот тому пример.
Мастерхост могли видеть nginx.
Но какой смысл мастерхосту (компании с десятками тысяч клиентов) морочаться и поднимать что-то для одного клиента shared-хостинга?
Но какой смысл мастерхосту (компании с десятками тысяч клиентов) морочаться и поднимать что-то для одного клиента shared-хостинга?
Я бы так сказал о методах: первый, фантастический — правильно выбирать хостинг, второй, реалистичный — правильно проектировать Интернет :)
НЛО прилетело и опубликовало эту надпись здесь
Вы сильно ошибаетесь. Досят откуда — с домашних компов в основном. Домашние компы подключены к провайдерам, которые не выпустят вас со спуфленым ипом. Самим провайдерам это очень не выгодно — если в сетке будут разрешены спуфленые ипы, то очень скоро эта сетка попадет к спамхаузу в XBL и процентов 30-40 интернета станет недоступным. Перестанет работать почта и т.д. Со спамхаузом бороться слишком сложно, и поэтому вариант будет — делать другой LIR, что хоть и дешево, но сильно бюрократично и непросто.
Пользователь myserg не читал топик и не видел ответа саппорта мастерхоста в комментарии habrahabr.ru/blogs/infosecurity/68131/#comment_1931194 :)
А почему Вы так упорно настаиваете, что DDoS-атака — это SYN-атака, мне не совсем понятно :)
А почему Вы так упорно настаиваете, что DDoS-атака — это SYN-атака, мне не совсем понятно :)
НЛО прилетело и опубликовало эту надпись здесь
Ну конечно, давайте на личности :(
«Уведомляю Вас, что огромным количеством запросов по протоколу HTTP к Вашему домену example.ru была вызвана критическая нагрузка на сервер виртуального хостинга, что могло крайне отрицательно сказаться на его работоспособности.»
Как SYN-спуфинг может делать HTTP-запросы? Видимо, я действительно очень мало знаю о ддосе :(
«Уведомляю Вас, что огромным количеством запросов по протоколу HTTP к Вашему домену example.ru была вызвана критическая нагрузка на сервер виртуального хостинга, что могло крайне отрицательно сказаться на его работоспособности.»
Как SYN-спуфинг может делать HTTP-запросы? Видимо, я действительно очень мало знаю о ддосе :(
НЛО прилетело и опубликовало эту надпись здесь
И где в ответе мастерхоста намеки на syn flood?
НЛО прилетело и опубликовало эту надпись здесь
Представьте себе, я знаю, как работает TCP-соединение.
Я умею читать, я понимаю, что такое «запрос по протоколу HTTP». А Вы, судя по всему, нет.
Я умею читать, я понимаю, что такое «запрос по протоколу HTTP». А Вы, судя по всему, нет.
хах
вы вообще читали что пишет borisko? :))
ddos — может быть разными. И syn-flood и просто http-траф (нет ну можно канеш сказать что это такой syn-flood вместе с syn-ack и ещё и последующим хламом по соединению в виде http-запроса на сервак)
syn-flood может убить соединение с сервером. Либо перегружая буфер недоделанных соединений, либо залепив пропускную способность канала нахрен.
http может убить сервер путём перегрузки очереди комманд самого веб-сервера, нехватку оперативки и в итоге жуткие тормоза (тссс… большая часть серверов реально разваливается при этом, такие уж админы)
для syn-floda надо реально ботнет. Http же флуд можно и с сотней машин сделать если выбрать заведомо «тяжелый» урл для флуда (или несоклько). Тем не менее защитится от обоих этих _простейших_ атак достаточно легко (syn-cookies + нормальная настройка веб-сервера).
вы вообще читали что пишет borisko? :))
ddos — может быть разными. И syn-flood и просто http-траф (нет ну можно канеш сказать что это такой syn-flood вместе с syn-ack и ещё и последующим хламом по соединению в виде http-запроса на сервак)
syn-flood может убить соединение с сервером. Либо перегружая буфер недоделанных соединений, либо залепив пропускную способность канала нахрен.
http может убить сервер путём перегрузки очереди комманд самого веб-сервера, нехватку оперативки и в итоге жуткие тормоза (тссс… большая часть серверов реально разваливается при этом, такие уж админы)
для syn-floda надо реально ботнет. Http же флуд можно и с сотней машин сделать если выбрать заведомо «тяжелый» урл для флуда (или несоклько). Тем не менее защитится от обоих этих _простейших_ атак достаточно легко (syn-cookies + нормальная настройка веб-сервера).
rate limit еще никто не отменял, и ваш хваленый syn flood пойдет лесом.
Вы, видимо, путаете SYN flood атаку с DDoS атакой.
SYN flood атака — наиболее безобидная (обычный SYN Cookie механизм от неё спасает).
Она опасна тем, что у атакующего может быть более широкий чем у вас канал и он может ваш канал загрузить на 100%, ничем не отличается по сути от обычного UDP потока на ваш сервер — ест канал (а если канал платный — ещё и ваши деньги).
Хорошая же DDoS атака подразумевает массу запросов на какой-либо из сервисов (в нашем случае — на HTTP) с большого количества IP, в идеале — с запросами, которые должны быть похожи на запросы обычных пользователей.
Вот с такой атакой бороться значительно сложнее.
SYN flood атака — наиболее безобидная (обычный SYN Cookie механизм от неё спасает).
Она опасна тем, что у атакующего может быть более широкий чем у вас канал и он может ваш канал загрузить на 100%, ничем не отличается по сути от обычного UDP потока на ваш сервер — ест канал (а если канал платный — ещё и ваши деньги).
Хорошая же DDoS атака подразумевает массу запросов на какой-либо из сервисов (в нашем случае — на HTTP) с большого количества IP, в идеале — с запросами, которые должны быть похожи на запросы обычных пользователей.
Вот с такой атакой бороться значительно сложнее.
Как по мне — то я за введение штрафов за использование компьютера в ботнете.
Заодно и уровень компьютерной грамотности поднимется.
Заодно и уровень компьютерной грамотности поднимется.
Я думаю, оптимально возложить контроль и ответственность на провайдеров. Меня провайдер пару раз отключал изза паразитного трафика из моей локальной домашней сети.
вот это было бы круто ;)
и провов с которых лезет ботнет, тоже штрафить, что бы думали о новом железе, и резали ботов на выходе
и провов с которых лезет ботнет, тоже штрафить, что бы думали о новом железе, и резали ботов на выходе
Осподя, у нас 95% рунета писать по русски грамотно не умеет, а вы предлагаете за использование компьютера в ботнете штрафовать. Вы в своем уме?
Конечно в своем:
1) Пользователю будет выгодно поднять IT уровень.
2) Государство сможет распилить еще немного денег, часть которых пойдет на благие нужды.
3) Повысится востребованность сисадминов не только конторами, но и физлицами.
А у вас есть водительские права? Думаете зачем они? Чтобы оградить тех, кто не умеет водить, от вождения, т.к. они могут нанести остальным урон.
1) Пользователю будет выгодно поднять IT уровень.
2) Государство сможет распилить еще немного денег, часть которых пойдет на благие нужды.
3) Повысится востребованность сисадминов не только конторами, но и физлицами.
А у вас есть водительские права? Думаете зачем они? Чтобы оградить тех, кто не умеет водить, от вождения, т.к. они могут нанести остальным урон.
Вот когда вы будете лететь в интернете, а вас собьёт потом неконтралируемых ддос пакетов, вот тогда нужно будет права для полёта в интернете получать))). А вообще никто не пойдёт на такой шаг, как штраф, не нужно это основной массе.
НЛО прилетело и опубликовало эту надпись здесь
НЛО прилетело и опубликовало эту надпись здесь
НЛО прилетело и опубликовало эту надпись здесь
НЛО прилетело и опубликовало эту надпись здесь
Пересесть с шареда на дедик помощнее. Поставить Nginx.
Если ботнет небольшой (2к ботов, как обещали) ограничить количество соединений с одного IP. Если ботнет большой, всё плохо. Забанить все, дать доступ к серверу только для диапазонов, с которых ЦА может пытаться зайти на сайт.
Если есть возможность, купить роутеры, стоят дорого.
Если ботнет небольшой (2к ботов, как обещали) ограничить количество соединений с одного IP. Если ботнет большой, всё плохо. Забанить все, дать доступ к серверу только для диапазонов, с которых ЦА может пытаться зайти на сайт.
Если есть возможность, купить роутеры, стоят дорого.
НЛО прилетело и опубликовало эту надпись здесь
НЛО прилетело и опубликовало эту надпись здесь
Привильно. Мастерхост в состоянии бороться с ДДос. Просто не доходят у них руки до этого.
Не совсем так было дело, башоргу было предоставлено бесплатное место и бесплатное отражение атаки взамен на показ баннеров. Все выиграли, ддос был погашен и хостер получил прилив клиентов.
Но это не позиционировалось как «хостинг который хрен завалишь», это была рука помощи конкретно башоргу в момент когда шло голосование на премию рунета, которую башорг в результате и получил. ;)
Но это не позиционировалось как «хостинг который хрен завалишь», это была рука помощи конкретно башоргу в момент когда шло голосование на премию рунета, которую башорг в результате и получил. ;)
Платить нельзя, тут логика простая — если заплатил один раз, то ты готов платить и будешь платить…
И никто не гарантирует, что через месяц ценник будет уже 20 т.р., а ещё через месяц вам скажут, что вы пытались их найти и за это штраф в 100 т.р.
Единственный выход в этой ситуации — защищаться и расширять аппаратную «ёмкость» железа, чтобы оно могло справиться с атакой.
Во-первых, я бы предложил арендовать сервера в USA/европе — там можно найти гигабитные каналы с отсутствием разделения трафика по россии/зарубежке (поможет от тупого флуда каналов) и десятков тысяч USD в счёте от вашего канального провадера.
Во-вторых, есть смысл разделить систему на front-end'ы (без какой-либо логики, кроме фильтрации) и back-end. На front-end'ах будете фильтровать атаки и отдавать статический контент, на back-end'ах уже формировать динамику.
В-третьих, естественно, понадобится 1-2 инженера, которые смогут правильно выстроить для вас защиту (думаю, что обычного rate-limit'а per-IP не хватит, понадобится более сложная логика и блокировка зараженных IP на firewall'е).
Согласен, на это уйдёт значительно больше, чем те самые 10 т.р./мес,… но иначе вы всю жизнь будете платить… сначала — 10 т.р., потом — 20 т.р.,… когда-нибудь с вас будут и 200 т.р./мес просить и вам придётся самим строить защиту.
p.s. Попытки заблокировать кошельки на Я.Д (после платежа) и другие подобные действия ни к чему не приведут. Найти по IP адресу нереально (цепочка прокси, арендованные в разных странах VPS'ки,..), но свою готовность платить вы, опять же, покажете.
И никто не гарантирует, что через месяц ценник будет уже 20 т.р., а ещё через месяц вам скажут, что вы пытались их найти и за это штраф в 100 т.р.
Единственный выход в этой ситуации — защищаться и расширять аппаратную «ёмкость» железа, чтобы оно могло справиться с атакой.
Во-первых, я бы предложил арендовать сервера в USA/европе — там можно найти гигабитные каналы с отсутствием разделения трафика по россии/зарубежке (поможет от тупого флуда каналов) и десятков тысяч USD в счёте от вашего канального провадера.
Во-вторых, есть смысл разделить систему на front-end'ы (без какой-либо логики, кроме фильтрации) и back-end. На front-end'ах будете фильтровать атаки и отдавать статический контент, на back-end'ах уже формировать динамику.
В-третьих, естественно, понадобится 1-2 инженера, которые смогут правильно выстроить для вас защиту (думаю, что обычного rate-limit'а per-IP не хватит, понадобится более сложная логика и блокировка зараженных IP на firewall'е).
Согласен, на это уйдёт значительно больше, чем те самые 10 т.р./мес,… но иначе вы всю жизнь будете платить… сначала — 10 т.р., потом — 20 т.р.,… когда-нибудь с вас будут и 200 т.р./мес просить и вам придётся самим строить защиту.
p.s. Попытки заблокировать кошельки на Я.Д (после платежа) и другие подобные действия ни к чему не приведут. Найти по IP адресу нереально (цепочка прокси, арендованные в разных странах VPS'ки,..), но свою готовность платить вы, опять же, покажете.
Сделаю все возможное чтобы помочь пострадавшим.
Обращайтесь: mention @ mail.ru
Обращайтесь: mention @ mail.ru
Во всех комментах меня удивляет один момент, тут разве нет ни одного человека с хостингом? Почему никто не предложил жертве переехать с хостинга, которому пофиг на ддосы на нормальный хостинг с нормальной защитой от ддосов?
Или такой услуги русские хостеры не предоставляют?
АУУУ! Маректниговые отделы хостеров! Не щелкайте клювом — делайте жертве выгодное коммерческое предложение, помощь с переездом и ассист в поиске и надавании пиндюлей ддосерам!
Через час вы не отмахаетесь от клиентов.
Или такой услуги русские хостеры не предоставляют?
АУУУ! Маректниговые отделы хостеров! Не щелкайте клювом — делайте жертве выгодное коммерческое предложение, помощь с переездом и ассист в поиске и надавании пиндюлей ддосерам!
Через час вы не отмахаетесь от клиентов.
Приезжайте к нам. Спасем вас от ддоса.
Наверняка предложили в личке, скорее всего.
Интересно было бы посмотреть на параметры вашего сервера (если не секрет)
Давно и успешно боремся на своих серверах с ддосом.
20 гигабит — не проблема. А досить 20 гигабитами — очень дорого.
Послать и защищаться.
50к ботов дадут около 100-150 мегабит. Защититься от них ничего не стоит. Ну и посмотрите на сервера в германии/штатах. Там трафик сильно дешевле русского. Сервера от 1000р/месяц. Есть некоторая защита от ддоса — блокировка на аплинках, когда вы за траф не платите. Нужно только поставить себе умный софт, определяющий бота и сливающий блеклисты на вышестоящую кошку.
20 гигабит — не проблема. А досить 20 гигабитами — очень дорого.
Послать и защищаться.
50к ботов дадут около 100-150 мегабит. Защититься от них ничего не стоит. Ну и посмотрите на сервера в германии/штатах. Там трафик сильно дешевле русского. Сервера от 1000р/месяц. Есть некоторая защита от ддоса — блокировка на аплинках, когда вы за траф не платите. Нужно только поставить себе умный софт, определяющий бота и сливающий блеклисты на вышестоящую кошку.
Немного смущает уточнение, что 50k ботов дадут всего 100-150 mbit/s.
Это же выходит в среднем по 2 kbit/s (даже не килобайта, а килобита!) в секунду на бота. Не маловато ли?
Мне всегда казалось, что хотябы 50 kb/s (5GBit/s со всех) должно быть с бота… а уж про Москву/Питер/Европу/США с их 10+ MBit/s каналами до клиента вообще молчу — даже сотня ботов с таким каналом какое-то время смогут генерить поток в 1GBit/s (пока их не отключат).
Это же выходит в среднем по 2 kbit/s (даже не килобайта, а килобита!) в секунду на бота. Не маловато ли?
Мне всегда казалось, что хотябы 50 kb/s (5GBit/s со всех) должно быть с бота… а уж про Москву/Питер/Европу/США с их 10+ MBit/s каналами до клиента вообще молчу — даже сотня ботов с таким каналом какое-то время смогут генерить поток в 1GBit/s (пока их не отключат).
Я бы сказал — не более 20% канала. Потому, что если ддосер имеет большой ботнет — он умный. А если он умный, то он не будет грузить канал. Три дня загрузки канала под 100% и пользователь пойдет к спецам, чтоб те винду переставили.
Ну и главное — досеры получают ботнеты с порно-трафика, в котором около 80% китайцы. Пинги из азии в любое место мира такие что плакать хочется (сам в тае намучался), и каналы там говно. К примеру на весь тайланд все внешние каналы по пропускной способности раза в 2 меньше чем у того же мастерхоста.
Ну и главное — досеры получают ботнеты с порно-трафика, в котором около 80% китайцы. Пинги из азии в любое место мира такие что плакать хочется (сам в тае намучался), и каналы там говно. К примеру на весь тайланд все внешние каналы по пропускной способности раза в 2 меньше чем у того же мастерхоста.
В первых сентенциях имелось ввиду 20% канала пользователя.
Прощу прощения, я сам не в теме и вообще мимо проходил.
Но если 80% ботов — с китайских ИП, почему бы не заблочить весь китай на время ддос атаки? должны же быть где-то диапазоны провайдеров по странам (тот же geoIP, например).
Не думаю что сайт/магазин/или что там у автора понесет серьезные потери если вдруг пропадут несколько посетителей-китайцев.
И, чтобы два раза не вставать — интересная тема, интересная задача. С удовольствием покурил бы access логи системы во время ддос атаки. Не думаю что ддосящая сторона реально эмулирует пользователя, а значит можно по каким-то признакам вычислять бота и блочить. Хотя, тьфу-тьфу, на своих проектах такого испытать не хотелось бы (:
Но если 80% ботов — с китайских ИП, почему бы не заблочить весь китай на время ддос атаки? должны же быть где-то диапазоны провайдеров по странам (тот же geoIP, например).
Не думаю что сайт/магазин/или что там у автора понесет серьезные потери если вдруг пропадут несколько посетителей-китайцев.
И, чтобы два раза не вставать — интересная тема, интересная задача. С удовольствием покурил бы access логи системы во время ддос атаки. Не думаю что ддосящая сторона реально эмулирует пользователя, а значит можно по каким-то признакам вычислять бота и блочить. Хотя, тьфу-тьфу, на своих проектах такого испытать не хотелось бы (:
Это вы очень оптимистично — про американские каналы на 10 мегабит…
НЛО прилетело и опубликовало эту надпись здесь
А захоститься на Amazon S3, скажем — не выход?
Надо же. Чистой воды криминал. Разве что в интернете.
возможно поможет эта старенькая статья из Хакера
Брать сервак, звать админа
10 000р платить админу а не вымогателям
10 000р платить админу а не вымогателям
Чтобы не помер с голоду во время очередной атаки? :)
Чтоб настроил сервак как следует
Единожны настроенный сервак работает как часы
Если конечно настраивать правильно
Единожны настроенный сервак работает как часы
Если конечно настраивать правильно
Вы, реально, считаете, что 10к админу будет достаточно для того, чтобы «настроил сервак как следует» и он «работал как часы»?
Реально, я сам админ ;)
Не хочется огорчать или на кого-либо наезжать, но даже супер-админ не сможет настроить автоматизированную защиту от ддосов на все случаи жизни. Что будем делать если допустим я напишу программу которая будет менять типы атаки на каждом зараженном компьютере каждые 2 минуты, с ротацией размеров пакетов, количества, интервалов, при этом еще и с огромным листом для спуф-адресов (как минимум)? А если в спуф адреса пойдут адреса сетей фсб, мвд и т.д, что будете делать когда ваши ответы (syn-ack) на тот же банальный syn flood пойдут не куда-то а в сетки наших дорогих органов, и они это воспримут как syn-ack flood _от ваших хваленых серверов_? Вам никогда не звонили возмущенные люди, которые в гневе говорят что Вы потеряли совесть и ддосите их именно ВЫ? ;)
Извините, но по своему 20летнему опыту работы админом скажу что вы живете в мире иллюзий — если человек умный он напишет программу с адаптацией типа атаки, от который ни один самописный скрипт не спасет.
Но… скажу что например TippingPoint хоть и дорогая железка, но она того стоит, в 98% спасает от подавляющего большинства атак. И автоматизирована, никаких админов не нужно :)
Извините, но по своему 20летнему опыту работы админом скажу что вы живете в мире иллюзий — если человек умный он напишет программу с адаптацией типа атаки, от который ни один самописный скрипт не спасет.
Но… скажу что например TippingPoint хоть и дорогая железка, но она того стоит, в 98% спасает от подавляющего большинства атак. И автоматизирована, никаких админов не нужно :)
не ну не всё так мрачно.
1) ловить резкие всплески
2) подделка пакета с адресами фсб и проч злых дядек имхо совсем неправдободобна — ибо в таком случае легко блокируются (ибо гора syn пакетов с одинаковыми подсетями)
3) железка и впрямь проще и нужнее, ибо вещи которые не протестить перед реализацией (ну не будете же сами себя флудить =)) сложновато сдеать действительно работающими как надо =)
4) если есть желание заползти в ядро, то можно много разных весёлых экспериментов наделать которые все атаки сведут на нет. Например, при переполнении очереди ожидающих ack соединений уменьшать таймаут а затем и вовсе прибивать более ранние. При довольно огромной разрешённой очереди с мелкими таймаутами (до 1сек) сайт под ддосом все равно будет немного жив, а процентов 95 всего ддоса будут уходить в никуда.
5) да, железка проще =))
1) ловить резкие всплески
2) подделка пакета с адресами фсб и проч злых дядек имхо совсем неправдободобна — ибо в таком случае легко блокируются (ибо гора syn пакетов с одинаковыми подсетями)
3) железка и впрямь проще и нужнее, ибо вещи которые не протестить перед реализацией (ну не будете же сами себя флудить =)) сложновато сдеать действительно работающими как надо =)
4) если есть желание заползти в ядро, то можно много разных весёлых экспериментов наделать которые все атаки сведут на нет. Например, при переполнении очереди ожидающих ack соединений уменьшать таймаут а затем и вовсе прибивать более ранние. При довольно огромной разрешённой очереди с мелкими таймаутами (до 1сек) сайт под ддосом все равно будет немного жив, а процентов 95 всего ддоса будут уходить в никуда.
5) да, железка проще =))
за 10к нереально. Иначе это был бы уже гид для всех и вся, типа «сюда впишите это, тут впишите то». А учитывая что от ддос атак страдают иногда вполне себе не дураки с десятками серверов, осмелюсь предположить что вы просто не сталкивались с серьёзным ддосом =).
конфу наших ботов сильнее других, в случае атаки другим досером наши боты замочат и перхватят траф
… емаё интернет гопники… а где хост держите?
… емаё интернет гопники… а где хост держите?
мафия бессмертна :-)
1) Если что-то пытаются стрясти, сначала демонстрируют возможность стрясти (читай, вам бы сначала ддос атаку устроили 1-2 часовую — «кошмарили»), потом получают деньги.
2) Спам-рассылка на 10000 «корпоративных» сайтов стоит около 5 тыс. рублей (или сколько?). Если даже количество согласившихся платить будет 0.1% — 10 клиентов, все равно бизнес очень себе выгодный. Им, кстати, даже, скорее всего, ничего не смогут предъявить. Вот если дождаться атаки, затем подать заявление в милицию (попутно надо обвинить конкурентов, что это они), а затем дождаться отдела К (попутно написав в УБОП — вымогательство, проинформировав об этом отдел К), тогда ребята могут реально пойти по статье вымогательство.
3) Вообще, по опыту знакомых, во всяких там германиях таким бизнесом лет 5-6 назад баловались и хостеры там весьма успешно отработали защиту.
2) Спам-рассылка на 10000 «корпоративных» сайтов стоит около 5 тыс. рублей (или сколько?). Если даже количество согласившихся платить будет 0.1% — 10 клиентов, все равно бизнес очень себе выгодный. Им, кстати, даже, скорее всего, ничего не смогут предъявить. Вот если дождаться атаки, затем подать заявление в милицию (попутно надо обвинить конкурентов, что это они), а затем дождаться отдела К (попутно написав в УБОП — вымогательство, проинформировав об этом отдел К), тогда ребята могут реально пойти по статье вымогательство.
3) Вообще, по опыту знакомых, во всяких там германиях таким бизнесом лет 5-6 назад баловались и хостеры там весьма успешно отработали защиту.
Если вы заплатите то будете платить очень долго. Причем никто не гарантирует что вас не будет ддосить кто-то другой.
Если же вы не заплатите рано или поздно с вас слезут.
Ps
Учтите что это омжет быть обман. То есть может ьыть у написавшего нет бот сети, и это не шантаж, а простое мошенничесво.
Если же вы не заплатите рано или поздно с вас слезут.
Ps
Учтите что это омжет быть обман. То есть может ьыть у написавшего нет бот сети, и это не шантаж, а простое мошенничесво.
Неужели человек, управляющий ботнетом не может зарабатывать по 10к, продавая (разрабатывая) программы, например, оптимизирующие нагрузки на сервер? В чем кайф?
а пять старушек — уже рупь…
а еще десять и убивать не надо — и так денег дадут.
а еще десять и убивать не надо — и так денег дадут.
Почему домушник на раз взламывющий замки не работает слесарем? А он бы первоклассным спецом…
Это образ жизни, ощущение «быстрых» денег.
Это образ жизни, ощущение «быстрых» денег.
Потому, что среди домушников, 99% приматы, грубо ломающие оборудование, и до первоклассных специалистов им как до звезд.
А тот 1%, воспетый в телепрограммах, действительно может переквалифицироваться на «гражданскую» специальность.
Может я ошибаюсь, но думаю для создания ботнета всё-таки бОльшая квалификация требуется.
ощущение «быстрых» денег — это же самообман, я об этом и написал
А тот 1%, воспетый в телепрограммах, действительно может переквалифицироваться на «гражданскую» специальность.
Может я ошибаюсь, но думаю для создания ботнета всё-таки бОльшая квалификация требуется.
ощущение «быстрых» денег — это же самообман, я об этом и написал
Да конечно ошибаетесь. Лезете на вебхак, покупаете незадорого лоадера с админкой, и вперед, траф лить. Там вообще квалификции 0.
И этого достаточно, чтобы создать приличную сеть, наладить перевод денег, замести следы?
А не специалист в данной теме, у меня более мирная профессия, но…
А не специалист в данной теме, у меня более мирная профессия, но…
Ну думаю да. На вебхаке все есть (было? я давно туда не заходил). Лоадер навороченный с обновлениями на месяц вроде (с админкой на пхп) продавали за 100$, бота самого писли тоже что-то в этих пределах.
А перевод денег это как-бы вообще не проблема имхо, но думать надо как чтоб без палева… Вывод в тот же epassporte на банановых островах который наверное возможен. Или помойки, если они еще живы… Думаю что-то можно быстро сообразить.
А следы под связкой впн-ов не остаются, тоже имхо. Вообщем на мой взгляд ничего сложного
З.Ы вот понаписал я вам сейчас, а завтра новых ботнетчиков разведется…
А перевод денег это как-бы вообще не проблема имхо, но думать надо как чтоб без палева… Вывод в тот же epassporte на банановых островах который наверное возможен. Или помойки, если они еще живы… Думаю что-то можно быстро сообразить.
А следы под связкой впн-ов не остаются, тоже имхо. Вообщем на мой взгляд ничего сложного
З.Ы вот понаписал я вам сейчас, а завтра новых ботнетчиков разведется…
Да, похоже я задел самолюбие. Только не знаю, домушника или DDoS-шантажиста?
Извините. )))
Извините. )))
Да… печально :(
хотите увидеть настоящую атаку ?! посмотрите на Gbps!!!
хотите увидеть настоящую атаку ?! посмотрите на Gbps!!!
Мы в милицию пошли, и платили деньги т.к. бизнес на сайте завязан. Через 4 месяца наших хакеров скрутили. Кстати по стилю письма оч. похоже, только наши сначала досили потом писали письма.
Вобщем все в деньги упирается. Если есть то можно отбиться. Если нет, то терпеть.
Вобщем все в деньги упирается. Если есть то можно отбиться. Если нет, то терпеть.
Не платить. Если не платить — теряют интерес за 1-2 недели. Если абъюзить атакующие ip — потеряют за еще раньше, зачем им терять ботнет. Конечно абъюз в яндекс — скорее всего бессмысленный, ну пусть знают, что вы с ними сотрудничать не будете. В службу К — можно для очистки совести, но результата не видел не разу за 8 лет работы хостером. Даже когда знал кто и зачем устроил DDos.
Если сайт действительно так важен, а самому не отбиться — морду в любое место под защитой, есть даже защита по дням. Из российских операторов неплохие результаты у Караван и РТком.
Ну или сайт на 127.0.0.1 и спокойно идти курить убытки.
Если сайт действительно так важен, а самому не отбиться — морду в любое место под защитой, есть даже защита по дням. Из российских операторов неплохие результаты у Караван и РТком.
Ну или сайт на 127.0.0.1 и спокойно идти курить убытки.
Боже сколько комментов.
ПО делу:
1) У вас есть возмодность арендовать сервак за 50-100 баксов в месяц в нормальном ДЦ?
2)У вас есть толковый админ способный не просто банить айпи в фаере но и поменять параметры ядра для быстрой обработки FIN SYN и TIME_WAIT запросов?
3) есть какие нибудь показатели силы ддоса? 10-20 мегабит или 800-900? В первом случае реально помочь на уровне сервера
4) Ддосят простым трафиком типа пинга или реальными запросами на апач? во втором случае index.php переименовываете в index2.php и создаёте файл index.html с редиректом на index2.php
5) Если FreeBSD то там прямо в фаерволах и в ipfw и в pf лимиты прописать можно, если linux + iptables — ставте csf надстройку, она хоть и похуже работает пушо надстройка — но помогает всёравно
Вобщем меня всегда интересовала защита информации нежели её взлом\неработоспособность поэтому готов помочь по вашим вопросам хотя бы советами ;)
ПО делу:
1) У вас есть возмодность арендовать сервак за 50-100 баксов в месяц в нормальном ДЦ?
2)У вас есть толковый админ способный не просто банить айпи в фаере но и поменять параметры ядра для быстрой обработки FIN SYN и TIME_WAIT запросов?
3) есть какие нибудь показатели силы ддоса? 10-20 мегабит или 800-900? В первом случае реально помочь на уровне сервера
4) Ддосят простым трафиком типа пинга или реальными запросами на апач? во втором случае index.php переименовываете в index2.php и создаёте файл index.html с редиректом на index2.php
5) Если FreeBSD то там прямо в фаерволах и в ipfw и в pf лимиты прописать можно, если linux + iptables — ставте csf надстройку, она хоть и похуже работает пушо надстройка — но помогает всёравно
Вобщем меня всегда интересовала защита информации нежели её взлом\неработоспособность поэтому готов помочь по вашим вопросам хотя бы советами ;)
и если можно в личку ваши сайты — интересно посмотреть что вообще они из себя представляют
А можно подробнее — где в csf лимиты прописываются?
В csf.conf начиная с этого блока и дальше:
# Connection Tracking. This option enables tracking of all connections from IP
# addresses to the server. If the total number of connections is greater than
# this value then the offending IP address is blocked. This can be used to help
# prevent some types of DOS attack.
#
# Care should be taken with this option. It's entirely possible that you will
# see false-positives. Some protocols can be connection hungry, e.g. FTP, IMAPD
# and HTTP so it could be quite easy to trigger, especially with a lot of
# closed connections in TIME_WAIT. However, for a server that is prone to DOS
# attacks this may be very useful. A reasonable setting for this option might
# be arround 300.
#
# To disable this feature, set this to 0
CT_LIMIT = «200»
# Connection Tracking interval. Set this to the the number of seconds between
# connection tracking scans
CT_INTERVAL = «10»
# Send an email alert if an IP address is blocked due to connection tracking
CT_EMAIL_ALERT = «0»
# If you want to make IP blocks permanent then set this to 1, otherwise blocks
# will be temporary and will be cleared after CT_BLOCK_TIME seconds
CT_PERMANENT = «1»
# Connection Tracking. This option enables tracking of all connections from IP
# addresses to the server. If the total number of connections is greater than
# this value then the offending IP address is blocked. This can be used to help
# prevent some types of DOS attack.
#
# Care should be taken with this option. It's entirely possible that you will
# see false-positives. Some protocols can be connection hungry, e.g. FTP, IMAPD
# and HTTP so it could be quite easy to trigger, especially with a lot of
# closed connections in TIME_WAIT. However, for a server that is prone to DOS
# attacks this may be very useful. A reasonable setting for this option might
# be arround 300.
#
# To disable this feature, set this to 0
CT_LIMIT = «200»
# Connection Tracking interval. Set this to the the number of seconds between
# connection tracking scans
CT_INTERVAL = «10»
# Send an email alert if an IP address is blocked due to connection tracking
CT_EMAIL_ALERT = «0»
# If you want to make IP blocks permanent then set this to 1, otherwise blocks
# will be temporary and will be cleared after CT_BLOCK_TIME seconds
CT_PERMANENT = «1»
Предлагаю свои варианты отбивания от ддоса:
1). Делаем так, как делает гугл — при подозрении на ддос просто вежливо просим юзера ввести капчу. Логим ип, и второй раз пускаем без капчи.
2). Тех кто не ввел капчу сливаем на какую-нибудь партнерку, зарабатываем себе на отпуск в маями, ну или оплату трафика )))
Ну а дальше комбинируем с вышеприведенными рекомендациями и отделяем мух от котлет, запустив систему свой-чужой. Своих пускаем без капч, подозрительным устраиваем досмотр, ботов блочим и отправляем на наши нужды.
Еще, как вариант, попытаться пофильтровать заголовки запросов. Наверняка будут закономерности у ботов.
Ну а дальше, по свободе, можно попытаться поработать с логом ip атакующих. Наверняка найдется несколько очень дырявых машинок (не проблема заплатить 10-20 баксов человеку, который найдет в них уязвимости). А дальше, ищем на зомби-машинке бота, через него пытаемся вычислить атакующего. Или меняем пассы и используем ботнет в своих целях, развернув всю систему против создателя.))
1). Делаем так, как делает гугл — при подозрении на ддос просто вежливо просим юзера ввести капчу. Логим ип, и второй раз пускаем без капчи.
2). Тех кто не ввел капчу сливаем на какую-нибудь партнерку, зарабатываем себе на отпуск в маями, ну или оплату трафика )))
Ну а дальше комбинируем с вышеприведенными рекомендациями и отделяем мух от котлет, запустив систему свой-чужой. Своих пускаем без капч, подозрительным устраиваем досмотр, ботов блочим и отправляем на наши нужды.
Еще, как вариант, попытаться пофильтровать заголовки запросов. Наверняка будут закономерности у ботов.
Ну а дальше, по свободе, можно попытаться поработать с логом ip атакующих. Наверняка найдется несколько очень дырявых машинок (не проблема заплатить 10-20 баксов человеку, который найдет в них уязвимости). А дальше, ищем на зомби-машинке бота, через него пытаемся вычислить атакующего. Или меняем пассы и используем ботнет в своих целях, развернув всю систему против создателя.))
МГУ предлагает бесплатный хостинг для тех кто под DoS, можете к ним переехать временно :)
www.webplanet.ru/interview/security/2009/08/25/ctiti.html
www.webplanet.ru/interview/security/2009/08/25/ctiti.html
НЛО прилетело и опубликовало эту надпись здесь
Если комменты читает владелец всего этого безобразия, то уже, наверное, собирает чемоданы в Мексику(если он уже не там).
Вымогательство!!! Это вымогательство!!! Это вкусная, тяжкая статья для МВД и ФСБ! Обращаться надо обязательно, советую во 2 отдел ЦИБ ФСБ России, насчет увеличения количества ботов под вас это вранье. Современные ботнеты 2000 — 4000 ботов, иначе они палятся и быстро умирают. Судя по понтам, это новички на рынке Доса, старые команды не стали бы связываться с вымогательством, а молодняк довольно просто отловить. Если нужна помощь и консультации, пишите в приват. Не все можно открыто вывешивать на хабре.
Большинство таких писем — это блеф, который расчитан на слабонервных юзеров… рассылается большое кол-во писем и обязательно найдётся тот, кто клюнет на это и заплатит.
А вообще как то странно: в первой части письма тебя нагло шантажируют, а во второй: предлагают заказать у них услуги и «радуют» скидками. Это не логично.
А вообще как то странно: в первой части письма тебя нагло шантажируют, а во второй: предлагают заказать у них услуги и «радуют» скидками. Это не логично.
Народ!!! зацените что получил!!!
Походу эпидемия!!!
«Уважаемый клиент компании Infobox.
На данный момент происходит DDoS-атака на одного из наших клиентов. Принимаются меры по устранению атаки. Будем информировать Вас о ходе работ, информация будет доступна в виде новости в панели управления аккаунтом (support.infobox.ru).»
Походу эпидемия!!!
«Уважаемый клиент компании Infobox.
На данный момент происходит DDoS-атака на одного из наших клиентов. Принимаются меры по устранению атаки. Будем информировать Вас о ходе работ, информация будет доступна в виде новости в панели управления аккаунтом (support.infobox.ru).»
«должны быть совершены не позднее 31(30) числа каждого месяца»
в феврале отпуск?
в феврале отпуск?
ДДОС от 100$? Что-то ребята загнули…
Первый раз платите, и сразу используете «бонусную» фичу:
> 2. Если к нам обратятся Ваши конкуренты/враги, с просьбой произвести атаку на Ваш сайт, то мы им откажем.
Пытаетесь «заказать» своих конкурентов/врагов. На ком вам откажут, тот и «заказал» вас.
> 2. Если к нам обратятся Ваши конкуренты/враги, с просьбой произвести атаку на Ваш сайт, то мы им откажем.
Пытаетесь «заказать» своих конкурентов/врагов. На ком вам откажут, тот и «заказал» вас.
По поводу ответа. Навеяло. Письмо запорожцев турецкому султану
А можно на несколько сотен $ накупить доменов… и в таких случаях пользоваться ими.
Так а толку от них? Пользователи-то все равно заходят по одному :) Или зараннее их тренировать в ключе «Товарищ! Помни! Если вдруг наш сайт x.ru окажется недоступен — заходи на y.ru, если не доступен y.ru — заходи на z.ru...»?
Но им както нужно выводить деньги, или купленный товар должен прийти на какой то адрес и кто то будет его забирать. тут можно и поймать.
из личного опыта:
На дворе был 2005 год. Открываю родимый форум и удивляюсь — там где раньше красовалась надпись «Всего 1200 сообщений» была цифра ~27000. Беглый взгляд показал что самые часто встречающиеся слова в темах «penis», «viagra» и «free porno». В почте админской лежало письмо, схожей тематики с тем что пришло streetche, только язык был английский. «Ментам стучать надо» — не успел я додумать, как открылась дверь и зашел хорошо одетый, ухоженный, молодой человек с парой листков формата А4 в руках.
— Кто тут админ??
— Кто интересуется??
— МВД РД. Отдел «К».
— По поводу??
— У вас ссылки на порнографию на форуме.
— Как я вам рад…
Последней моей реплике молодой человек удивился. Я предложил ему сесть, чем он молча и воспользовался. Я подробно описал что и как произошло. Показал логи форума, где мелькали тучи IP адресов со всего света, показал письмо с угрозами. Показал даже бэкап базы форума, недельной давности, что бы он понял что это не моих рук дело и тем более не пользователей форума. Предположил что атакующий родом из кореи(схожие темы тогда обсуждались на void.ru) и что им придется задействовать интерпол. Он все это время молчал. Когда я замолчал, он выждал секунд 20 и выложил на столе принесенные листы с распечатанной главной страницей моего форума. Поставил руки на колени и выдал:
— Главный сказал что если на следующей недели у вас опять будут порнографические ссылки на форуме, то вас прикроем.
После этого он молча встал и ушел. Минуты 3 я размышлял, а потом закрыл форум «на ремонт».
На дворе был 2005 год. Открываю родимый форум и удивляюсь — там где раньше красовалась надпись «Всего 1200 сообщений» была цифра ~27000. Беглый взгляд показал что самые часто встречающиеся слова в темах «penis», «viagra» и «free porno». В почте админской лежало письмо, схожей тематики с тем что пришло streetche, только язык был английский. «Ментам стучать надо» — не успел я додумать, как открылась дверь и зашел хорошо одетый, ухоженный, молодой человек с парой листков формата А4 в руках.
— Кто тут админ??
— Кто интересуется??
— МВД РД. Отдел «К».
— По поводу??
— У вас ссылки на порнографию на форуме.
— Как я вам рад…
Последней моей реплике молодой человек удивился. Я предложил ему сесть, чем он молча и воспользовался. Я подробно описал что и как произошло. Показал логи форума, где мелькали тучи IP адресов со всего света, показал письмо с угрозами. Показал даже бэкап базы форума, недельной давности, что бы он понял что это не моих рук дело и тем более не пользователей форума. Предположил что атакующий родом из кореи(схожие темы тогда обсуждались на void.ru) и что им придется задействовать интерпол. Он все это время молчал. Когда я замолчал, он выждал секунд 20 и выложил на столе принесенные листы с распечатанной главной страницей моего форума. Поставил руки на колени и выдал:
— Главный сказал что если на следующей недели у вас опять будут порнографические ссылки на форуме, то вас прикроем.
После этого он молча встал и ушел. Минуты 3 я размышлял, а потом закрыл форум «на ремонт».
НЛО прилетело и опубликовало эту надпись здесь
Хмм… не знаю че как насчет впс и дедикейтед хостинга, но по поводу виртуального
блин, случайно не то нажал
в общем хотел написать, что вчера мне пришло письмо от .m где написали, что на мой домен идет ддос атака из-за бугра
что они отрубили забугорный трафик и перенесли площадку на другую машину
и что самое поразительно — это блог на WP. Они мне написали, какие конкретно плагины поставить, чтобы облегчить жизнь всего этого дела, какие конкретно внести изменения в коды, чтобы нормально мог отдавать статику nginx и еще много полезных советов дали
в общем хотел написать, что вчера мне пришло письмо от .m где написали, что на мой домен идет ддос атака из-за бугра
что они отрубили забугорный трафик и перенесли площадку на другую машину
и что самое поразительно — это блог на WP. Они мне написали, какие конкретно плагины поставить, чтобы облегчить жизнь всего этого дела, какие конкретно внести изменения в коды, чтобы нормально мог отдавать статику nginx и еще много полезных советов дали
днс перенаправьте на яндекс.деньги %)
На наш сайт тоже идут атаки. 4-6 тысяч в день. И соответственно письмо мы также получили.
Уже подтянули питерский интерпол и отдел «К». Есть такой действительно.
В принципе методы определенные есть и вероятность поимки также, хотя это также зависит от таланта вымогателей.
Во всяком случае пока наш Хостер — hostland.ru прекрасно справляется с этой байдой, даже денег дополнительных не взяли и отдельный сервер не понадобился.
А там будем посмотреть.
Но конечно платить вымогателям не стоит никогда. Поймаем — покажем их сюда.
Уже подтянули питерский интерпол и отдел «К». Есть такой действительно.
В принципе методы определенные есть и вероятность поимки также, хотя это также зависит от таланта вымогателей.
Во всяком случае пока наш Хостер — hostland.ru прекрасно справляется с этой байдой, даже денег дополнительных не взяли и отдельный сервер не понадобился.
А там будем посмотреть.
Но конечно платить вымогателям не стоит никогда. Поймаем — покажем их сюда.
Вопрос к топикстартеру — «час X» уже давно прошел, чем закончилось дело?
Были ли атаки? Или письма вашим клиентам оказались обычной угрозой в надежде на то, что кто-то начнёт платить?
Интересно узнать чем всё закончилось (и закончилось ли).
Были ли атаки? Или письма вашим клиентам оказались обычной угрозой в надежде на то, что кто-то начнёт платить?
Интересно узнать чем всё закончилось (и закончилось ли).
Сегодня наш клиент получил такое письмо. Уже требуют 30т.р.
Шантаж