К наиболее популярным атакам без сомнения можно отнести этот популярный способ, когда веб-сервер переполняется запросами от ботов и не может нормально обслуживать запросы посетителей.
В результате такой атаки сайт становится недоступным, а с серверной стороны можно наблюдать рост нагрузки на сервер, большое число процессов веб-сервера и конечно, значительный рост коннектов. Если атака будет очень сильной и паразитный трафик превысит пропускную способность канала к серверу, то на него нельзя будет зайти по ssh.
Но столь сильные атаки — редкость, так как 10-20Mbps такого трафика вполне способны свалить неподготовленный сервер.
Способов борьбы с такими атаками очень много, как программных так и аппаратных. Кроме этого существуют отдельные сервисы, которые «чистят» трафик, присылая только легальные запросы.
Я же хочу рассмотреть очень простой и элегантный способ борьбы, для которого нам потребуется nginx и iptables с модулем string.
Слабое место ботов в том, что они не понимают кукисы. На этой особенности и основана моя система защиты. Мы будем передавать на все запросы к веб-серверу «печеньку», и разделять трафик на легальный и мусорный, основываясь именно на этом параметре.
Сначала нужно будет спрятать веб-сервер, например повесив на 8080 порт, а на его место поставить быстрый nginx, и сконфигурировать страницу-заглушку. В качестве примера подойдет стандартный конфиг nginx, единственное, что нужно сделать — добавить cookie, дописав в конфиге nginx:
add_header Set-Cookie «type=this-is-not-bot»;
На самой странице-заглушке можно написать нечто вроде «Извините, сайт под DDOS, включите кукисы в браузере и нажмите на ссылку для перехода».
Когда посетитель откроет такую страницу, то при следующем запросе он передаст эту «печеньку», на основе которой можно направить трафик к спрятанному веб-серверу:
iptables -t nat -A PREROUTING -p tcp --dport 80 -m string --string «this-is-not-bot» --algo kmp -j REDIRECT --to-ports 8080
Разумеется, что для нормальной работы сайта не следует забывать передавать в кукисах эту заветную строчку.
Ожидали чего-то более сложного? Извините…
P.S. Поисковые боты не принимают кукисы, так что будет вполне разумно сделать для них заблаговременное исключение.
Обращать внимание клиента на несоответсвие текста общему стилю сайты, предложить помочь провести обучения за небольшую сумму, если ему похрен — то боюсь, что ничего не сделаешь.
Заставлять клиента силой (органичивая возможность редактора) писать «как правильно по вашему мнению» дорогостоящая и малополезная затея.
Капча решает такие вопросы. Меня например дико раздражает, когда смотришь почту, особенно с коммуникатора, и тебе предлагают пройти по ссылке, чтобы прочитать что же тебе написали.
Близкое к идеалу решение на мой взгляд, когда ты можешь по почте ответить и это добавиться в тред или придет на почту адресату, который тебе написал в личку, как это реализовано в гугл групс.
Вы знаете много людей у которых есть четкий бизнес-план. По роду работы — я бизнес-тренинг, я часто общаюсь с участниками семинаров. У 80% работающего малого и среднего бизнеса нет маркетингового плана. (который кстати, является частью бизнес-плана), а вы его хотите от стартаперов добиться. :)
В Яндекс пусть лучше обращается отдел К — у них быстрее и лучше получается.
Все электронные системы легко идут на сотрудничество с ними.
Если не будут принимать заявление — пишите письма в прокуратуру — надзирающий орган, как никак.
Правда на месте злоумышленников, я бы работал с левыми кошельками через тор, а выводил деньги через обменники. В этом случае дело приостановят и закроют по сроку давности. Поймать их можно только на деньгах, т.к. привязать бот-систему к конкретным людям практически невозможно, только если отслеживать сессию до бот-системы через провайдера злоумышленников, а потом изъять компьютер, с которого он выходил, а затем изъять сервера.
Подумайте на тему колллокейшена с широким каналом, это будет всяко дешевле, чем платить злоумышленникам.
Небольшой персональный сайт (в основной массе это блоги) можно с теми же усилиями поднять на Друпале. Правда готовых красивых тем к нему меньше, чем к вордпрессу, но это уже не конструктор, верно?
Стандартный функционал корпоративного сайта, тоже без проблем поднимается на том же друпале.
В принципе и возможностей вордпресса для большинства тоже хватит.
1. Кредитки сужают количество клиентов, которые могут расплатиться. В некоторых случаях существенно.
2. После оплаты услуги, владелец кредитки может также сделать чардж-бек.
Это как раз понятно :) Вопрос был в другом - интересно, почему отбор моделей уместен, а дизайнеров и разработчиков - нет. Они по другому к социалкам относятся?
Или модель гордиться тем, что она модель, а дизайнер нет и поэтому не пишет про себя?
Видимо от типа автомата зависит. Сейчас специально спустился вниз - но там терминалы Киви. Проверить не получилось - забыл забрать взять с собой наличку,
а там вначале нужно положить денег на личный кабинет, а потом уже только можно за что-то платить.
Не понравилось, что написано, что платежи поступают в течении 24 часов.
Это бесило при работе с рупеем. Оплатит клиент доступ и дальше сутки ждет, пока деньги дойдут...
Бухглатерия "на ура" - берется внешняя. Команду полностью можно в этих же домиках посадить. А с семьями это реальный вопрос. В принципе, не проблема сделать ИТ-деревню - вопрос где работать вторым половинам, поять же вопрос инфраструктуры и социалки возникнет...
Возможный вариант офиса где-нибудь близко от МКАДА с началом работы во время когда пробок уже нет, чтобы было не сложно добираться.
В результате такой атаки сайт становится недоступным, а с серверной стороны можно наблюдать рост нагрузки на сервер, большое число процессов веб-сервера и конечно, значительный рост коннектов. Если атака будет очень сильной и паразитный трафик превысит пропускную способность канала к серверу, то на него нельзя будет зайти по ssh.
Но столь сильные атаки — редкость, так как 10-20Mbps такого трафика вполне способны свалить неподготовленный сервер.
Способов борьбы с такими атаками очень много, как программных так и аппаратных. Кроме этого существуют отдельные сервисы, которые «чистят» трафик, присылая только легальные запросы.
Я же хочу рассмотреть очень простой и элегантный способ борьбы, для которого нам потребуется nginx и iptables с модулем string.
Слабое место ботов в том, что они не понимают кукисы. На этой особенности и основана моя система защиты. Мы будем передавать на все запросы к веб-серверу «печеньку», и разделять трафик на легальный и мусорный, основываясь именно на этом параметре.
Сначала нужно будет спрятать веб-сервер, например повесив на 8080 порт, а на его место поставить быстрый nginx, и сконфигурировать страницу-заглушку. В качестве примера подойдет стандартный конфиг nginx, единственное, что нужно сделать — добавить cookie, дописав в конфиге nginx:
add_header Set-Cookie «type=this-is-not-bot»;
На самой странице-заглушке можно написать нечто вроде «Извините, сайт под DDOS, включите кукисы в браузере и нажмите на ссылку для перехода».
Когда посетитель откроет такую страницу, то при следующем запросе он передаст эту «печеньку», на основе которой можно направить трафик к спрятанному веб-серверу:
iptables -t nat -A PREROUTING -p tcp --dport 80 -m string --string «this-is-not-bot» --algo kmp -j REDIRECT --to-ports 8080
Разумеется, что для нормальной работы сайта не следует забывать передавать в кукисах эту заветную строчку.
Ожидали чего-то более сложного? Извините…
P.S. Поисковые боты не принимают кукисы, так что будет вполне разумно сделать для них заблаговременное исключение.
Заставлять клиента силой (органичивая возможность редактора) писать «как правильно по вашему мнению» дорогостоящая и малополезная затея.
Близкое к идеалу решение на мой взгляд, когда ты можешь по почте ответить и это добавиться в тред или придет на почту адресату, который тебе написал в личку, как это реализовано в гугл групс.
Все очевидно вкусные места — такие как налоговые или ГАИ, уже разобраны.
Все электронные системы легко идут на сотрудничество с ними.
Если не будут принимать заявление — пишите письма в прокуратуру — надзирающий орган, как никак.
Правда на месте злоумышленников, я бы работал с левыми кошельками через тор, а выводил деньги через обменники. В этом случае дело приостановят и закроют по сроку давности. Поймать их можно только на деньгах, т.к. привязать бот-систему к конкретным людям практически невозможно, только если отслеживать сессию до бот-системы через провайдера злоумышленников, а потом изъять компьютер, с которого он выходил, а затем изъять сервера.
Подумайте на тему колллокейшена с широким каналом, это будет всяко дешевле, чем платить злоумышленникам.
Почему для информационных систем - выбран друпал, а для корп сайтов битрикс, а не тот же вордпресс, если он такой юзабильный?
Небольшой персональный сайт (в основной массе это блоги) можно с теми же усилиями поднять на Друпале. Правда готовых красивых тем к нему меньше, чем к вордпрессу, но это уже не конструктор, верно?
Стандартный функционал корпоративного сайта, тоже без проблем поднимается на том же друпале.
В принципе и возможностей вордпресса для большинства тоже хватит.
1. Кредитки сужают количество клиентов, которые могут расплатиться. В некоторых случаях существенно.
2. После оплаты услуги, владелец кредитки может также сделать чардж-бек.
Или модель гордиться тем, что она модель, а дизайнер нет и поэтому не пишет про себя?
а там вначале нужно положить денег на личный кабинет, а потом уже только можно за что-то платить.
Не понравилось, что написано, что платежи поступают в течении 24 часов.
Это бесило при работе с рупеем. Оплатит клиент доступ и дальше сутки ждет, пока деньги дойдут...
В этом плане конечно рупей был очень удобен, но с новым условием его полезность поуменьшилась...
Возможный вариант офиса где-нибудь близко от МКАДА с началом работы во время когда пробок уже нет, чтобы было не сложно добираться.