| 01 июля 2009, 14:04 | |
|---|---|
Илья Зайко Живет: Moscow,RUS Сообщений: 425 Рейтинг: 139.0 Рег: 27 окт. 2008 Его блог |
DDOS =) |
| Уж не знаю я кому я так насолил =), но уже 4 часа сижу под ним родимым =)
7 проектов на пхп и руби лежат и отдыхают.. точнее работают во всю =) даже более хорошо чем надо =)
Админы хостинга немного помогли файерволлом, но не спасает.
У кого есть практика действий в подобных ситуациях? ------------ Илья aka Зайко (aka Killich)
Тот самый учитель информатики >:0) |
|
| DDOS |
| 01 июля 2009, 14:32 | |
|---|---|
Илья Зайко Живет: Moscow,RUS Сообщений: 425 Рейтинг: 139.0 Рег: 27 окт. 2008 Его блог |
RE: DDOS =) |
| Илья Зайко
Брянск, Находка, Новосибирск, Кинтуки США, Мюнхен, Китай
вот такая любопытная геоIPграфия ------------ Илья aka Зайко (aka Killich)
Тот самый учитель информатики >:0) |
|
| 01 июля 2009, 14:59 | |
|---|---|
Илья Зайко Живет: Moscow,RUS Сообщений: 425 Рейтинг: 139.0 Рег: 27 окт. 2008 Его блог |
RE: DDOS =) |
| Илья Зайко
VDS.
Аномалии судя по логам начались по серверному времени в 6:30 - сейчас там 15:50.
В 6:30 Начало поступать по десятку запросов с одного ip в секунду. И понеслись ip-шники и запросы.
С тех пор картина одна и та же. Тех поддержка сообщила - атака. Файервол после их настроек пропускает ко мне не более 5 запросов с одного ip. Советуют ждать.
Никогда не сталкивался ни с чем подобным.
К сожалению сегодня нет возможности что то придумывать =( посмотрю инфу конечно - но действия в лучшем случае буду предпринимать завтра после обеда.
Самое обидное - сайт, который долбят - не коммерческий. Откуда к нему такой интерес - ума не приложу. Разве так бывает? Задействовать довольно обширный бот-нет что бы пятирублевый сайт убить... к остальным (коммерческим) проектам запросы не идут. В шоке.
------------ Илья aka Зайко (aka Killich)
Тот самый учитель информатики >:0) |
|
| 01 июля 2009, 15:41 | |
|---|---|
Илья Зайко Живет: Moscow,RUS Сообщений: 425 Рейтинг: 139.0 Рег: 27 окт. 2008 Его блог |
RE: DDOS =) |
| Илья Зайко
Спасибо! по крайней мере стали понятны причины. типа тренируются на кошках =( ------------ Илья aka Зайко (aka Killich)
Тот самый учитель информатики >:0) |
|
| 01 июля 2009, 16:15 | |
|---|---|
dzen Живет: Сообщений: 4 Рейтинг: 0.0 Рег: 30 июня 2009 |
RE: RE: DDOS =) |
| Илья Зайко >>Тех поддержка сообщила - атака. Файервол после их настроек пропускает ко мне не более 5 запросов с одного ip. Советуют ждать. Они правильно говорят - на сегодня ихмо еще не придумали другого способа | |
| 03 июля 2009, 10:15 | |
|---|---|
Илья Зайко Живет: Moscow,RUS Сообщений: 425 Рейтинг: 139.0 Рег: 27 окт. 2008 Его блог |
RE: DDOS =) |
| Илья Зайко
Разбор полета показывает, что методология борьбы с ДДОС должна выглядеть примерно следующим образом:
(Случай с работай с VDS)
Пассивное/Активное противостояние атаке:
1. Сообщить тех поддержке вашего хостинг-провайдера. Если тех поддержка хорошая (к счастью, это мой случай) - то ребята частично порежут трафик на своей огнестенке, путем выставления ограничения пропускаемых запросов с одного ip за единицу времени.
2. Существует мод апача, реализующий анализ входящих запросов и формирующий бан-лист (сам не ковырял - опираюсь только на прочитанное - mod_dosevasive). Судя по отзывам проблему решает не существенно. т.к. все равно работает на анализ и сам отдает ответ бот-нет агентам о невозможности получения данных.
3. Поднять на своей машине огнестенку. Задача в том, что бы анализируя логи апача или какие либо другие дополнять периодически (например раз в минуту по хрону) список запрещенных ip в огнестенке.
4. Ждать прекращения атаки.
Активное нападение на бот-агентов:
5. Получив на основе анализа за некоторый период список ip адресов бот-агентов не полениться и определить email тех поддержки подсетей, обслуживающих данные ip.
Выполнить рассылку администраторам подсетей о присутствии в подчиненным им ресурсам - бот-агентов. Часто администраторы сетей идут на сотрудничество и пытаются некоторым образом влиять на своих подопечных.
6. Сообщить в правоохранительные органы своего региона/страны об инциденте. Что касается России, то могу сказать следующее - такие органы как ФСБ (федерального уровня) - занимаются крупными ddos атаками на корпоративные, государственные ресурсы. Маленький сайт им будет вряд ли интересен.
"Отдел К" - регионального уровня вряд ли будет полезен. Почему?! да просто вы нафиг никому не нужны со своими 5 копеечными проблемами. Если конечно вы не сын/дочь/зять местного генерала.
Мера по всей видимости малоэффективная. Хотя государство очень заинтересовано в борьбе с такими атаками. Завтра атака может пойти и на гос. ресурсы.
7. Опубликовать список бот-нет ip. Хотя бы у себя на сайте. Если атакующий периодически мониторит ваш сайт - есть вероятность, что ему будет не приятен факт раскрытия адресов его бот-сети. Есть шанс, что это некоторым образом может предотвратить следующую атаку.
8. В идеале, как мне видится - было бы здорово получить экземпляр вредоносного кода агентского бота и узнать точку от которой получается конфигурационный файл на атаку. Так с некоторой долей вероятности можно выйти на руководителей атаки. Но это довольно проблематично.
Это мое виденье проблемы. Буду рад услышать ваше мнение.
------------ Илья aka Зайко (aka Killich)
Тот самый учитель информатики >:0) |
|
| 03 июля 2009, 13:55 | |
|---|---|
Roman V. Babenko Живет: Kyiv,UKR Сообщений: 898 Рейтинг: 128.0 Рег: 22 апр. 2008 Его блог |
RE: DDOS =) |
| Илья Зайко
Почти уверен, что это не то что тебе надо.
Но думаю не помешает. Утилитка сканит переборы паролей и сама банит ip
http://www.debian-administration.org.ua/articles/fail2ban_configuration/ ------------ http://romanvbabenko.com
Если в споре не родилась истина, то, по крайней мере, один из спорящих бесплоден.
Rails 2.3.3
Gnu\Linux Debian\Lenny
Mongrel, MySql, SQLite
GEdit, MCEdit
FireFox 3.0 (FireBug)
Git |
|
| 03 июля 2009, 14:34 | |
|---|---|
Илья Зайко Живет: Moscow,RUS Сообщений: 425 Рейтинг: 139.0 Рег: 27 окт. 2008 Его блог |
RE: RE: DDOS =) |
| Roman V. Babenko
возьму на заметку.
Спасибо. Пригодится. Сейчас читаю маны по настройке firewall.
С администрированием у мя посредственно - но уже начинаю понимать как это работает.
Глядишь, будет решение - выложу в этот топик. Но наверное не очень скоро. ------------ Илья aka Зайко (aka Killich)
Тот самый учитель информатики >:0) |
|
