Главная translate
Войти Регистрация

Ruby On Rails in UA/Хостинг, проекты/DDOS =)

01 июля 2009, 17:04   DDOS =)
killich
Илья aka Зайко
Живет: Россия, Иваново
Сообщений: 502
Рейтинг: 189.0
Рег: 27 окт. 2008
Его блог
  •  
Уж не знаю я кому я так насолил =), но уже 4 часа сижу под ним родимым =) 7 проектов на пхп и руби лежат и отдыхают.. точнее работают во всю =) даже более хорошо чем надо =) Админы хостинга немного помогли файерволлом, но не спасает. У кого есть практика действий в подобных ситуациях?
Илья aka Зайко (aka Killich) Тот самый учитель информатики >:0) Зайко из-за того, что долго на аватаре стоял заяц Крош из Смешариков.
01 июля 2009, 17:32   RE: DDOS =)
killich
Илья aka Зайко
Живет: Россия, Иваново
Сообщений: 502
Рейтинг: 189.0
Рег: 27 окт. 2008
Его блог
  •  
Илья aka Зайко Брянск, Находка, Новосибирск, Кинтуки США, Мюнхен, Китай вот такая любопытная геоIPграфия
Илья aka Зайко (aka Killich) Тот самый учитель информатики >:0) Зайко из-за того, что долго на аватаре стоял заяц Крош из Смешариков.
01 июля 2009, 17:59   RE: DDOS =)
killich
Илья aka Зайко
Живет: Россия, Иваново
Сообщений: 502
Рейтинг: 189.0
Рег: 27 окт. 2008
Его блог
  •  
Илья aka Зайко VDS. Аномалии судя по логам начались по серверному времени в 6:30 - сейчас там 15:50. В 6:30 Начало поступать по десятку запросов с одного ip в секунду. И понеслись ip-шники и запросы. С тех пор картина одна и та же. Тех поддержка сообщила - атака. Файервол после их настроек пропускает ко мне не более 5 запросов с одного ip. Советуют ждать. Никогда не сталкивался ни с чем подобным. К сожалению сегодня нет возможности что то придумывать =( посмотрю инфу конечно - но действия в лучшем случае буду предпринимать завтра после обеда. Самое обидное - сайт, который долбят - не коммерческий. Откуда к нему такой интерес - ума не приложу. Разве так бывает? Задействовать довольно обширный бот-нет что бы пятирублевый сайт убить... к остальным (коммерческим) проектам запросы не идут. В шоке.
Илья aka Зайко (aka Killich) Тот самый учитель информатики >:0) Зайко из-за того, что долго на аватаре стоял заяц Крош из Смешариков.
01 июля 2009, 18:41   RE: DDOS =)
killich
Илья aka Зайко
Живет: Россия, Иваново
Сообщений: 502
Рейтинг: 189.0
Рег: 27 окт. 2008
Его блог
  •  
Илья aka Зайко Спасибо! по крайней мере стали понятны причины. типа тренируются на кошках =(
Илья aka Зайко (aka Killich) Тот самый учитель информатики >:0) Зайко из-за того, что долго на аватаре стоял заяц Крош из Смешариков.
01 июля 2009, 19:15   RE: RE: DDOS =)
dzen
dzen
Живет:
Сообщений: 4
Рейтинг: 0.0
Рег: 30 июня 2009
  •  
Илья aka Зайко >>Тех поддержка сообщила - атака. Файервол после их настроек пропускает ко мне не более 5 запросов с одного ip. Советуют ждать. Они правильно говорят - на сегодня ихмо еще не придумали другого способа
03 июля 2009, 13:15   RE: DDOS =)
killich
Илья aka Зайко
Живет: Россия, Иваново
Сообщений: 502
Рейтинг: 189.0
Рег: 27 окт. 2008
Его блог
  •  
Илья aka Зайко Разбор полета показывает, что методология борьбы с ДДОС должна выглядеть примерно следующим образом: (Случай с работай с VDS) Пассивное/Активное противостояние атаке: 1. Сообщить тех поддержке вашего хостинг-провайдера. Если тех поддержка хорошая (к счастью, это мой случай) - то ребята частично порежут трафик на своей огнестенке, путем выставления ограничения пропускаемых запросов с одного ip за единицу времени. 2. Существует мод апача, реализующий анализ входящих запросов и формирующий бан-лист (сам не ковырял - опираюсь только на прочитанное - mod_dosevasive). Судя по отзывам проблему решает не существенно. т.к. все равно работает на анализ и сам отдает ответ бот-нет агентам о невозможности получения данных. 3. Поднять на своей машине огнестенку. Задача в том, что бы анализируя логи апача или какие либо другие дополнять периодически (например раз в минуту по хрону) список запрещенных ip в огнестенке. 4. Ждать прекращения атаки. Активное нападение на бот-агентов: 5. Получив на основе анализа за некоторый период список ip адресов бот-агентов не полениться и определить email тех поддержки подсетей, обслуживающих данные ip. Выполнить рассылку администраторам подсетей о присутствии в подчиненным им ресурсам - бот-агентов. Часто администраторы сетей идут на сотрудничество и пытаются некоторым образом влиять на своих подопечных. 6. Сообщить в правоохранительные органы своего региона/страны об инциденте. Что касается России, то могу сказать следующее - такие органы как ФСБ (федерального уровня) - занимаются крупными ddos атаками на корпоративные, государственные ресурсы. Маленький сайт им будет вряд ли интересен. "Отдел К" - регионального уровня вряд ли будет полезен. Почему?! да просто вы нафиг никому не нужны со своими 5 копеечными проблемами. Если конечно вы не сын/дочь/зять местного генерала. Мера по всей видимости малоэффективная. Хотя государство очень заинтересовано в борьбе с такими атаками. Завтра атака может пойти и на гос. ресурсы. 7. Опубликовать список бот-нет ip. Хотя бы у себя на сайте. Если атакующий периодически мониторит ваш сайт - есть вероятность, что ему будет не приятен факт раскрытия адресов его бот-сети. Есть шанс, что это некоторым образом может предотвратить следующую атаку. 8. В идеале, как мне видится - было бы здорово получить экземпляр вредоносного кода агентского бота и узнать точку от которой получается конфигурационный файл на атаку. Так с некоторой долей вероятности можно выйти на руководителей атаки. Но это довольно проблематично. Это мое виденье проблемы. Буду рад услышать ваше мнение.
Илья aka Зайко (aka Killich) Тот самый учитель информатики >:0) Зайко из-за того, что долго на аватаре стоял заяц Крош из Смешариков.
03 июля 2009, 16:55   RE: DDOS =)
romb
Roman V. Babenko
Живет: Kyiv,UKR
Сообщений: 931
Рейтинг: 152.0
Рег: 22 апр. 2008
Его блог
  •  
Илья aka Зайко Почти уверен, что это не то что тебе надо. Но думаю не помешает. Утилитка сканит переборы паролей и сама банит ip http://www.debian-administration.org.ua/articles/fail2ban_configuration/
http://romanvbabenko.com Если в споре не родилась истина, то, по крайней мере, один из спорящих бесплоден. Rails 2.3.3 Gnu\Linux Debian\Lenny Mongrel, MySql, SQLite GEdit, MCEdit FireFox 3.0 (FireBug) Git
03 июля 2009, 17:34   RE: RE: DDOS =)
killich
Илья aka Зайко
Живет: Россия, Иваново
Сообщений: 502
Рейтинг: 189.0
Рег: 27 окт. 2008
Его блог
  •  
Roman V. Babenko возьму на заметку. Спасибо. Пригодится. Сейчас читаю маны по настройке firewall. С администрированием у мя посредственно - но уже начинаю понимать как это работает. Глядишь, будет решение - выложу в этот топик. Но наверное не очень скоро.
Илья aka Зайко (aka Killich) Тот самый учитель информатики >:0) Зайко из-за того, что долго на аватаре стоял заяц Крош из Смешариков.

Ключевые слова:
   Rambler's Top100
О проекте | Правила | Контакты | Главная
Rubyclub.com.ua Copyright © 2007 - 2009
Apache/2.2.3 | Rails: 2.3.8 | jQuery 1.4.2