- Поисковые системы
- Практика оптимизации
- Трафик для сайтов
- Монетизация сайтов
- Сайтостроение
- Социальный Маркетинг
- Общение профессионалов
- Биржа и продажа
- Финансовые объявления
- Работа на постоянной основе
- Сайты - покупка, продажа
- Соцсети: страницы, группы, приложения
- Сайты без доменов
- Трафик, тизерная и баннерная реклама
- Продажа, оценка, регистрация доменов
- Ссылки - обмен, покупка, продажа
- Программы и скрипты
- Размещение статей
- Инфопродукты
- Прочие цифровые товары
- Работа и услуги для вебмастера
- Оптимизация, продвижение и аудит
- Ведение рекламных кампаний
- Услуги в области SMM
- Программирование
- Администрирование серверов и сайтов
- Прокси, ВПН, анонимайзеры, IP
- Платное обучение, вебинары
- Регистрация в каталогах
- Копирайтинг, переводы
- Дизайн
- Usability: консультации и аудит
- Изготовление сайтов
- Наполнение сайтов
- Прочие услуги
- Не про работу
Тренды маркетинга в 2024 году: мобильные продажи, углубленная аналитика и ИИ
Экспертная оценка Адмитад
Оксана Мамчуева
Авторизуйтесь или зарегистрируйтесь, чтобы оставить комментарий
Недавно встретил достаточно любопытный скрипт защиты от DOS/DDOS - dos deflate
http://deflate.medialayer.com/
Работает по принципу
netstat -ntu | awk '{print $5}' | cut -d: -f1 | sort | uniq -c | sort -n
Метод по моему мнению достаточно эффективный и вместе с mod_limitipconn дает неплохие результаты.
Знает ли кто более эффективные методы и средства борьбы с DOS/DDOS ?
Знает ли кто более эффективные методы и средства борьбы с DOS/DDOS ?
Издеваетесь?
Метод по моему мнению достаточно эффективный
Для защиты от пионеров.
Издеваетесь?
Для защиты от пионеров.
То есть метода нет ?
То есть метода нет ?
Есть. Датацентры с соответствующей услугой. Или сторонние службы, отфильтрующие ваш траф.
Надеюсь, вы не считаете, что DDOS бывает:
1. Только HTTP-запросами.
2. Только по протоколу TCP.
3. С входящим трафиком заведомо меньшим толщины вашего канала.
Кроме того, не стоит рассчитывать, что датацентр пришлет сочувственное письмо вместо счета за траф, на пару килобаксов в сутки.
Нет конечно...
Я думаю всем прекрасно понятно что с трафом более ширины полосы пропускания на стороне сервера ничего не сделать.
Также как и то, что полоса ДОСа может быть такой что и железяку фильтрующую положит.
Вопрос в другом, насколько я понимаю, эфективное расходование мощности да и сама атака ОТКАЗ ОТ ОБСЛУЖИВАНИЯ подразумевает, что затрата небольшой мощности со стороны атакующих вызывает потребление большого числа ресурсов на севрере - один http запрос на 20 байт вызывает запуск в работу сложного пхп скрипта делающего с десяток запросов к базе (это я не говорю про движек этого форума :) ), соответветсвенно нагрузка на сервер и на клиент не сопоставима...
Я говорю про достаточно интелектуальный ДОС , а не тупой поток трафа... Это не спортивно...
С таким же успехом ДДОС может положит канал ДЦ во внешний мир.
qwartyr добавил 03.06.2008 в 16:38
я спрашиваю про другие opensource решения есть
Я говорю про достаточно интелектуальный ДОС , а не тупой поток трафа... Это не спортивно...
Вы говорите про дешевый вариант атаки с мелкого ботнета. Это и есть пионеры.
Я думаю всем прекрасно понятно что с трафом более ширины полосы пропускания на стороне сервера ничего не сделать.
Почему же. Купить фильтрацию у спецов, поменять DNS и дышать через трубу, положеную к ним. :)
Вопрос в другом, насколько я понимаю, эфективное расходование мощности да и сама атака ОТКАЗ ОТ ОБСЛУЖИВАНИЯ подразумевает, что затрата небольшой мощности со стороны атакующих вызывает потребление большого числа ресурсов на севрере - один http запрос на 20 байт вызывает запуск в работу сложного пхп скрипта делающего с десяток запросов к базе (это я не говорю про движек этого форума)
Для защиты от подобной атаки на сайт, гораздо логичнее вместо "netstat -ntu |...." делать что-то типа "tail -f access.log|...." для http-лога сайта. Так не забанятся ни в чем не повинные поситители соседних сайтов (если таковые есть на сервере).
Подобные атаки обычно идут на одну конкретную страницу. Если серверу очень тяжело ее обрабатывать и в лог ничего не попадает, можно временно заминить ее легкой статической html-страницей.
Для защиты от подобной атаки на сайт, гораздо логичнее вместо "netstat -ntu |...." делать что-то типа "tail -f access.log|...." для http-лога сайта. Так не забанятся поситители ни в чем не повинных соседних сайтов.
Подобные атаки обычно идут на одну конкретную страницу. Если серверу очень тяжело ее обрабатывать и в лог ничего не попадает, можно временно заминить ее легкой статической html-страницей.
tail -f access.log это уж совсем неинтересные никому ресурсы с никакой посещяемостью - кто их будет ддосить?
Достаточно часто логи вообще отключают, чтобы увеличить быстродействие апача.
Боюсь что посетитель с 100 коннектами к серверу скорее всего не помет считаться неповинным.
Если банить конечно сетки /24, то можно и посетителей набанить, а по айпишникам - не думаю.
По поводу замены страницы на статику не думаю - кеширование в пхп позволяет сделать пхп скрипт практически таким же статичным - при ДОС апач все равно не справится с нагрузкой.
Недавно в форуме проскакивал пост про GET /80 запросы - я думаю, что файла 80 не было на сервере - при этом сервер ложился под ддосом, а апачу всего лишь надо было 404 код ошибки ботнету отдать
tail -f access.log это уж совсем неинтересные никому ресурсы с никакой посещяемостью - кто их будет ддосить?
Это не так. Нормальный ботнет не делает одновременных запросов с одного IP. Список работает рандомно. И описанное вами лекарство просто не сработает. Надо делать выборку именно из логов. Или юзать специализированные модули апача, написанные как раз для таких случаев.
Достаточно часто логи вообще отключают, чтобы увеличить быстродействие апача.
Весьма неграмотный способ увеличения производительности. Скорее, просто глупый.
Я вроде написал в стартовом посте
Метод по моему мнению достаточно эффективный и вместе с mod_limitipconn дает неплохие результаты.
По поводу отключения логов осмелюсь с Вами не согласится. Запись на диск хоть из буферизованная тоже нагрузка 6). Я согласен, что это не самый лучший способ увеличить производительность ;)
штуки типа сat access.log | grep " GET /80" | awk '{ print $1 }' | sort | uniq | awk {' print "iptables -I INPUT -s " $1" -j DROP" '} > ./BAN.sh
и sh BAN.sh
вполне справятся...
Но он принципиально не отличается от dos deflate ибо лишь способ получения информации об атакующих ip разный
Это не так. Нормальный ботнет не делает одновременных запросов с одного IP. Список работает рандомно. И описанное вами лекарство просто не сработает. Надо делать выборку именно из логов. Или юзать специализированные модули апача, написанные как раз для таких случаев.
Весьма неграмотный способ увеличения производительности. Скорее, просто глупый.
+1.А еще юзают рандомные юзер-агенты с рандомными реферрерами+делэй для реквестов.
Когда-то слышал о фирме (www.litespeedtech.com).Вроде бы защищала нормально.Щас уже не знаю.Глянуть на их конфиг забавно )
sstdns.com/modsec.conf