- Поисковые системы
- Практика оптимизации
- Трафик для сайтов
- Монетизация сайтов
- Сайтостроение
- Социальный Маркетинг
- Общение профессионалов
- Биржа и продажа
- Финансовые объявления
- Работа на постоянной основе
- Сайты - покупка, продажа
- Соцсети: страницы, группы, приложения
- Сайты без доменов
- Трафик, тизерная и баннерная реклама
- Продажа, оценка, регистрация доменов
- Ссылки - обмен, покупка, продажа
- Программы и скрипты
- Размещение статей
- Инфопродукты
- Прочие цифровые товары
- Работа и услуги для вебмастера
- Оптимизация, продвижение и аудит
- Ведение рекламных кампаний
- Услуги в области SMM
- Программирование
- Администрирование серверов и сайтов
- Прокси, ВПН, анонимайзеры, IP
- Платное обучение, вебинары
- Регистрация в каталогах
- Копирайтинг, переводы
- Дизайн
- Usability: консультации и аудит
- Изготовление сайтов
- Наполнение сайтов
- Прочие услуги
- Не про работу
Авторизуйтесь или зарегистрируйтесь, чтобы оставить комментарий
Если хотите можем бесплатно сделать диагностику, посмотрим что за трафик на вас валит если таковой есть.
Просьба писать в личку.
Я думаю, если написано, что порт был загружен в полку, то это 100\1000мбит.
Да, по всей видимости.
Хостер, наконец, порадовал хоть какими-то сведениями. Во-первых, со временем атаки они ошиблись на пару часов, поэтому мой разбор логов ни к чему не привел.
Когда же были даны уточненные сведения, они выглядели примерно так:
21:50:32 - начало атаки
c 21:51:44 вы можете видеть кучу сообщений вида:
"Jan 29 21:51:44 s3 kernel: Limiting open port RST response from 542 to 500 packets/sec"
что свидетельствует о том что с трафиком на порту какая-то аномалия
DDOS был весьма своеобразным: кидались пакеты по несуществующему адресу domen.ru/script.php
В error-log'е (а именно туда все и сыпалось, поскольку запросы шли на несуществующий адрес ) с 21:50:32 по 21:51:44 я обнаружил 9000 записей и 294 отдельных IP адреса.
Насколько я понял объяснения хостера, именно эти 125 запросов в секунду и загрузили 100 мегабитный порт "в полку", что, соответственно, привело на следующий день к получению официального уведомления от хостера о том, что в случае повторения подобных мега-атак, мой сервер будет заблокирован полностью.
В принципе, техподдержку легко понять: 10000 рублей в месяц за аренду сервера с администрированием - не та сумма, чтобы тратить лимитированное на каждого клиента время и отбивать подобные мощнейшие атаки на мои проекты.
Не уверен что грузили 125 запросов
Скорее всего лили спуфленый синфлуд
Не уверен что грузили 125 запросов
Скорее всего лили спуфленый синфлуд
Ровно полчаса? А потом вдруг передумали? :)
---------- Добавлено 03.02.2012 в 04:59 ----------
Не уверен что грузили 125 запросов
Скорее всего лили спуфленый синфлуд
Случилось чудо! :)
После того, как я детально разобрал http-логи и представил хостеру свои соображения, меня, наконец, перестали пытаться задавить потоком сознания про чемоданы денег и взломанные сейфы.
Итак, мне дали хоть и не подробную информацию, то хотя бы намек:
И далее:
Теперь вопрос: пока еще все логи не потерлись, подскажите, пожалуйста, информацию о наличии syn-flood атак можно найти на сервере, или хостер в очередной раз лукавит? Если она доступна в каких-либо логах сервера, то где мне ее искать?
Таких логов сервер не ведет, но если у тебя есть тутовый доступ, то поставь мунин. Так будет проще понять, что с сервером.
А еще лучше - попросить посмотреть сервер специалиста в момент атаки
Таких логов сервер не ведет
Т.е. это вновь очередное издевательство с их стороны?
Теперь вопрос: пока еще все логи не потерлись, подскажите, пожалуйста, информацию о наличии syn-flood атак можно найти на сервере, или хостер в очередной раз лукавит? Если она доступна в каких-либо логах сервера, то где мне ее искать?
Синфлуд вы можете увидеть в системных логах, если включены синкуки.
Поищите в системных логах строку
possible SYN flooding on port 80. Sending cookies.
Также во время атаки вы можете увидеть синфлуд
1) в команде netstat –n по большому количество строк SYN_RECV
2) командой tcpdump оценить поток syn пакетов
3) Создать правило iptables через которое будут проходить syn пакеты и смотреть счетчик пакетов этого правила.
zexis, Большое спасибо!
На всякий случай еще вопрос. Я попросил саппорт предоставить мне данные касаемо прошедшей атаки, на что получил следующий ответ:
Как мне сформулировать свой вопрос таким образом, чтобы они были вынуждены ответить по существу и предоставить нужные данные, а не зафлуживали меня бесполезной информацией и дурацкими рассуждениями о чемоданах с золотом?
Помимо всего прочего меня уже успели порадовать вот таким сообщением:
Если будет заливка порта, то ддосы будем фильтровать самым простым способом - блоком ip адресов*, чтобы не страдали наши клиенты.
Что ж, довольно приятные новости для клиента, оплачивающего хостинг с администрированием :)
*имеются в виду адреса моего сервера. Ну, т.е. они просто вырубят мой сервер в случае очередной атаки, ни одну из которых они пока так и не смогли или не захотели подтвердить.
Проблема сменить хостинг? ТС не мучайтесь с таким хостером
pupkin zade, я надеюсь, мы переедем на следующей неделе. Нужно просто приложить все усилия, чтобы дожить до этого.