- Поисковые системы
- Практика оптимизации
- Трафик для сайтов
- Монетизация сайтов
- Сайтостроение
- Социальный Маркетинг
- Общение профессионалов
- Биржа и продажа
- Финансовые объявления
- Работа на постоянной основе
- Сайты - покупка, продажа
- Соцсети: страницы, группы, приложения
- Сайты без доменов
- Трафик, тизерная и баннерная реклама
- Продажа, оценка, регистрация доменов
- Ссылки - обмен, покупка, продажа
- Программы и скрипты
- Размещение статей
- Инфопродукты
- Прочие цифровые товары
- Работа и услуги для вебмастера
- Оптимизация, продвижение и аудит
- Ведение рекламных кампаний
- Услуги в области SMM
- Программирование
- Администрирование серверов и сайтов
- Прокси, ВПН, анонимайзеры, IP
- Платное обучение, вебинары
- Регистрация в каталогах
- Копирайтинг, переводы
- Дизайн
- Usability: консультации и аудит
- Изготовление сайтов
- Наполнение сайтов
- Прочие услуги
- Не про работу
В 2023 году 36,9% всех DDoS-атак пришлось на сферу финансов
А 24,9% – на сегмент электронной коммерции
Оксана Мамчуева
Авторизуйтесь или зарегистрируйтесь, чтобы оставить комментарий
Всем привет. Я в основном читатель на этом форуме, но теперь и хочется написать и получить помощь.
И так есть сервер, на котором 5 сайтов.
18 числа его начали бомбить. Хостер заблокировал сервер и отключил его.
Подключил все домены через сервис cloudflare и поудалял все MX записи и A Mail, чтобы не смогли узнать ИП адрес сервера. Сменили ип адрес у сервера.
Ддосер начал поливать уже на домен, но позже успокоился. В 5 утра он каким то образом узнал новый ИП сервера и начал поливать на ИП и попутно на домен.
Немного логов
Direction IN
Internal ХХ.ХХ.ХХ.ХХ
Threshold Packets 120.000 packets/s
Sum 42.294.000 packets/300s (140.980 packets/s), 42.264 flows/300s (140 flows/s), 1,578 GByte/300s (43 MBit/s)
External 172.68.11.151, 5.000 packets/300s (16 packets/s), 1 flows/300s (0 flows/s), 0,000 GByte/300s (0 MBit/s)
External 172.68.35.43, 5.000 packets/300s (16 packets/s), 5 flows/300s (0 flows/s), 0,000 GByte/300s (0 MBit/s)
External 172.68.34.160, 2.000 packets/300s (6 packets/s), 2 flows/300s (0 flows/s), 0,000 GByte/300s (0 MBit/s)
External 172.68.11.156, 2.000 packets/300s (6 packets/s), 2 flows/300s (0 flows/s), 0,000 GByte/300s (0 MBit/s)
External 141.101.81.11, 2.000 packets/300s (6 packets/s), 1 flows/300s (0 flows/s), 0,000 GByte/300s (0 MBit/s)
External 141.101.81.6, 2.000 packets/300s (6 packets/s), 1 flows/300s (0 flows/s), 0,000 GByte/300s (0 MBit/s)
External 162.158.38.199, 2.000 packets/300s (6 packets/s), 2 flows/300s (0 flows/s), 0,000 GByte/300s (0 MBit/s)
External 141.101.80.160, 2.000 packets/300s (6 packets/s), 1 flows/300s (0 flows/s), 0,000 GByte/300s (0 MBit/s)
External 39.245.135.36, 2.000 packets/300s (6 packets/s), 1 flows/300s (0 flows/s), 0,000 GByte/300s (0 MBit/s)
External 116.235.145.157, 2.000 packets/300s (6 packets/s), 1 flows/300s (0 flows/s), 0,000 GByte/300s (0 MBit/s)
External 177.149.197.128, 2.000 packets/300s (6 packets/s), 1 flows/300s (0 flows/s), 0,000 GByte/300s (0 MBit/s)
External 119.15.139.176, 2.000 packets/300s (6 packets/s), 1 flows/300s (0 flows/s), 0,000 GByte/300s (0 MBit/s)
External 15.194.238.245, 2.000 packets/300s (6 packets/s), 1 flows/300s (0 flows/s), 0,000 GByte/300s (0 MBit/s)
External 88.217.187.201, 2.000 packets/300s (6 packets/s), 1 flows/300s (0 flows/s), 0,000 GByte/300s (0 MBit/s)
External 38.127.230.106, 2.000 packets/300s (6 packets/s), 1 flows/300s (0 flows/s), 0,000 GByte/300s (0 MBit/s)
External 193.38.17.143, 2.000 packets/300s (6 packets/s), 1 flows/300s (0 flows/s), 0,000 GByte/300s (0 MBit/s)
External 141.101.80.55, 2.000 packets/300s (6 packets/s), 2 flows/300s (0 flows/s), 0,000 GByte/300s (0 MBit/s)
External 104.160.162.14, 2.000 packets/300s (6 packets/s), 1 flows/300s (0 flows/s), 0,000 GByte/300s (0 MBit/s)
External 172.6.70.64, 2.000 packets/300s (6 packets/s), 1 flows/300s (0 flows/s), 0,000 GByte/300s (0 MBit/s)
External 146.139.75.163, 2.000 packets/300s (6 packets/s), 1 flows/300s (0 flows/s), 0,000 GByte/300s (0 MBit/s)
External 60.42.146.209, 2.000 packets/300s (6 packets/s), 1 flows/300s (0 flows/s), 0,000
Вопросов несколько. Буду признателен за помощь и ответы.
1. Как он мог узнать новый ИП адрес если он скрыт сервисом? Возможно есть какие то способы еще, и надо подзакрыть эти "дыры".
2. Мощная ли это ддос атака? У меня достаточно мощный Дедик, но хостер его отключает из-за боязни что умрет железо.
3. Сейчас хочу разделить так: 4 сайта оставить на одном сервере и сменить снова ИП и 1 пациент которого хотят прибить, перенести на другой сервер. Но этот пациент тоже важен, вопрос как его защитить?
В данный момент подключил этому домену платный тариф в cloudflare, но тщетно, т.к. известен ип сервера и долбят по нему.
http://s018.radikal.ru/i520/1607/00/7aeac20e42da.jpg
http://s019.radikal.ru/i608/1607/e9/a57042f6281d.jpg
На этом сайте есть форма регистрации или прочее что отправляет пользователю почтовое сообщение?
Если есть то из тела письма можно узнать реальный IP адрес сервера
На этом сайте есть форма регистрации или прочее что отправляет пользователю почтовое сообщение?
Если есть то из тела письма можно узнать реальный IP адрес сервера
На сайт который покушается расположен форум. Там есть естественно регистрация.
Отсылка емаил идет через функцию PHP mail, а сам почтовый ящик рассылки уведомлений идет с ххх@yandex.ru.
То есть емаил ххх@домен.ру не используется.
Не знаю отсылает ли php mail в заголовке ИП сервера или нет?
Не знаю отсылает ли php mail в заголовке ИП сервера или нет?
Отсылает. У себя сейчас проверил
Отсылает. У себя сейчас проверил
Единственное сейчас домен через сервис cloudflare работает и тот использует свой ип адрес, а не сервера. Интересно отдает левый ип или ип сервера....
И как тогда сделать если отдается реальный ИП сервера, чтобы почтовые уведомления были без реального ИП адреса?
Единственное сейчас домен через сервис cloudflare работает и тот использует свой ип адрес, а не сервера. Интересно отдает левый ип или ип сервера....
И как тогда сделать если отдается реальный ИП сервера, чтобы почтовые уведомления были без реального ИП адреса?
Вы можете сами проверить, простеньким php скриптом по отправке сообщений.
на атаку даже не похоже
покупка платного тарифа равносильна выбросу денег в мусорное ведро
Cloudflare на бесплатном тарифе не защищает от ДДОСа. Как только трафик превышает определенный порог, он от греха подальше отдает ваш реальный айпи...
pcmist, Для сообщений от форума используйте внешний смтп сервер:)
Подключите проксирование и делов. Стоит порядка 3к в месяц, подключается 20 минут и практически все конторы дают сутки теста.
А лучше вообще перейти на облачный хостинг. Меня от не сильно мощного ддоса вполне защищало.