- Поисковые системы
- Практика оптимизации
- Трафик для сайтов
- Монетизация сайтов
- Сайтостроение
- Социальный Маркетинг
- Общение профессионалов
- Биржа и продажа
- Финансовые объявления
- Работа на постоянной основе
- Сайты - покупка, продажа
- Соцсети: страницы, группы, приложения
- Сайты без доменов
- Трафик, тизерная и баннерная реклама
- Продажа, оценка, регистрация доменов
- Ссылки - обмен, покупка, продажа
- Программы и скрипты
- Размещение статей
- Инфопродукты
- Прочие цифровые товары
- Работа и услуги для вебмастера
- Оптимизация, продвижение и аудит
- Ведение рекламных кампаний
- Услуги в области SMM
- Программирование
- Администрирование серверов и сайтов
- Прокси, ВПН, анонимайзеры, IP
- Платное обучение, вебинары
- Регистрация в каталогах
- Копирайтинг, переводы
- Дизайн
- Usability: консультации и аудит
- Изготовление сайтов
- Наполнение сайтов
- Прочие услуги
- Не про работу
Что делать, если ваша email-рассылка попала в спам
10 распространенных причин и решений
Екатерина Ткаченко
Пока боты могут распознать лишь некоторые типы капч.
К тому же хакер должен предварительно в ручную настроить алгоритм распознавания.
Есть капчи, которые боту распознать не возможно (даже с ручной настройкой алгоритма распознавания) и они нормально читаются человеком.
Совсем не обязательно динамически, в момент клика создавать уникальную капчу для каждого посетителя.
Можно раз в сутки, ночью запускать скрипт, который генерит 1000 капчей на день.
Каждому пользователю новая капча не создается, а выдается случайная из 1000 уже созданных.
server.it, Даже если php напрягся, уже плохо, вы потратите кучу денег на кластер железок под капчи, которые боты на ура будут проходить и давить ваше конечное приложение :)))))))))))
Пока боты могут распознать лишь некоторые типы капч.
К тому же хакер должен предварительно в ручную настроить алгоритм распознавания.
Есть капчи, которые боту распознать не возможно (даже с ручной настройкой алгоритма распознавания) и они нормально читаются человеком.
Совсем не обязательно создавать уникальную капчу для каждого посетителя.
У меня один раз в сутки, ночью запускается скрипт, который генерит 1000 капчей на день.
Каждому пользователю новая капча не создается, а выдается случайная из 1000 уже созданных.
У сервера есть определённый уровень производительности, исчерпать который возможно количеством подключений.
Если за дело взялись профи - они нагнут, если школьники, то как раз мы говорим о том, как от них отбиваться без каких-либо последствий для самого хоста.
Я считаю, что порог школьники/профи нужно брать где-то в 50 мегабит давления при более 10К ip.
Ваши предложения по порогу?
server.it добавил 26.04.2010 в 12:01
Кстати, вот только что - сайт по ддосом.
Лоад аверейдж 60.85! Два камня по 3 оборотов почти из последних.
Сильно! :)
server.it добавил 26.04.2010 в 12:04
Первые же минуты предпринимаемых мер - нагрузка падает до 30. 4000 ip за бортом.
Прямо онлайн борьба!
У сервера есть определённый уровень производительности, исчерпать который возможно количеством подключений.
Если за дело взялись профи - они нагнут, если школьники, то как раз мы говорим о том, как от них отбиваться без каких-либо последствий для самого хоста.
Я считаю, что порог школьники/профи нужно брать где-то в 50 мегабит давления при более 10К ip.
Ваши предложения по порогу?
server.it добавил 26.04.2010 в 12:01
Кстати, вот только что - сайт по ддосом.
Лоад аверейдж 60.85! Два камня по 3 оборотов почти из последних.
Сильно! :)
server.it добавил 26.04.2010 в 12:04
Первые же минуты предпринимаемых мер - нагрузка падает до 30. 4000 ip за бортом.
Прямо онлайн борьба!
1. Если входящий трафик ддос атаки + трафик сайта меньше канала сервера, то победить его можно вполне успешно защитой, установленной на самом сервере.
2. Если больше, то нужно искать более дорогие способы защиты.
Предполагаю, что от атак которые на хакерских форумах рекламируют по цене 30$-60$ в сутки можно защитится защитой установленной на сервер.
Важно, что бы заказчик ддоса не мог заблокировать сайт дешевым ддосом, тогда ему будет дорого продолжать атаку долго.
Я сейчас подобрал параметры защиты, так что http флуд, если он меньше чем с 5 000 IP, банится в автоматическом режиме без видимых торможений сайта.
Когда атак нет , пользователи не блокируются, если конечно они не начинают скачивать сайт быстрыми download программами.
Так как защита сервера включается, только тогда когда нагрузка на сервер превысит некоторый порог.
Во время пика атаки небольшой процент пользователей может заблокироваться, но пик атаки быстро прекращается, так как ip ботов обнаруживаются и банятся примерно за 1-5 минут.
Очень полезен метод, когда чувствительность алгоритмов зависит от загруженности сервера.
При обычной нагрузке на сервер – никого не баним, даже тех кто кликает много.
При повышении нагрузки на сервер, чувствительность алгоритмов постепенно повышается.
Если же нагрузка превысила порог – баним всех кто зашел в эту минуту по http.
1. Если входящий трафик ддос атаки + трафик сайта меньше канала сервера, то победить его можно вполне успешно защитой, установленной на самом сервере.
2. Если больше, то нужно искать более дорогие способы защиты.
Предполагаю, что от атак которые на хакерских форумах рекламируют по цене 30$-60$ в сутки можно защитится защитой установленной на сервер.
Важно, что бы заказчик ддоса не мог заблокировать сайт дешевым ддосом, тогда ему будет дорого продолжать атаку долго.
Я сейчас подобрал параметры защиты, так что http флуд, если он меньше чем с 5 000 IP, банится в автоматическом режиме без видимых торможений сайта.
При этом пользователи не блокируются, если конечно они не начинают скачивать сайт быстрыми download программами.
Так как защита сервера включается, только тогда когда нагрузка на сервер превысит некоторый порог.
Вы подобрали некоторое ПО для сервера, которое режет все запросы без капчей и т.п.?
Если такое ПО есть и оно правильно функционирует, то это очень простой выход из ситуации.
server.it, 50к поднимут волну по 4 подключения с носа это 200к подключений + сайт посещаемый по 200к уников в сутки и хана 4х процессорному серверу с 16 гигами ram и sas дисками. Сам видел :) А с 1 гигабитом и более тут самим даже бесполезно что-то пробывать ничего не выйдет.
Вы подобрали некоторое ПО для сервера, которое режет все запросы без капчей и т.п.?
Если такое ПО есть и оно правильно функционирует, то это очень простой выход из ситуации.
Использую следующее.
1. nginx с установкой лимитов на количество коннектов и лимиты на количество запросов на каждый тип файлов.
2. настройка параметров TCP/IP сервера. Например, не держать открытый сокет 2 часа, если от противоположной стороны нет ответа. И другие подобные настройки.
3. Анализ логов вебсервера для поиска в них HTTP флуда, по довольно эффективным алгоритмам.
4. Анализ коннектов к серверу (netstat) для поиска IP ботов.
5. Бан найденных Ip через iptables на некоторое время.
6. Для анализа логов и netstat использую свою программу написанную на С
Капчи использую только для регистрации новых пользователей и создания сообщений на форуме.
zexis добавил 26.04.2010 в 13:04
server.it, 50к поднимут волну по 4 подключения с носа это 200к подключений + сайт посещаемый по 200к уников в сутки и хана 4х процессорному серверу с 16 гигами ram и sas дисками. Сам видел :) А с 1 гигабитом и более тут самим даже бесполезно что-то пробывать ничего не выйдет.
Согласен с вами от атаки, которая создает входящий трафик, более 100 Мбит, самому не защитится. Но я с такими атаками к счастью не сталкивался.
ставьте капчу, только умную, активируйте за каждого пятого посетителя к примеру. можно сделать джаваскриптом с затемнением фона за окном с капчей
для пользователей можно сделать капчу с 1 символом или просто кнопки - для продолжения нажмите кнопку 3, как в тотале =)
Проще сразу сделать регистрацию по инвайтам, для незарегистрированных - 1 html страничка со словом "GTFO".
Фашизм.
server.it, 50к поднимут волну по 4 подключения с носа это 200к подключений + сайт посещаемый по 200к уников в сутки и хана 4х процессорному серверу с 16 гигами ram и sas дисками. Сам видел :) А с 1 гигабитом и более тут самим даже бесполезно что-то пробывать ничего не выйдет.
Я не спорю, 50К нагнут сервер. Я говорю, что 50к ботсеть не поднимет волну в 1Гиг.
Хотя если в теорию: наращиваем память по куда можно (у меня можно в мать 64 ткнуть), далее очередь делаем офигенно бесконечную. 50 к начинают валить по 4 коннекта с носа. Получаем список всех, кто хочет больше 3-х коннектов и шлём их лесом. В теории можно выстоять. Ну конечно и процы должны быть не селерон 1.7 :)
Устойчивость системы это дело тонкое. У кого-то система падает при la 50. Сегодня я пример приводил кстати. Там лоад аверейдж был 60 (в пике 74 ); нагрузка упала до 3 в течении 7 минут. Далее всё адекватно. Сейчас не более 3, за последний час максимум 5. При атаке это не плохо, я считаю.
server.it добавил 26.04.2010 в 17:44
Использую следующее.
1. nginx с установкой лимитов на количество коннектов и лимиты на количество запросов на каждый тип файлов.
На коннекты согласен, а вот по типам файлов....У меня лично никто ничего толще страницы не качает. Ну может графику какую жирновастую. Поэтмоу я не морочился никогда как защитить файловый архив.
2. настройка параметров TCP/IP сервера. Например, не держать открытый сокет 2 часа, если от противоположной стороны нет ответа. И другие подобные настройки.
Это должно быть сделано ещё при установке системы. Плюсом мускул отрегулирован. Плюсом ещё кое-что, что проц и ио грузит. Но это больше оптимизация на максимальное быстродействие. Так должно быть у каждого.
3. Анализ логов вебсервера для поиска в них HTTP флуда, по довольно эффективным алгоритмам.
Это для меня новое.
4. Анализ коннектов к серверу (netstat) для поиска IP ботов.
5. Бан найденных Ip через iptables на некоторое время.
6. Для анализа логов и netstat использую свою программу написанную на С
Такой подход известен и очень эффективен. Я использую аналогичные механизмы для остановки уже имеющегося потока коннектов. Код нужно только поправить, чтобы исключать айпи ботов. Айпи ботов проверяются отдельным потоком. У Вас же в файло адреса складируются, верно? - значит из файла и убирайте тех, что проверены соседним потоком. Эта система очень эффективна. Если сможете написать сервис, который будет выполнять сей алгоритм быстрее, чем раз в минуту (а скорость выполнения нам нужна при сильных атаках), то уверяю, Ваш сервак выстоит и проитв 50К ботов, при условии, что памяти не гиг, и проц живенький. Тут главное не допустить нереальное множество соединений. Поэтому очереди так же нужно правильно организовать.
Капчи использую только для регистрации новых пользователей и создания сообщений на форуме.
Ну это естественная защита от флуда. Но от ддос это не защита - ведь страницу то Вы дали загрузить.
Согласен с вами от атаки, которая создает входящий трафик, более 100 Мбит, самому не защитится. Но я с такими атаками к счастью не сталкивался.
Для Вашего сервера это достаточно мощьная система защиты. Будите думать об укреплении, когда серверов будет не один. Тогда и железяки полезные прикупите.
Я видел Ваш топ с udp флудом, нажигающим траф. Тут не поможет ни один антиддос сервис. Посмотрите в сети хорошенько, есть решение и от него. Оно по аналогичной схеме делается.
server.it, Антиддос сервис хорош тем что он отсылает только чистый трафик, удобно например если сервер у вас в ДЦ где есть траф лимит например, а полосы стоят дорого.
server.it, Антиддос сервис хорош тем что он отсылает только чистый трафик, удобно например если сервер у вас в ДЦ где есть траф лимит например, а полосы стоят дорого.
Я это понимаю. Долго Вы сможете принимать флуд по 4-5 ТБ в сутки? Хорошо, если долго. Некоторые просто отказываются - нафиг им это не нужно.
server.it добавил 26.04.2010 в 17:57
Причём этот тот траф, с которым я боролся. А ведь есть и куда большие показатели.