Как фильтруют ддос ботов, полностью имитирующих работу браузера.

Вот всё на этом и кончается, если вы скажите дату, я потребую от вас графики, а у вас их не будет уважаемый kxk и поэтому все ваши слова это полная чушь, извените за вырожение. 12 гиг доса хе-х =)

madoff, Выучи Русский. школяр :) Я не обязан вести графики и делиться с школьниками, своим опытом чтоб последние потом отбирали клиентов демпингом. Вообще мы отклонились от темы топика.

kxk добавил 27.04.2010 в 13:12

madoff, Хех будет когда к тебе обратятся клиенты серьёзные и ты их сольёшь к Стаминусам например :) А там их будут тупо разводить :)

Каким опытом ?, "график нагрузки на каналы показать за дату доса" не сешите меня, если нету графиков значит нету канала у вас, и естественно не было атак, а следовательно вы просто ****, вы поняли о чём я речь веду :)

А почему ви таки считаете, что вам здесь кто-то что-то должен?

За слова надо отвечать, мы же взрослые люди не так-ли.

Вот он(kxk) написал и должен подтвердить правдою, а если это не правда тогда вывод он просто...ну мы все знаем слова эти :)

ГМ, отклоняемся от темы.

Из того, что прочитал по теме, я не согласен с тем, что снифлуд это ерунда. Вовсе нет. Я бы даже сказал далеко не ерунда. Ведь несколько тарабайт в сутки трафа это очч неприятно.

По поводу постройки защиты от волны на 12 гиг: впринципе реально. К нашему ЦОДу подходит шланг в 60 гигабит. Таких ЦОДов немеряно. Почему бы не построить? Другой вопрос: насколько мощьные бывают атаки.

Я много с кем общался на эту тему, не из школьников, скажем так. Самые серъёзные ддос из ныне известных это чуть более 400 мегабит.

Больше сеть пока собрать не получается, и тому много причин (методологию постройки сети, принципы действия, основные участки формирования мы не разбираем, т.к. все кто активно отвечает в этой ветке эту тему знают, насколько можно понять). А если брать с одного или несколькиха айпи, так нехотя можно поднять волну более гигабита (да и много больше). Я даже без особой подготовки это сделаю. Вопрос: будет ли это атака? Ответ: нет. Да и к тому же последствия ждать не заставят.

По поводу отфильтровать гигабитный канал одним сервером, не имеющим иных задач. Одним наверное не получится. Обычный трафик - это обычный трафик. А трафик ддос - это обычный трафик, который нужно правильно анализировать и фильтровать. Так вот если прокачать одним сервером и получится, то анализировать гигабитный ддос будет сложновато. Ну можно конечно предполагать, что это будет очч мощьный сервер, и на нём будет уйма памяти. Однако без практики - это просто слова и не более.

Коль понесло влево от темы добавлю по поводу 20 килоевро за фильтрацию 300ТБ в месяц. Цена вобщем-то реальная, если с учётом скидки. Я не просто так это говорю, а реально рассчитав нагрузку и объём работ.

Опять таки, это цена за качественную защиту, т.е. будут отсекаться и попутные ДДОСы. А так как у нас считается, что антиддос это прикрыть зад сервера циской, а если упадёт, то мол третья сила, форсмажер и не виноваты.

За 20 килоевро должно быть без обломов. Полная фильтрация негативного трафа. Тогда цена адекватная (с учётом скидки). Только лучше бы не на полгода, а месяца на 3, т.к. за это время источник проблемы можно нейтрализовать.

Однако, что касательно лично меня, то мне проще не платить такие деньги, а вычислить источник (благо это всегда получалось до сего момента) и уложить его сервера/ДЦ или даже небольшой ЦОД, т.к. за 20/12 килоевро в месяц у меня будет множество помошников.

Но это всё фантазии не по теме. У ТС есть сервер. Конкуренты, менее сообразительные, менее трудолюбивые, решили испортить жизнь честному вебмастеру. Проявив сообразительность и смекалку, ТС обзовёлся практически самой эффективной и бесплатной защитой от ддос, которой пользуется по сей день.

Остаётся разобрать вопрос по флуду и анализу логов апача, т.к. я лично я не понял, зачем это нужно (если Вы знаете, сообщите, т.к. я реально не понимаю зачем лазать в лог апача).

Ну а юдипи и синфлуд мы будем обсуждать уже другой ветке, когда закончим сие.

Это очень просто.

Если вы посмотрите на лог access.log вебсервера во время http флуда, то чаще всего там увидите множество однотипных запросов.

Например

GET / HTTP/1.1

GET / HTTP/1.1

GET / HTTP/1.1

GET / HTTP/1.1

Это запросы от ддос ботов. Их может быть десятки, сотни и тысячи в секунду.

Более интеллектуальные боты атакуют не только стартовую страницу, но и обращаются к другим страницам сайта, имитирую работу пользователя. Что бы их было сложнее обнаружить.

Задача анализа логфайла – обнаружить IP ботов и занести в фаервол, что бы сервер больше на них не отвечал.

zexis добавил 27.04.2010 в 17:30

То есть вы признаетесь в том, что сами заказываете ддос?

Спонсируете хакеров для развития их ботнетов.

А если вы ошибетесь в поиске заказчика, то начнете ддосить невинные сайты.

Сегодня хакер ддосит вашего конкурента, завтра хакеру заплатит кто то другой. Он будет ддосить ваши сайты.

http://www.fail2ban.org/wiki/index.php/Main_Page

Я не специалист как ТС чтобы писать свою программу, но насколько понимаю fail2ban это пример программы, которая может анализировать любые логи. Можно защищать от ддоса dns сервер, защищать сервер от излишней активности на сайте, несмотря на то, что основное назначение программы защита от перебора паролей, то есть инструмент готовый почти, остается только сочинить регулярные выражения, которые будут на что-то реагировать в конкретных логах и добавлять ip неугодные куда следует.

Дело в том, что у меня за этим следит процесс, который практически не даёт нагрузки на проц. Это тема из области капчи. Т.е. капчу можно не кидать (можно кидать капчу, а можно кидать ip). А вот в случае анализа логов по крону, я не уверен, что это будет так же "безболезненно" для сайтов, с большой посещаемостью.

Проверю, изучу, сообщу.

Я честный человек. Всё, что имею, добился сам, своим трудом.

Но есть некоторые товарищи, которые хотят быстрых денег, и не любят ждать. Вот они и начинают ддос устраивать и флуд.

Даллее, я сказал, что будут помошники. Я не сказал, что буду заказывать ддос.

Я пока сам в состоянии атаковать.

И для этого мне не нужны ботсети, которые рвуться то тут то там антивирями.

И если я и атаковал, то только сервера, атакующие меня, для того, чтобы устранить источник бедтрафа, а не сайты, мнимых заказчиков.

Проблема в том, что атакующие сервера иной раз стоят в стойках провов, которые просто отморозки последние. При попытке договориться прекратить траф, пров отворачивает нос (если вообще отвечает) - мол разбирайтесь сами. Ладно. Сами так сами.

А что остаётся делать? Научите, если знаете как быстро вычислить ЦОД, арендатора сервера/владельца, и что им сказать, чтобы они немедля прекратили хулиганить. Поверьте - это крайние меры. И Вы бы на моём месте сделали то же самое.

Моя текущая задача - нейтрализация ддос и флуда для защиты синглсерверов. Для себя решаю. Не хочу на этом деньги зарабатывать - на то есть профи - допустим тот же кхк, который не рисует сайты и не пишет код за деньги.

Поэтому и искал/ищу людей, у кого есть проблема ддос, но нет денег её решить. Чем смогу - помогу. Ну вот с Вами обсуждаем/спорим. Примерно так истина и рождается.

server.it, Ддосите с шаредной сотки шаредную сотку ?