- Поисковые системы
- Практика оптимизации
- Трафик для сайтов
- Монетизация сайтов
- Сайтостроение
- Социальный Маркетинг
- Общение профессионалов
- Биржа и продажа
- Финансовые объявления
- Работа на постоянной основе
- Сайты - покупка, продажа
- Соцсети: страницы, группы, приложения
- Сайты без доменов
- Трафик, тизерная и баннерная реклама
- Продажа, оценка, регистрация доменов
- Ссылки - обмен, покупка, продажа
- Программы и скрипты
- Размещение статей
- Инфопродукты
- Прочие цифровые товары
- Работа и услуги для вебмастера
- Оптимизация, продвижение и аудит
- Ведение рекламных кампаний
- Услуги в области SMM
- Программирование
- Администрирование серверов и сайтов
- Прокси, ВПН, анонимайзеры, IP
- Платное обучение, вебинары
- Регистрация в каталогах
- Копирайтинг, переводы
- Дизайн
- Usability: консультации и аудит
- Изготовление сайтов
- Наполнение сайтов
- Прочие услуги
- Не про работу
Что делать, если ваша email-рассылка попала в спам
10 распространенных причин и решений
Екатерина Ткаченко
Мой вопрос в следующем.
Есть антиддос сервисы, которые декларируют защиту от любых ддос атак.
языком декламируют.
Как они обнаруживают ботов, которые ходят по сайту и полностью эмитируют работу браузера и пользователя?
каптчей. другое дело что сейчас участились атаки пробивающие любую каптчу. некоторые используют сигнатуры + поведенческий анализ, но на каком-то педальном уровне.
Есть ли еще методы?
строить для клиента мегакластер за много денег и держать весь этот трафик.
Ребят, вы только синфлуд и удп флуд не бейте в отмашку, ок? :)
А это вроде отдельная тема - гляньте, у ТС там своя ветка есть. Или тут будем обсуждать - ТС, что скажите?
Аналогия, абсолютно неуместна.
Атак не станет больше, если много людей будут разбираться в методах защиты от ДДОСа.
атак сейчас в разы больше, атаки разнообразнее, атаки в разы мощнее.
И да - хотелось бы таки вернуться к теме топика.
ГМ, судя по тому, как обсуждались письма провайдУре атакющего сервера, я думаю, можно рассматривать письма с жалобами, как одно из средств прекращения атаки, а следовательно, как одно из средств антиддос. Ну как чисто вспомогательное, когда по-иному возможностей нет.
Если давят каналами, то тут не поможет не какая защита. всё буде лежать, и мёртвая будет тишина, муха не прозузыть )
что бы грамотно задавить надо как минимум понимать в том как этот интернет работает. а так у них каналодавилка еще не выросла.
kostich добавил 29.04.2010 в 09:24
ГМ, судя по тому, как обсуждались письма провайдУре атакющего сервера, я думаю, можно рассматривать письма с жалобами, как одно из средств прекращения атаки, а следовательно, как одно из средств антиддос. Ну как чисто вспомогательное, когда по-иному возможностей нет.
Идёт атака со спуфленым синфлудом, ваши сервера посылают ack-и тем кто пакеты вообще не слал, а админы тех сетей и серверов брызжа слюной обвиняют вас в DDOS-е их сети и серверов... угрожают жалобами в силовые структуры... и т.д. и т.п... мне кажется необразованным в сетевом плане дибилам надо запретить писать жалобы.
Идёт атака со спуфленым синфлудом, ваши сервера посылают ack-и тем кто пакеты вообще не слал, а админы тех сетей и серверов брызжа слюной обвиняют вас в DDOS-е их сети и серверов...
Сервера под флудом обычно ничего не посылают, т.к. всё что нужно уже порезано (обычно так).
И я не понял как Вы увязали ддос и флуд? Почему за ддос должны обвинять терпящую сторону - подробнее можно?
Сервера под флудом обычно ничего не посылают, т.к. всё что нужно уже порезано (обычно так).
И я не понял как Вы увязали ддос и флуд? Почему за ддос должны обвинять терпящую сторону - подробнее можно?
Отвечать пакетом SYN,ACK на входящий SYN – это стандартный способ создания TCP/IP соединения. (называется трехэтапное рукопожатие)
Исходящий IP адрес в пакете SYN может быть подделан.
Поэтому сервер атакуемый SYN запросами с подделанными исходящими IP, рассылает ACK пакеты тем кто не причастен к атаке.
От переполнения очереди входящих SYN запросов спасает включение SYN- cookie
Но даже включенный SYN- cookie не спасет от того что пакет ACK отправится по подделанному IP.
Но даже включенный SYN- cookie не спасет от того что пакет ACK отправится по подделанному IP.
ack надо слать в любом случае и его отсылает любая защиа от син-флуда. причем бывает так, что эта защита срабатывает у транзитных оператов, а ты как дурак тупо получаешь абузы на тему того как твои сервера атакуют чью-то сеть.
Отвечать пакетом SYN,ACK на входящий SYN – это стандартный способ создания TCP/IP соединения. (называется трехэтапное рукопожатие)
Исходящий IP адрес в пакете SYN может быть подделан.
Поэтому сервер атакуемый SYN запросами с подделанными исходящими IP, рассылает ACK пакеты тем кто не причастен к атаке.
От переполнения очереди входящих SYN запросов спасает включение SYN- cookie
Но даже включенный SYN- cookie не спасет от того что пакет ACK отправится по подделанному IP.
Сорри, я немного не правильно поставил вопрос (лоад аверейдж мозга зашкаливает:)).
Первое: Под флудом я по обыкновению имею ввиду юдипи флуд.
Второе: бомбардировка син пакетами левых (непричастных) серверов далеко не одно и то же, что и ддос атака.
Насколько я могу судить, от синфлуда серьезно страдают только те админы, которые не удосужились настроить параметры стека тисипи айпи (такие как время хранения полуоткрытых соединений, время и количество перепередач и т.п.). По сути своей - школьники, как тут принято говорить - установили систему по бумажке, засунули панель - и вот он - новый хостер/вебмастер диконагруженного ресурса.
По теме: синфлуд - это не так губительно, как ддос. Ставить его в один ряд с ддос, т.е. рассматривать как атаку, сравнимую по сложности отражения с ддос-атакой я не буду.
мне кажется необразованным в сетевом плане дибилам надо запретить писать жалобы.
А на Вашей практике много было случаев, когда "образованный в сетевом плане" индивид написал жалобу, и та подействовала?
По-моему, любая жалоба - горох об стену. Тем более, если сервак забугорный. Пока ждёшь ответа, ресурс покинет самый тупой бот.
Кстати, вопрос к ТС: а на Вашем сервере днс стоит, или днс на сервере регистратора а на Ваш сервер А-запись? Я не помню, говорил я это или нет, но Ваш скрипт можно немного модернизировать (анализировать днс запросы, а не запросы к апачу), этот метод более эффективен.
А на Вашей практике много было случаев, когда "образованный в сетевом плане" индивид написал жалобу, и та подействовала?
По-моему, любая жалоба - горох об стену. Тем более, если сервак забугорный. Пока ждёшь ответа, ресурс покинет самый тупой бот.
На меня 3 недели шел UDP флуд с одного IP в Испании по 1 Гб в сутки.
Все не было свободного времени написать жалобу.
Наконец жалобу на английском по емейл написал.
Наследующий же день UDP флуд прекратился.
По теме: синфлуд - это не так губительно, как ддос. Ставить его в один ряд с ддос, т.е. рассматривать как атаку, сравнимую по сложности отражения с ддос-атакой я не буду.
Я так понимаю, что к ддосу относятся: SYN-флуд, UDP-флуд, ICMP-флуд и флуд прикладного уровня (например HTTP-флуд)
http://ru.wikipedia.org/wiki/DDoS
Я считаю, что можно защитится от ЛЮБОЙ ддос атаки, если ее входящий трафик + полезный трафик сайта меньше канала сервера.
1) От Syn-флуда включением SYN-cookie и настройкой параметров TCP/IP сервера.
2) От http-флуда занесением всех атакующих IP в фаервол. Или можно банить HTTP ботов сразу блокировкой сети /24 или /16 если атакующих IP слишком много.
3) От ICMP и UDP флуда защищаемся, тем что не отвечаем на эти запросы.
Так что в конечном итоге, на результат удастся победить атаку или нет, влияет лишь объем входящего трафика атаки (в Мбит/сек). А тип атаки UDP, SYN, ICMP или HTTP – влияют лишь на инструменты, которые используем для защиты.
Я не помню, говорил я это или нет, но Ваш скрипт можно немного модернизировать (анализировать днс запросы, а не запросы к апачу), этот метод более эффективен.
Мне понравилась ваша мысль анализировать запросы к ДНС серверу, для поиска ддос ботов.
Пока этого не делал.
Надо будет попробовать этот способ.
Но мне кажется он не защитит от всех ботов, а будет полезен лишь в некоторых случаях.
Так как бот может сделать один запрос к ДНС для получения IP, а потоп миллион запросов к http серверу на 80 порт.
Так что анализ HTTP запросов обязателен.