Защищаемся от http-DDoS на пользовательском уровне

и вообще можно ли быть уверенным что это не какой либо шел а действительно малая система антиДДоса??Код скрыт зендом а в интернете щас много лохотрона, и даже этот похож так как ни одзывов, сайт просто страничка с описанием

Мое мнение, что хороший хостинг у любого даже самого мелкого хостера на сервере обязана, нет по крайней мере должна быть хоть какая та защита на уровне фаервола, ну а на счет защит с рекапчей, все сводится к мощностям сервера ну и если рекапчу будут долбить то и key могут забанить

В рассылке проскакивало некоторое капчерешение на perl, правда не с рекаптчей: http://forum.nginx.org/read.php?21,95997,98028#msg-98028

На железках Citrix NetScaler схожая технология используется. А блокировать через .htaccess последнее дело конечно :o

http://www.xenappcloud.nl/index.php/201010147121/Citrix/Netscaler/dos-and-ddos-protection.html

When the Citrix NetScaler System detects an attack, it responds to 0% to 100% of incoming requests based on the value of the Client Detect Rate parameter with a Java or HTML script containing a simple refresh and cookie. Real clients can parse the request and return the request with the cookie. Spurious clients drop the response, and are therefore dropped by the system. When a POST request is received, it is first checked for a valid cookie. If the request has a valid cookie, the request goes through, but, if the request does not have a valid cookie, the system sends a Javascript to the client asking it to resend the information with a new cookie. If the client sends a new cookie, this cookie becomes invalid after four minutes, and every response to the client is sent with the new cookie.

Общий алгоритм такой:

IP блокирован ?

ДА - отрабатывает apache только ошибка

НЕТ - отрабатывает счётчик по ip и генерация сверх малой капчи без сесий

На простой VPS скрипт отрабатывает не более чем за 2-3 миллисекунды

(WordPress например на тойже VPS 0.4 секунды - в 200 раз "тяжелее")

В любом случае снижается число процессов, расход памяти, время обработки cpu

какая либо система лимитирования на стороне хостера увидит понижение нагрузки.

Вопрос хватит ли этого понижения ? всё зависит от того сколько IP атакует и какая система учёта нагрузки у хостинга.

Rimmus

Я описал общий принцип в первом посте, его в полне реально написать самому, но не все это умеют.

Отзывы всгда носят субъективный характер, так как разным людям нужны разные решения под их задачу.

Продавать по Вашему мнению "бекдор" в магазине softkey (с заключением договоров), мне кажется безрасудным.

VVereVVolf

Она есть Ваш сайт блокируется с надписью зайдите позже, не думаю, что Вам это нужно

Boris A Dolgov, VH2

Спасибо за пример, это показывает, что технология рабочая и может быть полезной.

Вам верно сказали, что на хостинге должна быть своя эффективная система решения таких вопросов. А если атака мощная и у человека сервер, то ваш скрипт уже не поможет. (хотя нам на хостинге приходилось защищать клиента примерно при 60к атакующих ip-адресов)

Только ошибка Apache при интенсивной атаке даже с одного ip-адреса может создать проблемы. Я уже привёл пример, что даже строка deny from all в .htaccess не поможет.

Замена быдлопехапе на быдлоперл проблему оверхеда не решает. Решение должно быть сяноше, как модуль nginx. Да и над самой капчей стоит подумать, чтоб была умной и шустрой, типа "выбери лишнюю картинку из этих пяти".

На больших хостингах в основном только система лимитирования аккаунтов. С этим сталкивается очень много пользователей, и у них нет своего сервера (если бы был можно многое придумать).

Лимиты на один IP в основном присутствуют у всех в виде: "не более 50 коннектов на 1 IP"

Есть промышленные решения по защите от DDoS, которые в случае не уверенности, нормальный ли это клиент или бот выдают ему каптчу, так что решение вполне себе допустимое. Но, учтите, что специализированное решение по генерации/проверке каптчи на большой отказостойчивой ферме серверов - это одно, а какой-то не понятный скрипт в не рассчитанном на нагрузку окружении - совершенно другое и вряд ли будет работать хорошо.

Когда ботов не много, то каждый из них обычно атакуют с большой интенсивностью.

И их легко обнаружить анализом файла access.log, нахождением самых активных IP.

Или посмотреть в netstat и найти тех кто сделал много коннектов.

Если же ботов много, то они теоретически могут хорошо маскироваться под пользователей и отличить их от пользователя теоретически может только капча.

Но на практике таких умных ботов бывает очень мало. Что бы без капчи от пользователя их было не отличить. Я по крайней мере таких ботов не видел, а видел атак я около сотни.

Даже если ботов десятки тысяч, то обычно они тупо бьют в несколько страниц или в лучшем случае добавляют случайное число в конце URL.

Так что на данном этапе ддос атак особого смысла в капче нет, так как и без нее боты обнаруживаются по превышению ими лимитов на количество кликов.