Защищаемся от http-DDoS на пользовательском уровне

123
Rimmus
На сайте с 25.02.2011
Offline
29
#11

и вообще можно ли быть уверенным что это не какой либо шел а действительно малая система антиДДоса??Код скрыт зендом а в интернете щас много лохотрона, и даже этот похож так как ни одзывов, сайт просто страничка с описанием

Стабильный, и качественный хостинг это HosT-IP.Ru (http://host-ip.ru) домены (http://host-ip.ru/billing/zones.php)от 125рублей, хостинг (http://host-ip.ru/tarifs.php) от 15руб, ежедневная тех.поддержка, стабильные сервера Intel(c), качественные VDS/VPS.
[Удален]
#12

Мое мнение, что хороший хостинг у любого даже самого мелкого хостера на сервере обязана, нет по крайней мере должна быть хоть какая та защита на уровне фаервола, ну а на счет защит с рекапчей, все сводится к мощностям сервера ну и если рекапчу будут долбить то и key могут забанить

Boris A Dolgov
На сайте с 04.07.2007
Offline
215
#13
Andreyka:
Плохая идея для плохих хостингов
На каждую страницу генерить капчу - оверхед
Вот если бы написать такой модуль для nginx, чтоб работал с рекапчей, например - тогда да, это бы реально помогло

В рассылке проскакивало некоторое капчерешение на perl, правда не с рекаптчей: http://forum.nginx.org/read.php?21,95997,98028#msg-98028

С уважением, Борис Долгов. Администрирование, дешевые лицензии ISPsystem, Parallels, cPanel, DirectAdmin, скины, SSL - ISPlicense.ru (http://www.isplicense.ru/?from=4926)
V2
На сайте с 26.03.2010
Offline
41
VH2
#14

На железках Citrix NetScaler схожая технология используется. А блокировать через .htaccess последнее дело конечно :o

http://www.xenappcloud.nl/index.php/201010147121/Citrix/Netscaler/dos-and-ddos-protection.html

When the Citrix NetScaler System detects an attack, it responds to 0% to 100% of incoming requests based on the value of the Client Detect Rate parameter with a Java or HTML script containing a simple refresh and cookie. Real clients can parse the request and return the request with the cookie. Spurious clients drop the response, and are therefore dropped by the system. When a POST request is received, it is first checked for a valid cookie. If the request has a valid cookie, the request goes through, but, if the request does not have a valid cookie, the system sends a Javascript to the client asking it to resend the information with a new cookie. If the client sends a new cookie, this cookie becomes invalid after four minutes, and every response to the client is sent with the new cookie.

10 лет в хостинге. Опыт не купишь. ValueHost in Russia (http://www.valuehost.ru) ValueHost in USA (http://www.valuehost.com) ValueHost Affiliate Program (http://www.hostix.ru)
D
На сайте с 27.11.2006
Offline
83
#15
Himiko:

Вы уверены, что ваш скрипт не создаст при атаке достаточной нагрузки, чтобы хостер тоже бы отключил аккаунт?

Общий алгоритм такой:

IP блокирован ?

ДА - отрабатывает apache только ошибка

НЕТ - отрабатывает счётчик по ip и генерация сверх малой капчи без сесий

На простой VPS скрипт отрабатывает не более чем за 2-3 миллисекунды

(WordPress например на тойже VPS 0.4 секунды - в 200 раз "тяжелее")

В любом случае снижается число процессов, расход памяти, время обработки cpu

какая либо система лимитирования на стороне хостера увидит понижение нагрузки.

Вопрос хватит ли этого понижения ? всё зависит от того сколько IP атакует и какая система учёта нагрузки у хостинга.

Rimmus

Я описал общий принцип в первом посте, его в полне реально написать самому, но не все это умеют.

Отзывы всгда носят субъективный характер, так как разным людям нужны разные решения под их задачу.

Продавать по Вашему мнению "бекдор" в магазине softkey (с заключением договоров), мне кажется безрасудным.

VVereVVolf

Она есть Ваш сайт блокируется с надписью зайдите позже, не думаю, что Вам это нужно

Boris A Dolgov, VH2

Спасибо за пример, это показывает, что технология рабочая и может быть полезной.

Himiko
На сайте с 28.08.2008
Offline
560
#16
DPanel:
Общий алгоритм такой:
IP блокирован ?
ДА - отрабатывает apache только ошибка
НЕТ - отрабатывает счётчик по ip и генерация сверх малой капчи без сесий
На простой VPS скрипт отрабатывает не более чем за 2-3 миллисекунды
(WordPress например на тойже VPS 0.4 секунды - в 200 раз "тяжелее")

В любом случае снижается число процессов, расход памяти, время обработки cpu
какая либо система лимитирования на стороне хостера увидит понижение нагрузки.

Вопрос хватит ли этого понижения ? всё зависит от того сколько IP атакует и какая система учёта нагрузки у хостинга.

Вам верно сказали, что на хостинге должна быть своя эффективная система решения таких вопросов. А если атака мощная и у человека сервер, то ваш скрипт уже не поможет. (хотя нам на хостинге приходилось защищать клиента примерно при 60к атакующих ip-адресов)

Только ошибка Apache при интенсивной атаке даже с одного ip-адреса может создать проблемы. Я уже привёл пример, что даже строка deny from all в .htaccess не поможет.

Профессиональное администрирование серверов (https://systemintegra.ru). Круглосуточно. Отзывы (/ru/forum/834230) Лицензии (http://clck.ru/Qhf5) ISPManager,VDSManager,Billmanager e.t.c. по низким ценам.
Andreyka
На сайте с 19.02.2005
Offline
822
#17
Boris A Dolgov:
В рассылке проскакивало некоторое капчерешение на perl, правда не с рекаптчей: http://forum.nginx.org/read.php?21,95997,98028#msg-98028

Замена быдлопехапе на быдлоперл проблему оверхеда не решает. Решение должно быть сяноше, как модуль nginx. Да и над самой капчей стоит подумать, чтоб была умной и шустрой, типа "выбери лишнюю картинку из этих пяти".

Не стоит плодить сущности без необходимости
D
На сайте с 27.11.2006
Offline
83
#18
Himiko:
Вам верно сказали, что на хостинге должна быть своя эффективная система решения таких вопросов.

На больших хостингах в основном только система лимитирования аккаунтов. С этим сталкивается очень много пользователей, и у них нет своего сервера (если бы был можно многое придумать).

Лимиты на один IP в основном присутствуют у всех в виде: "не более 50 коннектов на 1 IP"

Pavel.Odintsov
На сайте с 13.05.2009
Offline
169
#19

Есть промышленные решения по защите от DDoS, которые в случае не уверенности, нормальный ли это клиент или бот выдают ему каптчу, так что решение вполне себе допустимое. Но, учтите, что специализированное решение по генерации/проверке каптчи на большой отказостойчивой ферме серверов - это одно, а какой-то не понятный скрипт в не рассчитанном на нагрузку окружении - совершенно другое и вряд ли будет работать хорошо.

Решение по обнаружению DDoS атак для хостинг компаний, дата центров и операторов связи: FastNetMon (https://fastnetmon.com)
zexis
На сайте с 09.08.2005
Offline
388
#20

Когда ботов не много, то каждый из них обычно атакуют с большой интенсивностью.

И их легко обнаружить анализом файла access.log, нахождением самых активных IP.

Или посмотреть в netstat и найти тех кто сделал много коннектов.

Если же ботов много, то они теоретически могут хорошо маскироваться под пользователей и отличить их от пользователя теоретически может только капча.

Но на практике таких умных ботов бывает очень мало. Что бы без капчи от пользователя их было не отличить. Я по крайней мере таких ботов не видел, а видел атак я около сотни.

Даже если ботов десятки тысяч, то обычно они тупо бьют в несколько страниц или в лучшем случае добавляют случайное число в конце URL.

Так что на данном этапе ддос атак особого смысла в капче нет, так как и без нее боты обнаруживаются по превышению ими лимитов на количество кликов.

123

Авторизуйтесь или зарегистрируйтесь, чтобы оставить комментарий