DDos атака на мой домен у хостера ukrhosting.com

Кто-то нехилый заработок себе придумал - ддосить сайты, а потом спасать их от бездарных хостингов. С какой радости, скажите, кто-то будет тратить немалые бабки на атаки средненьких сайтов? 🍿

Это касалось тех атак которые нацелены на IP или я что-то глобально не понимаю? атак на IP не существует?, не связно с текстом получилось.... мыслей много.

План Б (тоже не панацея :D :D :D):

Что мешает пополнять список IP адресов на ДНС серверах теми сетями которым вообще не стоит отвечать... ? ;) Так они и про домены ваши вообще могут ничего не узнать :D А при атаках половина машин выпадет в силу отсутствия резолва.... это конечно можно обойти путем локального резолва, но всегда ли с атакуемой машиной такой контакт, что резолвом управлять можно... Часть трафика снимет, уверяю.

Защита от атаки, это контр нападение, надо действовать стратегически (разными методами как минимум), а мне кажется что вы видите это в виде рубильника типа "DDOS ON/OFF". Заранее извинюсь за сказанное, ничего личного не имею, я тоже "в познаниях" могу где-то и ошибаться :D По этому приветствуется здравая критика и прочее, если со ссылками на документации так вообще шикарно.

С Уважением,

Romka_Kharkov добавил 06.07.2011 в 22:52

http://www.juniper.net/us/en/products-services/security/netscreen/ns5400/

На сколько я понимаю стоит до 10k$. Но надо же понимать, что ставить его на участке где 10 GB/s наверное смысла нет, хотя я честно говоря не знаю какие сейчас мощные атаки гуляют? Ну всмысле в среднем досы какие по мощности? реально ли 30 GB отловить?

Romka_Kharkov добавил 06.07.2011 в 22:54

Давайте немного расставим точки, я говорю это как хостер который терпит убыток в 100$ от клиента который платит 1$.. Ну давайте будем включать защиту на основе Juniper в хостинг, завтра ко всем своим тарифам 450$ докину ну так и быть железку куплю :D Будете клиентом хостинга который сегодня стоит 1$ а завтра 451$ + анти ддос? Вы поймите, тут ШАРЫ нет ;) потому что есть трафик и кто-то в него попадает, клиент своими "взносами" не покрывает эти расходы?! какие вы видите варианты решения? Другое дело если провайдер взял и заблекхолил ИП адрес, в данном случае трафик пропал вовсе, так как за пару секунд перестроилось BGP и все, во всех атакующих точках больше не известен маршрут к этому адресу... да у клиента перестал работать сайт.... стоимость размещения которого он оценил в 1$ (а не в 451$), но при этом я не попадаю как хостер в 100$ .... Так вот скажите мне как урегулировать такой резонанс, если вы найдете закономерный, обоюдовыгодный и минимально затратный вариант при такой ситуации (фактически расскажете где мне взять недостающие 99$) я обещаю вам, что публично применю его в нашем проекте :D

Сотрудники дата центра сказали брали всю систему 80 000$, с их слов ~.

Я не уверен на сколько реально 30 гб, но все зависит от мощности каналов.

Вы хотите сказать, что зафлудят DNS-сервера крупных контор, например, регтайма или буржуйского го-дадди? Чутьё подсказывает, что за ними круглосуточно следят, так как счёт клиентов на миллионы и затраты на анти-ддос себя оправдывают.

Не совсем так. Если атака носит эпизодический характер, то фильтрацию надо включать на короткое время (но оперативно). Это не рубильник On/Off, а переключатель SW1/SW2.

Ну знаю я на 100% ФИО и домашний адрес заказчика (проживает в РФ). И даже ориентировку на исполнителя (наш эмигрант, за рубежом). Дальше что?

Подать в суд.

Какие ваши доказательства? TCP-дамп с исходными IP, разбросанными по земному шару?

Я бы привязал кое-кого к стулу, воткнул паяльник кое-куда и записал признание на диктофон. Жаль, доказательства, добытые таким способом, суд не признает :(

Доказательства - дело экспертизы.

Нет, я хотел сказать ,что у себя на ДНС серверах можно запретить доступ разного рода сетям и у них не будет возможности резолвить через ваши ДНС ваши домены...

Сидит человек с вируснёй на нетбуке, подключен к инету через юсб-модем от сотового оператора, проверяет свою почту и, ничего не подозревая, посылает флуд на ваш сервер.

Вы предлагаете скопом забанить адреса билайна, мегафона, мтс, етк и т.д.? Они же ресолвят через DNS своего провайдера.

pav.brn добавил 07.07.2011 в 18:21

Если есть положительный опыт - отпишитесь, будет интересно всем.

У меня создается впечатление что вырывать слова из фраз это нормально, смотрите еще раз, есть распределенная атака из 2000 серверов (часть из которых как вы выразились похаканные динамические домовладельцы, часть из них это сервера, часть из них шелы поломанные, и прочее), так вот приводя свой пример, я говорил о том, что на ДНС серверах своих можно просто запретить отдачу зоны конкретным сетям, так же я писал что это не панацея! , а еще я писал, что это отрежет часть трафика. Я например четко уверен что китайские посетители мне на сайт не нужны, зачем мне вообще использовать ресурсы ДНС сервера даже для 1го запроса из китая? А в случае если на вас валит атака описанная выше и там 50 % - китай, то уже .... пусть 10% из этих 50ти..... не получат резольва от вас....

Простите, но или я вас не понял или вы не понимаете как работает ДНС, да резолвим мы все через своих провайдеров (ну.... могут быть исключения :D), но причем тут это, мой провайдер что содержит у себя мою ЗОНУ??? нет конечно, он может быть содержит кеш этой зоны..... какое-то время.... но никак не мою зону, по этому если я сейчас у себя на ДНС серверах заблокирую подсеть вашего провайдера то по истечению настроенного времени кеш у вашего провайдера очистится и ваш ПК больше не будет знать какой ИП у моего сайта.....

(Конечно же, в случае если при атаке не указан целевой IP)

По сути все пытаются сделать тоже самое только путем файрволов или реврайтов, в общем не важно, путем процессора ..... а можно на ранней стадии часть трафика потерять фактически оттуда же.

Romka_Kharkov добавил 07.07.2011 в 20:20

Описанный выше пример, используется:

Hint: Рули которые имеют 0 bytes > $time могут удаляться.