- Поисковые системы
- Практика оптимизации
- Трафик для сайтов
- Монетизация сайтов
- Сайтостроение
- Социальный Маркетинг
- Общение профессионалов
- Биржа и продажа
- Финансовые объявления
- Работа на постоянной основе
- Сайты - покупка, продажа
- Соцсети: страницы, группы, приложения
- Сайты без доменов
- Трафик, тизерная и баннерная реклама
- Продажа, оценка, регистрация доменов
- Ссылки - обмен, покупка, продажа
- Программы и скрипты
- Размещение статей
- Инфопродукты
- Прочие цифровые товары
- Работа и услуги для вебмастера
- Оптимизация, продвижение и аудит
- Ведение рекламных кампаний
- Услуги в области SMM
- Программирование
- Администрирование серверов и сайтов
- Прокси, ВПН, анонимайзеры, IP
- Платное обучение, вебинары
- Регистрация в каталогах
- Копирайтинг, переводы
- Дизайн
- Usability: консультации и аудит
- Изготовление сайтов
- Наполнение сайтов
- Прочие услуги
- Не про работу
В 2023 году 36,9% всех DDoS-атак пришлось на сферу финансов
А 24,9% – на сегмент электронной коммерции
Оксана Мамчуева
Как снизить ДРР до 4,38% и повысить продажи с помощью VK Рекламы
Для интернет-магазина инженерных систем
Мария Лосева
Авторизуйтесь или зарегистрируйтесь, чтобы оставить комментарий
Читал разные материалы про сабж, у меня возник один вопросик, надеюсь, люди, которые сталкивались с сабжем, помогут разобраться. Сам лично не сталкивался, но хотелось бы кое-что прояснить, на случай возможного столкновения. Предположим, что речь идет о http флуде, хотя по идее дальнейшее рассуждение может соответствовать и другим видам атак. Как я понял, примерные действия хостера или владельца дедика с несколькими сайтами при ддосе – сначала определить сайт, на который идет атака, исходя из того, что больше всего запросов к ДНСерверу поступает на определение ip адреса домена атакуемого сайта. Так вот, у меня и возник вопрос – кешируют ли боты, которые участвуют в атаке, этот ip адрес или постоянно обращаются к нейм серверам атакуемого домена для его определения? С одной стороны, по идее, любая программа (которой так же является и бот) запрашивает этот ip адрес у операционной системы (или я не прав?). Система если не знает этот ip адрес – запрашивает его у ДНСервера(ов) (провайдера / на который(е) настроен(ы) сетевое(ые) подключение(я) ) и затем его кеширует. Даже если ОС сама не закеширует его, то все равно ДНСервер провайдера закеширует его. Если так, то почему тогда у атакуемого домена много запросов? Ведь один раз спросили и держат ответ в кеше. Ну в начале, возможно, будет какой то всплеск количества запросов, но вряд ли это можно заметить не вооруженным взглядом. С другой стороны, если состав ботнета динамически меняется и постоянно прибывают новые боты, возможно, это может иметь место. Типа владелец зараженной машины, территориально расположенной в Бразилии только включил свой комп, в то время как китаец – выключил и пошел спать.
А вот если боты не кешируют ip адрес атакуемого домена (и постоянно обращаются к нейм серверу) тогда да, запросов к этому домену будет гораздо больше, чем к другим (как и говориться в различных рекомендациях).
Далее, после того как хостер (или владелец дедика) определил тот сайт, на который идет ддос атака, ему нужно сметить днс запись А на скажем 127.0.0.1, чтобы весь сервер не лег (вместе с остальными сайтами). А вот тут то можно этот вопрос разрешить! Если боты кешируют ip адрес – атака на физический сервер будет продолжаться до тех пор, пока у них не обновятся днс записи атакуемого домена. Если же боты кеш днс не используют – то атака должна прекратится практически сразу.
Я, конечно, понимаю, что атаки бывают разные, и боты также соответственно бывают разными (а соответственно и их поведение), но все таки прошу тех, кто имел опыт с такой ситуацией – поделиться своими выводами со мной.
Хотел развёрнуто ответить...но у вас так всё в куче. Не понятно, что вы хотите -)
Кэш есть, но обычно он очень мелкий по времени и ставится в ОС. Минут 5-10 в среднем. Это если ботнет. Но надо понимать, что из китая ип может изменятся чуть дольше, потому что у них сети чуть по-другому построены. На самом деле у китайцев более новые протоколы и сети, которые скажем я использую в своих проектах, но они не всегда совместимы с остальным миром -)
Могут просто по IP атаковать. Не всегда же по DNS, тем более это нагрузка лишняя. Конечно зависит от того, кого атакуешь. Можно сделать систему которая меняет ип сайта каждые 10 минут или когда флуд...
Хотел развёрнуто ответить...но у вас так всё в куче. Не понятно, что вы хотите -)
ок, попробую, более понятно, допустип я хостер, на физическом сервере у меня клиентских доменов штук 50-100-150 - неважно - сколько сервер держит. Вдруг, откуда не возмись, один из этих сайтов начинают ддосит хттп флудом. Для того чтобы определить какой именно сайт ддосят рекомендуют посмотреть в логи днс сервера, типа к нему больше всего обращений. Но я вот как раз и не пойму - если боты будут кешировать ответ днс то совсем не факт что по этой методе будет видно какой именно сайт ддосят
Цель HTTP флуда - нагрузить вам CPU, сьесть всю доступную apache(например) оперативку. Чтобы это предотвратить - заблокируйте сайт клиента, нагрузка упадет на cpu и ram упадет.
Далее избавляемся от проблемного клиента или предлагаем купить vps или выделенный сервер, чтобы он не мешал остальным на виртуальном хостинге.
Так же с HTTP флудом можно исправиться. Анализируем лог веб-сервера и баним. Можно сделать чтобы fail2ban автоматически банил по логам nginx например.
ок, попробую, более понятно, допустип я хостер, на физическом сервере у меня клиентских доменов штук 50-100-150 - неважно - сколько сервер держит. Вдруг, откуда не возмись, один из этих сайтов начинают ддосит хттп флудом. Для того чтобы определить какой именно сайт ддосят рекомендуют посмотреть в логи днс сервера, типа к нему больше всего обращений. Но я вот как раз и не пойму - если боты будут кешировать ответ днс то совсем не факт что по этой методе будет видно какой именно сайт ддосят
т.е. как раз наоборот - по этой методе получается что боты нифига не кешируют, так как число обращений к нейм серверу для резолвинга атакуемого домена должно быть гораздо больше чем других доменов
ну и если на нейм сервере поменять ип адрес то должно быть видно - либо нагрузка сразу пропала (если боты днс кеш не используют), либо нагрузка продолжается до тех пор пока у ботов кеш не обновится
---------- Добавлено 13.09.2012 в 23:31 ----------
Цель HTTP флуда - нагрузить вам CPU, сьесть всю доступную apache(например) оперативку. Чтобы это предотвратить - заблокируйте сайт клиента, нагрузка упадет на cpu и ram упадет.
Далее избавляемся от проблемного клиента или предлагаем купить vps или выделенный сервер, чтобы он не мешал остальным на виртуальном хостинге.
Так же с HTTP флудом можно исправиться. Анализируем лог веб-сервера и баним. Можно сделать чтобы fail2ban автоматически банил по логам nginx например.
да это все понятно, вопрос в другом - интересует как раз как ведут себя боты ((
ок, попробую, более понятно, допустип я хостер, на физическом сервере у меня клиентских доменов штук 50-100-150 - неважно - сколько сервер держит. Вдруг, откуда не возмись, один из этих сайтов начинают ддосит хттп флудом. Для того чтобы определить какой именно сайт ддосят рекомендуют посмотреть в логи днс сервера, типа к нему больше всего обращений. Но я вот как раз и не пойму - если боты будут кешировать ответ днс то совсем не факт что по этой методе будет видно какой именно сайт ддосят
надо смотреть логи веб сервера (у нас к примеру контроль выделенных воркеров apache), скипт можно написать что бы банил автоматически домен который ддосят например через стринг
iptables -I INPUT 1 -p tcp --dport 80 -m string --string "bad-gomain.com" --algo kmp -j DROP
делов то не много но проблема в том что сейчас сотку зальют как нефиг делать приходится на всяйкий случай 1гб брать на каждый сервер :(
Для того чтобы определить какой именно сайт ддосят рекомендуют посмотреть в логи днс сервера, типа к нему больше всего обращений.
Просто такой ответ самый универсальный и не зависит от технологий используемых на сайте. Конечно, лучше смотреть непосредственно на веб-сервер, ведь атака направлена на самые ресурсопотребляющие части сайта. То есть, например, посмотреть /server-status или логи access.log.
Ботнету выгодно реализовать полный dns-стек чтобы оперативно узнавать куда перетащили сайт, так что обычно не кешируют ничего.
так вы и не используйте только этот метод определения. используйте по порядку все, что придет в голову.
один из этих сайтов начинают ддосит хттп флудом. Для того чтобы определить какой именно сайт ддосят рекомендуют посмотреть в логи днс сервера, типа к нему больше всего обращений
Эм.. А кто рекомендует?
чето все либо не совсем поняли что я хотел сказать, либо...
ладно попробую еще разок, допустип плохие парни решили завалить сайт site.ru, у них есть ботнет для всяких черных дел, они дают ему команду валить этот сайт site.ru, каждый из ботов начинает свое черное дело - он делает кучу запросов к site.ru но естественно при этом ему нужно превратить имя сайта site.ru в айпи адрес сервера на котором он расположен так адресация на низком уровне вожможна тольно на этих самых ип адресах
вопрос ТС как раз заключается в том признаки чего обычно при этом присутсвуют - либо каждый из ботов каждый раз обращается к нейм серверу чтобы превратить имя site.ru в айпи адрес либо он пользуется средствами ОС . ДНС провайдера
---------- Добавлено 13.09.2012 в 23:53 ----------
Эм.. А кто рекомендует?
я к сожалению сейчас точной ссылки не вспомню, но и исходя из сообщений пострадавших именно так их хостеры и делают
ЗЫ. а вы что бы посоветовали в такой ситуации?
---------- Добавлено 13.09.2012 в 23:55 ----------
так вы и не используйте только этот метод определения. используйте по порядку все, что придет в голову.
зачет )) токо я сам не догадался ))
чето все либо не совсем поняли что я хотел сказать, либо...
ладно попробую еще разок, допустип плохие парни решили завалить сайт site.ru, у них есть ботнет для всяких черных дел, они дают ему команду валить этот сайт site.ru, каждый из ботов начинает свое черное дело - он делает кучу запросов к site.ru но естественно при этом ему нужно превратить имя сайта site.ru в айпи адрес сервера на котором он расположен так адресация на низком уровне вожможна тольно на этих самых ип адресах
вопрос ТС как раз заключается в том признаки чего обычно при этом присутсвуют - либо каждый из ботов каждый раз обращается к нейм серверу чтобы превратить имя site.ru в айпи адрес либо он пользуется средствами ОС . ДНС провайдера
чаще всего резольвером является нс провайдера зараженного пк.
бывает так что атаку убрали а некоторые боты еще надолго остаются :)
чаще всего резольвером является нс провайдера зараженного пк.
бывает так что атаку убрали а некоторые боты еще надолго остаются :)
ну наконец то
именно про я и хотел узнать