- Поисковые системы
- Практика оптимизации
- Трафик для сайтов
- Монетизация сайтов
- Сайтостроение
- Социальный Маркетинг
- Общение профессионалов
- Биржа и продажа
- Финансовые объявления
- Работа на постоянной основе
- Сайты - покупка, продажа
- Соцсети: страницы, группы, приложения
- Сайты без доменов
- Трафик, тизерная и баннерная реклама
- Продажа, оценка, регистрация доменов
- Ссылки - обмен, покупка, продажа
- Программы и скрипты
- Размещение статей
- Инфопродукты
- Прочие цифровые товары
- Работа и услуги для вебмастера
- Оптимизация, продвижение и аудит
- Ведение рекламных кампаний
- Услуги в области SMM
- Программирование
- Администрирование серверов и сайтов
- Прокси, ВПН, анонимайзеры, IP
- Платное обучение, вебинары
- Регистрация в каталогах
- Копирайтинг, переводы
- Дизайн
- Usability: консультации и аудит
- Изготовление сайтов
- Наполнение сайтов
- Прочие услуги
- Не про работу
В 2023 году Одноклассники пресекли более 9 млн подозрительных входов в учетные записи
И выявили более 7 млн подозрительных пользователей
Оксана Мамчуева
Тренды маркетинга в 2024 году: мобильные продажи, углубленная аналитика и ИИ
Экспертная оценка Адмитад
Оксана Мамчуева
Авторизуйтесь или зарегистрируйтесь, чтобы оставить комментарий
Здравствуйте!
Как распознать атаку на сервер с одного IP - довольно тривиальная задача. А вот как распознать атаку которая ведется с различных IP адресов. Допустим я хакер. Хочу положить некоторый веб-сервер. Ищут 10к прокси, и посылаю через них без перерыва вполне обычные запросы, с обычными заголовками разными user agent'ами, в общем имитирую вполне обычный юзерский запрос. Как администратор того самого веб-сервера распознает и заблокирует мою атаку? Объясните пожалуйста абстрактно, просто хочу понимать! Спасибо!
наврятли кто то тут выложит методы определения, есть довольно таки хитрые.
http ботиков найти чаще всего не проблема ибо пользователи ботнетов настолько тупые что иногда не могут даже атаку нормаольно настроить, про создателей молчу.
думайте сами :)
наврятли кто то тут выложит методы определения, есть довольно таки хитрые.
http ботиков найти чаще всего не проблема ибо пользователи ботнетов настолько тупые что иногда не могут даже атаку нормаольно настроить, про создателей молчу.
думайте сами :)
Мои размышления завели меня в тупик, в противном случае я бы не создал эту тема, не так ли?)
Все будут в бане, если nginx стоит сразу же.
Потом пологам можно посмотреть кто больше всего долбит.
Приличная у них стоимость :)
эмитирование поведения реальных пользователей не даст желаемой атаки.
методов фильтрования существует огромное количество и вам их не расскажут, так как наработаны они годами.
Здравствуйте!
Как администратор того самого веб-сервера распознает и заблокирует мою атаку? Объясните пожалуйста абстрактно, просто хочу понимать! Спасибо!
Определит с каких IP идет атака и заблокирует их на сервере
Пожалуйста
Теория очень проста : все нетипичные для сайта запросы должны быть забанены. А практика - это уже ноу-хау.
С атаками сталкиваюсь каждую неделю.
Отличить запросы ддос ботов от пользователей не сложно.
Пока хватает ресурсов сервера (канала, процессора) атака отбивается.
Простейшие методы обнаружения ботов это
1) банить тех, кто шлет много запросов и делает много одновременных коннектов. (в 3-4 раза больше среднего пользователя)
2) Ставить хитрым джаваскриптом куки и банить при начале атаки, тех кто не возвращает куки.
3) Можно делать проверки, что пользователь запрашивает статические файлы на каждой странице.
4) В крайнем случае, если отличить ботов от людей никак не удается, можно вообще забанить все IP кто был в момент максимальной нагрузки. хотя этот метод мне применять пока не разу не приходилось.
Если опасаетесь интелектупльных ботов. Которые очень хорошо маскируются под пользователей, можно сделать индивидуальную систему обнаружения ботов под конкретный сайт.
Например.
1) вести белый список IP пользователей, в который добавляются IP зарегистрированных пользователей. То есть IP их белого списка скорее всего не боты и разрешать им больше кликать.
2) Сделать на сайте невидимые для пользователя ссылки, зайти на которые могут только боты и их банить.
3) Составить для каждой страницы список статических файлов и проверять. Что бы они загружались после захода на страницу. Тех кто не загружают статику проверить более внимательно.
Повторюсь. Интеллектуальный ддос бот это редкость.
Чаще всего долбят простым HTTP флудом, который обнаруживается элементарно.
http ботиков найти чаще всего не проблема ибо пользователи ботнетов настолько тупые что иногда не могут даже атаку нормаольно настроить, про создателей молчу.
в каком-то новом боте есть запуск браузера на сайт в скрытом окне, в результате чего даже в активном режиме это проходит все проверки. далее через какую-то паузу идет тупой хттп флуд уже с ботика. очень креативная фишка. гарантированно пробивает практически все сервисы с ддос защитой, потому как такой подлянки мало кто ожидал.
самый ржачь, что если эту фишку встроят в остальные ддос-боты, то большей части сервисов придется максимально туго... в т.ч. и ряду железок для ддос защиты.
Добавлю от себя пару:
1. Фильтр по странам (можно запросто заблочить, временно, доступ для Китая.)
2. Фильтр по User-agent (совсем недавно отбывал атаку школьника с 40 ботами, у всех ботов был user-agent America Online Browser :))
Например.
1) вести белый список IP пользователей, в который добавляются IP зарегистрированных пользователей. То есть IP их белого списка скорее всего не боты и разрешать им больше кликать.
2) Сделать на сайте невидимые для пользователя ссылки, зайти на которые могут только боты и их банить.
3) Составить для каждой страницы список статических файлов и проверять. Что бы они загружались после захода на страницу. Тех кто не загружают статику проверить более внимательно.
Все поисковые, а также сапы, трастлинки и прочие валидные роботы будут в бане.
Бот всё-равно отсеивается по количеству запросов.
Если у вас будет 1-2 запроса в секунду с каждого хоста, то вопрос в другом, сможет ли ваш компьютер и канал обеспечить генерацию заголовков и единовременное соединение с этими проксями?
Такая атака хорошо блочиться вышеприведенными способами через обработку javascript или через загрузку статики.
Вот ещё что, не все прокси анонимны, ваш IP через $_SERVER['HTTP_CLIENT_IP'] и $_SERVER['HTTP_X_FORWARDED_FOR'] идёт прямо на атакуемый сервер.
в каком-то новом боте есть запуск браузера на сайт в скрытом окне, в результате чего даже в активном режиме это проходит все проверки. далее через какую-то паузу идет тупой хттп флуд уже с ботика. очень креативная фишка. гарантированно пробивает практически все сервисы с ддос защитой, потому как такой подлянки мало кто ожидал.
самый ржачь, что если эту фишку встроят в остальные ддос-боты, то большей части сервисов придется максимально туго... в т.ч. и ряду железок для ддос защиты.
я таких ботов PC не боюсь их нужно дохера что бы навредить, другое дело когда будет полная имитация браузера и более реалистичное хождение по сайту.
думаю не скоро еще появятся качественные ботнеты массово у ддосеров, сейчас ботнеты простановку cookie не проходят толком.
---------- Добавлено 19.09.2012 в 21:44 ----------
Добавлю от себя пару:
1. Фильтр по странам (можно запросто заблочить, временно, доступ для Китая.)
2. Фильтр по User-agent (совсем недавно отбывал атаку школьника с 40 ботами, у всех ботов был user-agent America Online Browser :))
1. по мне лучше для всей азии отдавать localhost на уровне днс :)
2. тоже лучше на уровне netfilter резать "America Online Browser", еще могу подсказать - можно отслеживать как он часто меняется для 1 ip, норм люди не меняют браузер быстро и часто(((
---------- Добавлено 19.09.2012 в 21:49 ----------
Все поисковые, а также сапы, трастлинки и прочие валидные роботы будут в бане.
ну так можно вайт лист сделать и доп проверку до бана или после утилитой host, поисковики точно всплывут.
---------- Добавлено 19.09.2012 в 21:51 ----------
Бот всё-равно отсеивается по количеству запросов.
не реал тайм что уже плохо, только для небольших ботнетов.