- Поисковые системы
- Практика оптимизации
- Трафик для сайтов
- Монетизация сайтов
- Сайтостроение
- Социальный Маркетинг
- Общение профессионалов
- Биржа и продажа
- Финансовые объявления
- Работа на постоянной основе
- Сайты - покупка, продажа
- Соцсети: страницы, группы, приложения
- Сайты без доменов
- Трафик, тизерная и баннерная реклама
- Продажа, оценка, регистрация доменов
- Ссылки - обмен, покупка, продажа
- Программы и скрипты
- Размещение статей
- Инфопродукты
- Прочие цифровые товары
- Работа и услуги для вебмастера
- Оптимизация, продвижение и аудит
- Ведение рекламных кампаний
- Услуги в области SMM
- Программирование
- Администрирование серверов и сайтов
- Прокси, ВПН, анонимайзеры, IP
- Платное обучение, вебинары
- Регистрация в каталогах
- Копирайтинг, переводы
- Дизайн
- Usability: консультации и аудит
- Изготовление сайтов
- Наполнение сайтов
- Прочие услуги
- Не про работу
Все что нужно знать о DDоS-атаках грамотному менеджеру
И как реагировать на "пожар", когда неизвестно, где хранятся "огнетушители
Антон Никонов
Уже неделю ддосят один сайт, для которого я делаю фильтрацию трафика проксированием на моем сервере.
Это небольшой новостной сайт о бизнесе.
Владелец сайта платит 50$ в месяц за фильтрацию трафика от ддос.
Больше, говорит, платить не может.
По договоренности с крупным Московским ДЦ они заблокировали весь UDP и ICMP трафик, идущий на IP моего фильтрующего сервера.
Пропускают только TCP трафик.
Неделю на этот сайт идет HTTP флуд и UDP забивающий канал.
Все атакующие HTTP флудом обнаруживаются и банятся. Сервер им не отвечает.
Поэтому от них идут только SYN пакеты.
Интенсивность флуда от 10 000 до 40 000 SYN пакетов в секунду.
В сутки блокируется около 4000 IP ботов.
По информации из датацентра несколько раз атака превышала 1 Гбит.
Один раз сообщили о атаке 5 Гбит.
При превышении атаки 1 Гбит в датацентре отключают IP адрес в нулороут.
HTTP флуд проблем для фильтрации не вызывает.
Фильтруется программно HTTP флуд без проблем до 50 000 пакетов в секунду.
Проблему вызывает превышение атаки канала 1 Гбит и блокировку из за этого IP адреса.
Вопросы.
1) Что посоветуете делать?
2) Есть какие то способы отбиться от такой атаки и какова цена?
Оптимальным для меня было бы найти такой ДЦ который бы
1) предоставлял канал 1 Гбит до сервера.
2) Отсекал бы полностью для него UDP и ICMP трафик до 10 Гбит на своем маршрутизаторе.
Если есть такие предложения, какова цена?
Гигабитные атаки надеюсь будут не каждый день, но раза 2-3 в месяц возможны.
2) Отсекал бы полностью для него UDP и ICMP трафик до 10 Гбит на своем маршрутизаторе.
За канал придётся оплачивать в любом случае, т.к. ДЦ за свой счёт не будет выделять канал такой ширины бесплатно.
Думаю найти тех, кто готов предоставить такой канал не сложно, только вот речь будет идти где-то о 10-20k баксов в месяц.
атака идет на домен или ip ?
атакующие из каких стран преобладают?
если там китай и ему подобное и атака идет на домен - можно имея свой днс отсекать их еще на уровне днс, отдавая левые ip для а записи и ttl побольше, чтоб лишний раз днс не грузили.
Обратитесь в Оверсан-Меркурий (oversun.ru), не за 50 долларов конечно, но атаки отбивают :)
zexis, ну так купите 5 серверов и трафик разойдется в 5 мест по 1 гбит в каждое ( если повезет ).
Когда-то это должно было произойти с вашим простецким сервисом.
Вы же не думали, что сервисы защиты от ddos просто так прикола ради строят и содержат свою распределенную инфраструктуру ?
если там китай и ему подобное и атака идет на домен - можно имея свой днс отсекать их еще на уровне днс, отдавая левые ip для а записи и ttl побольше, чтоб лишний раз днс не грузили.
Оригинальная методика, но ведь на той стороне не совсем тупые. Пропишут IP без dns и направят туда трафик.
Оригинальная методика, но ведь на той стороне не совсем тупые. Пропишут IP без dns и направят туда трафик.
если ддосер в россии, а ботнет в основном в китае - сложно будет понять в чем причина )))
я так со спамом боролся, норм помогает, хрумеры серваки не задрачивают.
foxi, ну почему же трудно - есть google dns, есть всякие веб-инструменты тестирующие настройки доменов и dns в том числе.
И ботнетом в Китае управляют не из Китая.
Как я понял foxi, он предлагает сделать умный ДНС, который по запросам из Китая будет выдавать в качестве А записи сайта левый IP.
Ддосер обратится к ДНС из России получит верный IP сайта.
А Китайские боты обратятся к ДНС, получат левый IP для атаки.
И ддосер может этого не заметить.
Идея очень хорошая.
с ДДоС-ом надо бороться на уровне операторов связи. Но им это не надо. Платит то клиент.
Уже давно сделали бы центральную базу ботов и банили бы их за это дело автоматом с рассылкой абуз владельцам IP, чтобы те шевелились. И привет. Трафик от ботов упал бы в сотни тысяч раз. Ибо одного атаковали, IP врагов попали в базу, база реплицировалась с операторами и все...
Остается только один момент, IP ботов или саму базу могут подделать, таки образом баня цель. Но думаю, этот вопрос тоже решается.
zexis, ну так купите 5 серверов и трафик разойдется в 5 мест по 1 гбит в каждое ( если повезет ).
Когда-то это должно было произойти с вашим простецким сервисом.
Вы же не думали, что сервисы защиты от ddos просто так прикола ради строят и содержат свою распределенную инфраструктуру ?
Да защита от Гигабитных атак требует уже больших расходов.
Но бывают Гигабитные атаки не часто.
У меня за год 1-2 гигабитных было.
А меньше 100 мбит 2-3 в месяц.
---------- Добавлено 12.11.2013 в 16:47 ----------
с ДДоС-ом надо бороться на уровне операторов связи. Но им это не надо. Платит то клиент.
Центральная база IP ботов идея интересная, но сложно реализуемая.
Так как IP большинство провайдеров выделяют свои пользователям динамически.
Да и не надо это никому как вы правильно написали.
Операторам связи не надо, так как клиенты все равно платят за трафик.
Идея очень хорошая.
Ровно как и древняя :))) Те кому надо, просят через росийский прокси ваш ИП и направят атаку туда... Это своеобразный end-user anycast ;) Если нужно фильтровать .... т.е работать под атакой, нужны или широкие каналы или толковое оборудование. А типа "не заметят" это же бред :D