У меня конечно же не так много опыта, но по тому что есть, я не могу утвердительно сказать, что кляуза быстродейственна и эффективна.
server.it добавил 30.04.2010 в 06:52
Гм, лично я считаю, что синфлуд - это одно из вспомогательных средств атаки, которое предназначено для отбора производительности сервера.
У меня лично был случай, когда в течении некоторого времени (примерно сутки), сервер очч сильно флудили, но на работоспособность ресурса это никоем образом не повлияло. Стек само собой "тюнингованый".
Примерно 2/3 от канала. Или что-то близко к этому.
Эти меры лишь повышают "имунитет" сервера. Одним флудом сервер не нагнуть.
Эту тему обсуждали подробнейшим способом - от выделения айпи ботов ПМ, до капчей.
На запросы то мы не отвечаем, однако трафа нам набегает - по самые уши.
Моё видение юдипи флуда - это мера, которая косвенно выводит ресурсы из сети: у многих площадок условия размещения соотношение трафа. Юдипи флуд это соотношение сильно ломает, и как следствие - возникают проблемы.
Вот мы и подобрались к юдипи флуду.
Очч хотелось бы выслушать мнения обсуждающих.
В большинстве своём, ботсеть генерирует обычный трафик, т.е. запросы днс в штатном порядке.
Просто анализировать днс запросы для формирования списка плохих ip значительно проще, нежели чем брать аналитику из апача. Ну а дальше действия по той же схеме.
Опять таки: лично мне кажется, что правильным было бы совмещать эти методы вместе.
Пока нет времени на проверку - запарка по работе, но обязательно отпишусь по результатам.
Сорри, я немного не правильно поставил вопрос (лоад аверейдж мозга зашкаливает:)).
Первое: Под флудом я по обыкновению имею ввиду юдипи флуд.
Второе: бомбардировка син пакетами левых (непричастных) серверов далеко не одно и то же, что и ддос атака.
Насколько я могу судить, от синфлуда серьезно страдают только те админы, которые не удосужились настроить параметры стека тисипи айпи (такие как время хранения полуоткрытых соединений, время и количество перепередач и т.п.). По сути своей - школьники, как тут принято говорить - установили систему по бумажке, засунули панель - и вот он - новый хостер/вебмастер диконагруженного ресурса.
По теме: синфлуд - это не так губительно, как ддос. Ставить его в один ряд с ддос, т.е. рассматривать как атаку, сравнимую по сложности отражения с ддос-атакой я не буду.
А на Вашей практике много было случаев, когда "образованный в сетевом плане" индивид написал жалобу, и та подействовала?
По-моему, любая жалоба - горох об стену. Тем более, если сервак забугорный. Пока ждёшь ответа, ресурс покинет самый тупой бот.
Кстати, вопрос к ТС: а на Вашем сервере днс стоит, или днс на сервере регистратора а на Ваш сервер А-запись? Я не помню, говорил я это или нет, но Ваш скрипт можно немного модернизировать (анализировать днс запросы, а не запросы к апачу), этот метод более эффективен.
Сервера под флудом обычно ничего не посылают, т.к. всё что нужно уже порезано (обычно так).
И я не понял как Вы увязали ддос и флуд? Почему за ддос должны обвинять терпящую сторону - подробнее можно?
ГМ, судя по тому, как обсуждались письма провайдУре атакющего сервера, я думаю, можно рассматривать письма с жалобами, как одно из средств прекращения атаки, а следовательно, как одно из средств антиддос. Ну как чисто вспомогательное, когда по-иному возможностей нет.
А это вроде отдельная тема - гляньте, у ТС там своя ветка есть. Или тут будем обсуждать - ТС, что скажите?
По вхуису письмо и пишу, само собой. Если открываются сайты, то на них можно мыльце админа или вебмастера найти.
Но мне толку-то сидеть писать, если с этих серверов валятся тонны беда?
Может разве что звонк что-то исправит. Но у меня самолюбие не позволит просто звонить и жаловаться - уберите пожалуйста, вы мне мешаете, и т.п.
Написал один раз - если здравые люди, то должны понять, моментально исправить и извиниться.
Но таких - единицы. Просто редкость я бы сказал.
Теперь по поводу цивилизованных методов вцелом.
ТС, Вы сами понимаете наивность этих жалоб? Ведь адрес то не один. Их очч много. Нужно набрать целый штат кляузников, которые будут писать, звонить в разные уголки мира, чтобы прекратить "безобразие".
Абсурд!
За это время с сайта уйдёт последний бот, поняв что ему этот сервер ничего дать не может.
Куда быстрее решается иными средствами. Причём как правило думают, что вирусня на серверах появилась в момент атаки, и является составляющей самой атаки. Во чеснослов так оно и есть!
P.S.: Для этого айпи последствий не будет, по вполне понятным причинам.
Если есть ещё мнение/предлоежение как воздействовать уговорами, пожалуйса выскажитесь.
server.it добавил 28.04.2010 в 21:00
Да что хочешь пиши, глупый админ поднимает зад только тогда, когда его сервер лежит.
Фрагмент запросов само собой будет указан. Я просто не указал это явно. И что дальше?
Не совсем удобно, т.к. я в командировке и не могу долго висеть в сети, но попробуем:
Уважаемый администратор!
С Вашего ip (такого-то) на адрес (такой-то) осуществляется слишком много запросов (таких-то).
Скорее всего Ваш сервер содержит вредоносный код, который выполняется при загрузке страниц с Вашего сервера. Пожалуйста, устраните проблему, т.к. это мешает нормальному функционированию нашего сервера.
Спасибо.
Черкну по поводу атаковать в ответ или нет:
На один небольшой ресурс (7к уников в сутки) весь день сегодня атаки с 62.122.213.3
Предупреждение (мыло) сделано много часов назад. Реакция нулевая.
Этот адрес не единственный, но один из немногих, кто в принципе на виду.
Есть у кого-нибудь мысли, как мирным способом объяснить/достучаться до хулиганов?
Просто ТС меня застыдил, я хотел бы услышать вариант "цивилизованного" решения проблемы.
Я на этом не зарабатываю. Пока.