Почти так. Только чтобы всё же это было защитой, нужно капчу выводить так, чтобы страница не загружалась - иначе какая же это защита, если страница загрузилась и мускул всё же понапрягался ))))))))))))
Тут Вам виднее, не спорю. Просто я стараюсь любые телодвижения делать максимально эффективно.
Ну можно и так конечно. Но главный вопрос: Зачем?
Ботами управляет человек. Поймите это. Он сам определяет, по каким урлам будет удар. Он не вставит в список атакуемых ресрусов Ваши скрытые линки. Каждый запрос - это пуля, которая должна долететь до адресата. И ударить в самое уявзимое. Никто в воздух палить не будет.
Ну разве что школьники, но мы это не обсуждаем.
Встану на Вашу сторону:
Ну даже если бы я пошел по такому пути, и делал бы динамические ссылки, с динамическим содержимым, чтобы для разного компа они были разные, то это бред полный. Ведь по ту сторону барикад такой же программист как я (а я программист, а не сайторисователь). Или если бы я был ддосером, я бы очч посмеялся над такой попыткой уйти от удара.
server.it добавил 26.04.2010 в 10:52
Пользователя пугать не нужно. Это никто не опровергает. Нужно быть более корректным: любые капчи и проверки - с головой.
По поводу больших проектов или ддоса хостинга: да, кукой тут не отделаться: ведь её и хранить нужно, а при одновременных 1-2 тысячах униках ох системка нужна! Плюсом инджинкс хорош при малообновляемом контенте. А на быстроменяющемся содержимом он не помошник, как не крути. (тоже спалил тему кстати :))
В таких масштабах нужно уже на уровне сокета определять своего клиента, уводить нагрузку на другой сервер. Но мы то говорим по теме "один сервер под ддосом". Для одного сервера с посещаемостью 50к в сутки, всё что сказано выше - вполне реально.
А выкидывать сообщения "извините, на сервере идут профилактические работы, но менеджеры готовы пообщаться по телефону..." при ддосе не позор, я так считаю.
Банально! Как Яндекс различает ссылки "белые на белом". А Вы наивно полагаете, что бот распознаёт содержимое прямо на компьютере пользователя?
Ну дела!
ГМ, и тот же код увидит бот Яндекса и прочие, и вляпят Вам бан, который будет длиться много дольше ддоса. Да и к тому же балланс количества ссылок со страницы перекосит.
Вас это не пугает?
Возможно Вы правы. Но у меня таких проблем нет и не было. По крайней мере с Яндексом. Я конечно не следую указаниям help.yandex.ru один в один, но начало было положено именно там. И по этой схеме начал работать с другими ПМ. На сегодня выделяю/идентифицирую 17 ботов ПМ. Поисковики открывают с моих ресурсов по 120К страниц за сутки. Это конечно мелочи, для большинства тут присутсвующих, однако этого достаточно, чтобы делать выводы о более-менее правильной модели идентификации.
Всё верно. Подход должен быть комплексный. Хотя по поводу значимости/важности работы днс при работе дос сети я готов ещё поспорить. Но не в этой ветке.
Стоп-стоп-стоп!
"Ненужные IP" - как это понять? Топ то по теме как сортировать ip на нужных и ненужных.
Единица бот сети - это обычный усер, прохлопавший ушами и допустивший установку на свой комп левого процесса (вирус, кому как удобнее читать), который пораждает процесс браузера и управляет им согласно инструкций, получаемых от сервера владельца/создателя.
В этом случае юсеры и будут ходить на "правильный", другой сервер.
Если что не так - вразумите.
kxk прав, большинство днс у себя не держит, а пользуется услугами регистратора.
Скажу наперёд, никаких проблем от "днс у регистратора" в борьбе с ддосом лично я не вижу. По опыту: приходилось отбиваться от слабеньких в 10-15М, одного двухнедельного в 50М, где сервера днс были у регистратора r01. Никоем образом это не мешало. Отбились. Хотя это конечно мелочи, а не ддос - балавство по сути: доводилось участвовать в битве от 200М нагрузки (чуть больше 200М), но там и сервер был не один, и канал не 100М.
Моё мнение: вытаскивать за прошлые временные периоды смысла нет. Тем более за вчера.
Атаки как правило на час не бывает. Если разве что школьники, как тут уже говорилось, глумятся.
Во-первых, боту ничего не стоит распознать невидимую ссылку, во-вторых, Вам нужно будет генерить два вида контента - один для ботов ПМ (нормальный), второй - для всех остальных, чтобы им ловить ботов. И это всё в условях атаки, когда количество подключений растёт лавиообразно и каждое прерывание проца на счету. Не знаю как остальным, но мне почему-то в голову это не приходило, и как методу защиты я это не рассматриваю.
Согласен. Это нормальное (правда частичное) решение проблемы для вебмастеров, в чьём распоряжении не так много денег, выделеный сервер и руки не из тазовой кости.
С этим нужно как можно более осторожно: боты управляются людьми. И если человек видит, что режут все адреса забугорные, то трафик можно частично конвертировать в русскоязычный. А на сервере стоит геоайпи, которое тоже ресурсов для работы хочет.
Почти весь ютел сидит на адсл, и айпи динамические. Как быть?
Да не сказал бы. Очень спорно. В теории конечно да, но ведь в практике не всегда и ддос получается качественный - очень много в этом деле доморощеных ддосеров, уровень познаний которых получен путём изучения хауту в сети. 50 к это серьёзная сеть, спору нет, но время её существования не так велико, и с ней тоже можно бороться, поверьте.
Удивитесь, на аппаратная защита не так эффективна как о ней думают.
У ТС проблема. Условия описаны подробно. Но как-то мало конструктива. Переливание "из пустого в порожнее". А при этом проблема всё актуальнее.
Я разделяю несколько рубежей в моей защите от ддос:
1) Мониторирование
2) Распознавание
3) Меры по блокированию атакующего трафика
4) Меры по увеличению эффективности/производительности ПО
5) Анализ нагрузки самого содержимого сервера и его оптимизация.
Готов общаться/делиться опытом в личке или любым другим способом, если заинтересованные по каким-то причинам не желают общаться открыто.
server.it добавил 26.04.2010 в 08:04
Кстати, всем читающим топ, у ТС есть ещё веточка про UDP флуд. Советую обращать внимание и на эту проблему, т.к. если сайт заказали, то ддос может показаться не таким уже и страшным явлением. Бороть такой флуд значительно сложнее, чем отбиться от ддос.
server.it добавил 26.04.2010 в 08:23
То, что сайты лежат, я считаю, это глупость админов.
Смотрите сами: есть смысл ддосить сайты только те, функционал которых на высоком уровне. Для АН вополне можно было избежать потерь от ддоса, ввиде неотвечающего сайта. Выкиньте статическую страничку: извините, у нас неполадки с оборудованием, решим в ближайшее время, если есть вопрос, мы можем ответить по телефону или по почте или ещё что-то в этом духе - писать красиво не умею, но придумать можно по идее. Эту страничку под энджиниксом можно раздавать и большему количеству ботов и всем кто заходит.
Не прокатит, если на шереде стоит иди вдс. Но в Москве то АН может себе сервер позволить за 30к или кризис не позволяет?
Конечно, это не выход в борьбе с ддосом, но, чтобы не потерять клиентуру, не потерять репутацию админу - это малая кровь, на мой взгляд.
И главное, что это можно достаточно быстро развернуть. При постоянных проблемах нужно конечно уже искать адекватные решения. На край тому же кхк залатить и думаю, это будет лучше, чем сайты будут лежать.
Или я не прав в своих выводах?
Всем доброго времени суток!
Тема поднята интересная, однако много сказано не по теме, и читать 5 страниц "выдавливания" фразы "платить антидосерам" уже как-то влом.
Судя по описанию проблемы это дос сеть. Почему то в последнее время большая часть ддос трафика забугорная.
По поводу JS и Cookies - не трудитесь проверять поддерживает ли "бот" сие, т.к. бот в данном случае - это процесс браузера, управляемый трояном. Отсюда и загрузка счётчиков и т.п.
Банить всех налево/направо - неправильно. Тем более я считаю не обоснованным бан на временный интервал.
По-порядку:
Первостепенная задача - не порезать ботов ПМ.
Как отличить ПМ тут: http://help.yandex.ru/webmaster/?id=1076102
Далее по капче:
stack прав. ДДОС отсеивается очч легко капчей. Только капчу нужно выкидывать не по событию 5000 одновременных подключений, а по количеству открытых одним усером страниц + порог одновременных подключений (от производительности сервера).
Яндекс, допустим, выкидывает такую капчу после 1000-го запроса вроде. Гугль тоже имеет сию защиту. (если не прав - поправьте).
И не нужно думать, что мы теряем легитимных юзеров. Если усер открывает уже 20-ю страницу на сервере, значит он заинтересован в посещениях. Или наоборот: если это бот, то его обламает капча. Ведь капча в данном случае может быть не "введите текст вида DjkvJHdllBj7 dsgvLbvl в данное поле", а что-то вроде "выберите рисунок на котором изображен синий треугольник" (разумеется изображения не статические и сервис на должном уровне защиты).
Далее по регистрированым юсерам. Не совсем правильно давать свободу всем регнутым. Так же должна быть проверка: ведь большинство кмс "тратит" на регнутых больше ресурсов (скуэль запросы как правило). И один регнутый "бот" будет грузить систему как 3-4 анонимов. Т.е. нужен избирательный подход.
Далее по самому сайту: если в основном трафик до атаки был русскоязычный, то, допустим, можно проверять каждую 3-ю загрузку иностранного трафа (пусть той же капчей той же).
Метод борьбы множество, нужно просто рассматривать каждую ситуацию индвидуально. Обмен опытом - штука замечательная :)
Я так и не понял - шаред у Вас или дедик/свой сервак?
Отличить ботов Яндекса (как и всех остальных вобщем-то) можно так: http://help.yandex.ru/webmaster/?id=1076102
От 7000 запросов можно относительно легко отбиться, если сервак выделеный и есть ссаш доступ.
Похоже на ддос сеть.
Напишите по текущей ситуации.
Даже если бы все 1155 запросов были сделаны за несколько секунд, они бы просто встали в очередь. Перегрузка была бы в течении нескольких минут.
Хостер на мой взгляд даёт странный комент для ситуаци: у Вас за час 2000 запросов.
Если у Вас не выделеный сервер, то это может быть и не ддос: на шаред хостинге один из ресурсов начал отбирать все такты проца, перегрузил мускул. Вот и результат.
Если же у Вас выделеный сервер, то для выявления ддос нужно первым делом глядеть в логи, смотреть количество подключений.
Закрыться фаейрволом от атаки ддос сети вряд ли получится.
