zexis, вы не понимаете :) В настоящее время нет никаких атак.
Уверен, для начала нужно добиться хоть какого-то предметного ответа от хостера. Поэтому я прошу помощи:
pupkin zade, я надеюсь, мы переедем на следующей неделе. Нужно просто приложить все усилия, чтобы дожить до этого.
zexis, Большое спасибо!
На всякий случай еще вопрос. Я попросил саппорт предоставить мне данные касаемо прошедшей атаки, на что получил следующий ответ:
Как мне сформулировать свой вопрос таким образом, чтобы они были вынуждены ответить по существу и предоставить нужные данные, а не зафлуживали меня бесполезной информацией и дурацкими рассуждениями о чемоданах с золотом?
Помимо всего прочего меня уже успели порадовать вот таким сообщением:
Что ж, довольно приятные новости для клиента, оплачивающего хостинг с администрированием :)
*имеются в виду адреса моего сервера. Ну, т.е. они просто вырубят мой сервер в случае очередной атаки, ни одну из которых они пока так и не смогли или не захотели подтвердить.
Т.е. это вновь очередное издевательство с их стороны?
Может, конечно. Проходит несколько часов с момента недоступности сервера, саппорт обращает-таки на это внимание и включает файрволл.
Проблема в другом: какую именно сумму я могу требовать с хостера? Чьи рассчеты верны?
Ровно полчаса? А потом вдруг передумали? :) ---------- Добавлено 03.02.2012 в 04:59 ----------
Случилось чудо! :)
После того, как я детально разобрал http-логи и представил хостеру свои соображения, меня, наконец, перестали пытаться задавить потоком сознания про чемоданы денег и взломанные сейфы.
Итак, мне дали хоть и не подробную информацию, то хотя бы намек:
И далее:
Теперь вопрос: пока еще все логи не потерлись, подскажите, пожалуйста, информацию о наличии syn-flood атак можно найти на сервере, или хостер в очередной раз лукавит? Если она доступна в каких-либо логах сервера, то где мне ее искать?
У меня не отдельная машина, а отдельная машина с их администрированием. Вот в этом-то и проблема. Т.е. саппорт отвлекается на атаки, тратит свое время - я становлюсь невыгодным клиентом - меня просят убраться по-хорошему. Но деньги в полном объеме возвращать не хотят.
Выше указано :)
И потом, это они меня по сути выгоняют. Как еще можно воспринять "официальное уведомление" о том, что в случае еще одной атаки они мне вырубят сервер? А там атаки-то, извините, школьниками деланы. Идут запросы с одного IP, и сервер укладывается часа на два-три, пока я это не обнаружу и не пну тех. поддержку.
Т.е. подобную атаку они могут и сами организовать хоть прямо из дома одного из сотрудников. Делов-то.
Да, по всей видимости.
Хостер, наконец, порадовал хоть какими-то сведениями. Во-первых, со временем атаки они ошиблись на пару часов, поэтому мой разбор логов ни к чему не привел.
Когда же были даны уточненные сведения, они выглядели примерно так:
21:50:32 - начало атаки
c 21:51:44 вы можете видеть кучу сообщений вида:
"Jan 29 21:51:44 s3 kernel: Limiting open port RST response from 542 to 500 packets/sec"
что свидетельствует о том что с трафиком на порту какая-то аномалия
DDOS был весьма своеобразным: кидались пакеты по несуществующему адресу domen.ru/script.php
В error-log'е (а именно туда все и сыпалось, поскольку запросы шли на несуществующий адрес ) с 21:50:32 по 21:51:44 я обнаружил 9000 записей и 294 отдельных IP адреса.
Насколько я понял объяснения хостера, именно эти 125 запросов в секунду и загрузили 100 мегабитный порт "в полку", что, соответственно, привело на следующий день к получению официального уведомления от хостера о том, что в случае повторения подобных мега-атак, мой сервер будет заблокирован полностью.
В принципе, техподдержку легко понять: 10000 рублей в месяц за аренду сервера с администрированием - не та сумма, чтобы тратить лимитированное на каждого клиента время и отбивать подобные мощнейшие атаки на мои проекты.
Да не дает мне хостер никаких данных, вот в чем проблема! Сегодня уже отписывался в дата-центр, они, разумеется, ответили в том ключе, что поскольку я не являюсь непосредственно их клиентом, то рекомендуют обратиться к моему хостеру, якобы они мне не откажут, если я четко опишу, какая именно информация мне нужна. А с хостером у нас какой-то странный разговор получается: я прошу технически данные, а он мне рассказывает про барсетки и сейфы: /ru/forum/690826
В общем, еще прошу: давайте абстрагируемся от атак. У меня все больше возникают подозрения о том, были ли эти атаки вообще. Сейчас меня интересует в первую очередь выбор нового хостинга и оперативный переезд с текущего, поскольку я уже не знаю, каких еще чудес можно от него ожидать