absurdo

Рейтинг

Регистрация

28.11.2006

Сервер Ддосят школьники

11 февраля 2011, 20:02

zexis:
боты атакуют вашу стартовую страницу.
Зоносите их IP в фаервол.

Временно закрыли доступ от неукраинского интернета. Так что пока все тихо.

На выходных подумаю как разруливать дальше.

Сервер Ддосят школьники

11 февраля 2011, 18:26

Временно закрыли доступ от неукраинского интернета.

Так что в таком режиме сайты работают без тормозов.

luckhost:
absurdo, Какой конфигурации у вас VDS?

2Gb RAM

Какая часть ксеона реально выделена сказать сложно.

absurdo добавил 11.02.2011 в 21:28

zexis:
Судя по количеству IP, атака очень маленькая.
Но часто бывают, что сначало пускают в атаку несколько ботов (их вполне хватает что бы завалить не защищенный сервер),
после их забанивания пускают в атаку больше ботов.

Сколько приблизительно может стоить такая атака? Интересно во сколько это обошлось конкурентам.

absurdo добавил 11.02.2011 в 21:39

zexis:
Посмотрите в логах access.log какие запросы были с этих ip, сделавших много коннектов.

grep 58.8.231.254 /path/to/access.log

58.8.231.254 - - [11/Feb/2011:07:49:47 +0200] "GET / HTTP/1.1" 500 - "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; .NET CLR 1.1.4322)"

58.8.231.254 - - [11/Feb/2011:11:33:12 +0200] "GET / HTTP/1.1" 301 - "-" "Mozilla/5.0 (Windows; U; Windows NT 5.1; ru; rv:1.8.1.1) Gecko/20061204 Firefox/2.0.0.1"

58.8.231.254 - - [11/Feb/2011:14:48:24 +0200] "GET / HTTP/1.1" 301 - "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; .NET CLR 1.1.4322)"

58.8.231.254 - - [11/Feb/2011:14:53:55 +0200] "GET / HTTP/1.1" 301 - "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; .NET CLR 1.1.4322)"

58.8.231.254 - - [11/Feb/2011:14:54:13 +0200] "GET / HTTP/1.1" 301 - "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; .NET CLR 1.1.4322)"

58.8.231.254 - - [11/Feb/2011:14:55:32 +0200] "GET / HTTP/1.1" 301 - "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; .NET CLR 1.1.4322)"

58.8.231.254 - - [11/Feb/2011:14:55:58 +0200] "GET / HTTP/1.1" 301 - "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; .NET CLR 1.1.4322)"

58.8.231.254 - - [11/Feb/2011:14:56:02 +0200] "GET / HTTP/1.1" 301 - "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; .NET CLR 1.1.4322)"

58.8.231.254 - - [11/Feb/2011:14:56:39 +0200] "GET / HTTP/1.1" 301 - "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; .NET CLR 1.1.4322)"

58.8.231.254 - - [11/Feb/2011:14:57:28 +0200] "GET / HTTP/1.1" 301 - "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; .NET CLR 1.1.4322)"

58.8.231.254 - - [11/Feb/2011:15:00:48 +0200] "GET / HTTP/1.1" 301 - "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; .NET CLR 1.1.4322)"

58.8.231.254 - - [11/Feb/2011:15:01:19 +0200] "GET / HTTP/1.1" 301 - "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; .NET CLR 1.1.4322)"

58.8.231.254 - - [11/Feb/2011:15:03:07 +0200] "GET / HTTP/1.1" 301 - "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; .NET CLR 1.1.4322)"

58.8.231.254 - - [11/Feb/2011:15:03:46 +0200] "GET / HTTP/1.1" 301 - "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; .NET CLR 1.1.4322)"

58.8.231.254 - - [11/Feb/2011:15:11:22 +0200] "GET / HTTP/1.1" 301 - "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; .NET CLR 1.1.4322)"

58.8.231.254 - - [11/Feb/2011:15:20:33 +0200] "GET / HTTP/1.1" 301 - "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; .NET CLR 1.1.4322)"

58.8.231.254 - - [11/Feb/2011:15:25:18 +0200] "GET / HTTP/1.1" 301 - "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; .NET CLR 1.1.4322)"

58.8.231.254 - - [11/Feb/2011:15:25:30 +0200] "GET / HTTP/1.1" 301 - "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; .NET CLR 1.1.4322)"

58.8.231.254 - - [11/Feb/2011:15:25:44 +0200] "GET / HTTP/1.1" 301 - "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; .NET CLR 1.1.4322)"

58.8.231.254 - - [11/Feb/2011:15:25:56 +0200] "GET / HTTP/1.1" 301 - "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; .NET CLR 1.1.4322)"

58.8.231.254 - - [11/Feb/2011:15:26:13 +0200] "GET / HTTP/1.1" 301 - "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; .NET CLR 1.1.4322)"

58.8.231.254 - - [11/Feb/2011:15:26:14 +0200] "GET / HTTP/1.1" 301 - "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; .NET CLR 1.1.4322)"

58.8.231.254 - - [11/Feb/2011:15:26:17 +0200] "GET / HTTP/1.1" 301 - "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; .NET CLR 1.1.4322)"

58.8.231.254 - - [11/Feb/2011:15:26:28 +0200] "GET / HTTP/1.1" 301 - "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; .NET CLR 1.1.4322)"

58.8.231.254 - - [11/Feb/2011:15:26:30 +0200] "GET / HTTP/1.1" 301 - "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; .NET CLR 1.1.4322)"

58.8.231.254 - - [11/Feb/2011:15:26:29 +0200] "GET / HTTP/1.1" 301 - "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; .NET CLR 1.1.4322)"

58.8.231.254 - - [11/Feb/2011:15:26:32 +0200] "GET / HTTP/1.1" 301 - "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; .NET CLR 1.1.4322)"

58.8.231.254 - - [11/Feb/2011:15:26:31 +0200] "GET / HTTP/1.1" 301 - "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; .NET CLR 1.1.4322)"

58.8.231.254 - - [11/Feb/2011:15:26:35 +0200] "GET / HTTP/1.1" 301 - "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; .NET CLR 1.1.4322)"

58.8.231.254 - - [11/Feb/2011:15:26:43 +0200] "GET / HTTP/1.1" 301 - "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; .NET CLR 1.1.4322)"

58.8.231.254 - - [11/Feb/2011:15:26:26 +0200] "GET / HTTP/1.1" 301 - "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; .NET CLR 1.1.4322)"

58.8.231.254 - - [11/Feb/2011:15:26:26 +0200] "GET / HTTP/1.1" 301 - "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; .NET CLR 1.1.4322)"

О чем это говорит?

Сервер Ддосят школьники

11 февраля 2011, 14:40

Выше я выкладывал отчеты netstat.

Что можете сказать о такой атаке?

Сервер Ддосят школьники

11 февраля 2011, 13:07

VH2:
действительно похоже на школьников :)

15 41.248.99.213
23 151.56.42.103
24 95.10.183.89
34 41.199.176.60
47 182.53.217.156
50 41.218.234.109
76 41.211.26.80
103 41.232.70.152
605 58.8.231.254

этих закройте что ли.

это значит что первый айпишник установил 15 соединений а последний 605?

Сервер Ддосят школьники

11 февраля 2011, 12:50

zexis:
Для начала выясните есть ли вообще ддос и какой силы.
Смотрите netstat –n и логи acsess.log

netstat -n | grep :80 |wc -l

absurdo добавил 11.02.2011 в 15:51

netstat -n | grep :80 | grep SYN |wc -l

absurdo добавил 11.02.2011 в 15:55

netstat -anp |grep 'tcp\|udp' | awk '{print $5}' | cut -d: -f1 | sort | uniq -c | sort -n


(No info could be read for "-p": geteuid()=503 but you should be root.)
      1 109.230.213.34
      1 207.46.12.237
      1 207.46.199.42
      1 67.195.37.188
      1 93.73.23.116
      2 112.185.233.195
      2 115.118.111.119
      2 46.185.17.48
      2 78.27.129.139
      2 87.101.168.185
      2 91.201.66.116
      2 94.179.193.81
      2 94.59.87.96
      3 58.9.133.206
      3 95.132.238.127
      4 123.109.196.204
      4 95.132.205.133
      5 125.164.154.162
      5 197.224.113.230
      5 200.150.190.6
      5 59.92.46.136
      5 62.149.2.1
      6 195.29.157.86
      9
     13 0.0.0.0
     15 41.248.99.213
     23 151.56.42.103
     24 95.10.183.89
     34 41.199.176.60
     47 182.53.217.156
     50 41.218.234.109
     76 41.211.26.80
    103 41.232.70.152
    605 58.8.231.254

absurdo добавил 11.02.2011 в 15:58

netstat -n -p | grep SYN_REC | awk '{print $5}' | awk -F: '{print $1}'

(No info could be read for "-p": geteuid()=503 but you should be root.)
58.8.231.254
58.8.231.254
41.211.26.80
180.183.246.54
58.8.231.254
58.8.231.254
58.8.231.254
180.183.246.54
58.8.231.254
58.8.231.254
180.183.246.54
180.183.246.54
41.211.26.80
58.8.231.254
58.8.231.254
58.8.231.254
180.183.246.54
180.183.246.54
180.183.246.54
180.183.246.54
180.183.246.54
180.183.246.54
58.8.231.254
58.8.231.254
58.8.231.254
58.8.231.254
180.183.246.54
58.8.231.254
58.8.231.254
58.8.231.254
58.8.231.254
122.164.26.28
180.183.246.54
58.8.231.254
58.8.231.254
58.8.231.254
41.211.26.80
41.211.26.80
41.211.26.80
180.183.246.54
180.183.246.54
58.8.231.254
180.183.246.54
180.183.246.54
58.8.231.254
180.183.246.54
180.183.246.54
180.183.246.54
58.8.231.254
58.8.231.254
180.183.246.54
180.183.246.54
58.8.231.254
58.8.231.254
58.8.231.254
210.212.179.172
180.183.246.54
58.8.231.254
180.183.246.54
58.8.231.254
180.183.246.54
58.8.231.254
180.183.246.54
58.8.231.254
58.8.231.254
180.183.246.54
41.211.26.80
58.8.231.254
180.183.246.54
180.183.246.54
180.183.246.54
58.8.231.254
41.211.26.80
180.183.246.54
41.211.26.80
58.8.231.254
180.183.246.54
58.8.231.254
41.211.26.80
180.183.246.54
58.8.231.254
58.8.231.254
58.8.231.254
58.8.231.254
41.211.26.80
180.183.246.54
180.183.246.54
180.183.246.54
58.8.231.254
180.183.246.54
58.8.231.254
58.8.231.254
41.211.26.80
41.211.26.80
58.8.231.254
58.8.231.254
58.8.231.254
180.183.246.54
58.8.231.254
180.183.246.54
180.183.246.54
180.183.246.54
180.183.246.54
180.183.246.54
58.8.231.254
58.8.231.254
180.183.246.54
180.183.246.54
180.183.246.54
58.8.231.254
41.211.26.80
58.8.231.254
41.211.26.80
180.183.246.54
58.8.231.254
58.8.231.254
58.8.231.254
180.183.246.54
180.183.246.54
180.183.246.54
58.8.231.254
58.8.231.254
58.8.231.254
58.8.231.254
180.183.246.54
41.211.26.80
41.211.26.80
180.183.246.54
180.183.246.54
41.211.26.80
58.8.231.254
58.8.231.254
41.211.26.80
180.183.246.54
58.8.231.254
41.211.26.80
180.183.246.54
58.8.231.254
58.8.231.254
58.8.231.254
41.211.26.80
180.183.246.54
180.183.246.54
41.211.26.80
58.8.231.254
58.8.231.254
180.183.246.54
41.211.26.80
41.211.26.80
180.183.246.54
180.183.246.54
180.183.246.54
58.8.231.254
58.8.231.254
58.8.231.254
41.211.26.80
41.211.26.80
180.183.246.54
180.183.246.54
58.8.231.254
180.183.246.54
58.8.231.254
58.8.231.254
58.8.231.254
58.8.231.254
58.8.231.254
41.211.26.80
180.183.246.54
58.8.231.254
58.8.231.254
58.8.231.254
180.183.246.54
58.8.231.254
180.183.246.54
180.183.246.54
58.8.231.254
58.8.231.254
58.8.231.254
58.8.231.254
125.164.154.162
58.8.231.254
180.183.246.54
58.8.231.254
212.49.93.243
58.8.231.254
58.8.231.254
58.8.231.254
58.8.231.254
58.8.231.254
58.8.231.254
58.8.231.254
58.8.231.254
41.211.26.80
180.183.246.54
41.211.26.80
58.8.231.254
58.8.231.254
58.8.231.254
180.183.246.54
180.183.246.54
58.8.231.254
58.8.231.254
58.8.231.254
180.183.246.54
41.211.26.80
58.8.231.254
58.8.231.254
58.8.231.254
58.8.231.254
58.8.231.254
180.183.246.54
58.8.231.254
41.211.26.80
58.8.231.254
58.8.231.254
58.8.231.254
41.211.26.80
41.211.26.80
180.183.246.54
58.8.231.254
58.8.231.254
58.8.231.254
58.8.231.254
58.8.231.254
58.8.231.254
59.92.46.136
58.8.231.254
58.8.231.254
58.8.231.254
58.8.231.254
180.183.246.54
58.8.231.254
180.183.246.54
58.8.231.254
58.8.231.254
58.8.231.254
58.8.231.254
58.8.231.254
58.8.231.254
180.183.246.54
58.8.231.254
180.183.246.54
58.8.231.254
58.8.231.254
41.211.26.80
180.183.246.54
41.211.26.80
180.183.246.54
58.8.231.254
58.8.231.254
58.8.231.254
180.183.246.54
180.183.246.54
41.211.26.80
41.211.26.80
180.183.246.54
58.8.231.254
58.8.231.254
58.8.231.254
180.183.246.54
180.183.246.54
58.8.231.254
41.211.26.80
180.183.246.54
58.8.231.254
180.183.246.54
180.183.246.54
58.8.231.254
58.8.231.254
41.211.26.80
180.183.246.54
180.183.246.54
58.8.231.254
180.183.246.54
180.183.246.54
58.8.231.254
41.211.26.80
180.183.246.54
180.183.246.54
180.183.246.54
180.183.246.54
41.211.26.80
58.8.231.254
58.8.231.254
180.183.246.54
58.8.231.254
58.8.231.254
58.8.231.254
41.211.26.80
180.183.246.54
180.183.246.54
58.8.231.254
180.183.246.54
58.8.231.254
180.183.246.54
180.183.246.54
41.211.26.80
180.183.246.54
41.211.26.80
58.8.231.254
180.183.246.54
58.8.231.254
58.8.231.254
58.8.231.254
41.211.26.80
41.211.26.80
58.8.231.254
58.8.231.254
58.8.231.254
58.8.231.254
58.8.231.254
210.212.179.172
58.8.231.254
180.183.246.54
58.8.231.254
180.183.246.54
180.183.246.54
180.183.246.54
180.183.246.54
58.8.231.254
58.8.231.254
180.183.246.54
180.183.246.54
180.183.246.54
180.183.246.54
58.8.231.254
58.8.231.254
212.49.93.243
58.8.231.254
41.211.26.80
180.183.246.54
41.211.26.80
180.183.246.54
58.8.231.254
41.211.26.80
58.8.231.254
58.8.231.254
41.211.26.80
58.8.231.254
58.8.231.254
58.8.231.254
41.211.26.80
41.211.26.80
58.8.231.254
58.8.231.254
180.183.246.54
180.183.246.54
180.183.246.54
41.211.26.80
180.183.246.54
58.8.231.254
180.183.246.54
58.8.231.254
58.8.231.254
58.8.231.254
58.8.231.254
58.8.231.254
58.8.231.254
58.8.231.254
58.8.231.254
58.8.231.254
58.8.231.254
41.211.26.80
41.211.26.80
58.8.231.254
41.211.26.80
180.183.246.54
58.8.231.254
58.8.231.254
41.211.26.80
180.183.246.54
180.183.246.54
41.211.26.80
180.183.246.54
58.8.231.254
180.183.246.54
58.8.231.254
58.8.231.254
58.8.231.254
58.8.231.254
58.8.231.254
58.8.231.254
58.8.231.254
58.8.231.254
58.8.231.254
180.183.246.54
180.183.246.54
180.183.246.54
180.183.246.54
58.8.231.254
58.8.231.254
180.183.246.54
58.8.231.254
41.211.26.80
180.183.246.54
180.183.246.54
58.8.231.254
58.8.231.254
180.183.246.54
58.8.231.254
180.183.246.54
180.183.246.54
58.8.231.254
58.8.231.254
180.183.246.54
180.183.246.54
180.183.246.54
58.8.231.254
41.211.26.80
41.211.26.80
58.8.231.254
58.8.231.254
58.8.231.254
58.8.231.254
58.8.231.254
180.183.246.54
58.8.231.254
58.8.231.254
58.8.231.254
58.8.231.254
180.183.246.54
58.8.231.254
58.8.231.254
58.8.231.254
180.183.246.54
58.8.231.254
58.8.231.254
125.164.154.162
180.183.246.54
180.183.246.54
58.8.231.254
58.8.231.254
58.8.231.254
58.9.133.206
58.8.231.254
58.8.231.254
41.211.26.80
58.8.231.254
180.183.246.54
58.8.231.254
58.8.231.254
180.183.246.54
125.164.154.162
58.8.231.254
46.119.88.224
58.8.231.254
58.8.231.254
180.183.246.54
41.211.26.80
58.8.231.254
180.183.246.54
41.211.26.80
41.211.26.80
58.8.231.254
58.8.231.254
58.8.231.254
58.8.231.254
58.8.231.254
180.183.246.54
58.8.231.254
58.8.231.254
58.8.231.254
58.8.231.254
58.8.231.254
180.183.246.54
180.183.246.54
58.8.231.254
58.8.231.254
41.211.26.80
58.8.231.254
180.183.246.54
180.183.246.54
41.211.26.80
58.8.231.254
58.8.231.254
58.8.231.254
58.9.133.206
58.8.231.254
58.8.231.254
41.211.26.80
58.8.231.254
41.211.26.80
58.8.231.254
58.8.231.254
58.8.231.254
41.211.26.80
59.92.46.136
58.8.231.254
58.8.231.254
180.183.246.54
197.224.113.230
58.8.231.254
41.211.26.80
58.8.231.254
180.183.246.54
58.8.231.254
180.183.246.54
41.211.26.80
180.183.246.54
58.8.231.254
58.8.231.254
58.8.231.254
58.8.231.254
180.183.246.54
58.8.231.254
180.183.246.54
180.183.246.54
180.183.246.54
58.8.231.254
180.183.246.54
41.211.26.80
58.8.231.254
41.211.26.80
58.8.231.254
58.8.231.254
41.211.26.80
58.8.231.254
58.8.231.254
58.8.231.254
58.8.231.254
41.211.26.80
41.211.26.80
58.8.231.254
58.8.231.254
180.183.246.54
58.8.231.254
58.8.231.254
180.183.246.54
41.211.26.80
58.8.231.254
58.8.231.254
180.183.246.54
58.8.231.254
180.183.246.54
41.211.26.80
58.8.231.254
58.8.231.254
180.183.246.54
180.183.246.54
58.8.231.254
180.183.246.54
180.183.246.54
58.8.231.254
180.183.246.54
58.8.231.254
180.183.246.54
41.211.26.80
180.183.246.54
58.8.231.254
41.211.26.80
180.183.246.54
58.8.231.254
58.8.231.254
180.183.246.54
58.8.231.254
58.8.231.254
58.8.231.254
180.183.246.54
180.183.246.54
58.8.231.254
58.8.231.254
41.211.26.80
180.183.246.54
180.183.246.54
58.8.231.254

Сервер Ддосят школьники

11 февраля 2011, 12:08

Пока посмотрю как с этим справится мой хостер.

На всякий случай пишите в личку, кто имеет опыт настройки nginx и борьбы с DDoS.

absurdo добавил 11.02.2011 в 15:20

rave:
absurdo, что доссят,с какой силой,с какой переодичностью.инфы мало оч

Говорят что около 1000 tcp пакетов в секунду.

Сервер Ддосят школьники

11 февраля 2011, 12:01

KM.UA:
Чтобы попасть на деньги ? :)

Не поможет?

Я в шоке, куда бежать... что делать...

Гребаные конкуренты.

Сервер Ддосят школьники

11 февраля 2011, 11:23

VH2:
ну вобщем это можно сказать неплохо досят, хотя может ресурсов VDS не хватает или движок сайта слишком тяжелый.

Движок Wordpress

Сервер Ддосят школьники

11 февраля 2011, 11:13

VH2:
Школьники в смысле DDoS'ят по-детски или потому что DDoS'ить могут только школьники? :)

Ддосят не смертельно, иногда сайт таки открывается (1 раз из 10 может), грузится с минуту.

megadimon:
это что за VDS, к которому у Вас нет рута? :)

ВДС находится на поддержке хостера, можно взять рут-доступ, но тогда администрирование ложится на плечи клиента.

Сервер Ддосят школьники

11 февраля 2011, 11:09

VH2:
Например сколько:
1. пакетов в секунду
2. какие пакеты (UDP, ICMP и т.д.)
3. забивают ли канал (какой идет трафик)
4. с какого кол-ва IP идет атака
5. по какой ссылке сайта атакуют

спасибо, как ответят отпишусь

1 2 3 4 5 6 7 8 9 10 11

Всего: 104

Что делать, если ваша email-рассылка попала в спам

Яндекс Вебмастер вынес товарные фиды в отдельный раздел

absurdo