62.122.213.3 – IP Московский, так что можно общаться по русски.
Составьте письмо – жалобу.
Укажите в нем статистические данные о атаке.
Приложите к нему логи.
Отправьте письмо на контактный емейл для жалоб этой подсети.
Если ответа не получите, то разошлите жалобу по всем емейл адресам, которые есть в whois этой сети.
Позвоните по указанным Московским телефонам.
Думаю, должны принять меры.
Если не примут, то писать жалобы дальше им и в другие инстанции.
Это очень просто.
Если вы посмотрите на лог access.log вебсервера во время http флуда, то чаще всего там увидите множество однотипных запросов.
Например
GET / HTTP/1.1
Это запросы от ддос ботов. Их может быть десятки, сотни и тысячи в секунду.
Более интеллектуальные боты атакуют не только стартовую страницу, но и обращаются к другим страницам сайта, имитирую работу пользователя. Что бы их было сложнее обнаружить.
Задача анализа логфайла – обнаружить IP ботов и занести в фаервол, что бы сервер больше на них не отвечал.
zexis добавил 27.04.2010 в 17:30
То есть вы признаетесь в том, что сами заказываете ддос?
Спонсируете хакеров для развития их ботнетов.
А если вы ошибетесь в поиске заказчика, то начнете ддосить невинные сайты.
Сегодня хакер ддосит вашего конкурента, завтра хакеру заплатит кто то другой. Он будет ддосить ваши сайты.
Не понятно как вы находите HTTP флуд без анализа логов access.log?
Я полагаю, что анализ логов access.log – это ключевой способ поиска HTTP флуда.
Делать это можно раз в минуту по крону
Вот здесь я писал про анализ логов
/ru/forum/451121
Какие же вы способы используете для поиска IP ботов, если лог сервера не анализируете?
Господа, давайте писать в этой теме по методам обнаружения и блокировки ддос, а не на другие темы.
Заранее благодарю.
Использую следующее.
1. nginx с установкой лимитов на количество коннектов и лимиты на количество запросов на каждый тип файлов.
2. настройка параметров TCP/IP сервера. Например, не держать открытый сокет 2 часа, если от противоположной стороны нет ответа. И другие подобные настройки.
3. Анализ логов вебсервера для поиска в них HTTP флуда, по довольно эффективным алгоритмам.
4. Анализ коннектов к серверу (netstat) для поиска IP ботов.
5. Бан найденных Ip через iptables на некоторое время.
6. Для анализа логов и netstat использую свою программу написанную на С
Капчи использую только для регистрации новых пользователей и создания сообщений на форуме.
zexis добавил 26.04.2010 в 13:04
Согласен с вами от атаки, которая создает входящий трафик, более 100 Мбит, самому не защитится. Но я с такими атаками к счастью не сталкивался.
1. Если входящий трафик ддос атаки + трафик сайта меньше канала сервера, то победить его можно вполне успешно защитой, установленной на самом сервере.
2. Если больше, то нужно искать более дорогие способы защиты.
Предполагаю, что от атак которые на хакерских форумах рекламируют по цене 30$-60$ в сутки можно защитится защитой установленной на сервер.
Важно, что бы заказчик ддоса не мог заблокировать сайт дешевым ддосом, тогда ему будет дорого продолжать атаку долго.
Я сейчас подобрал параметры защиты, так что http флуд, если он меньше чем с 5 000 IP, банится в автоматическом режиме без видимых торможений сайта.
Когда атак нет , пользователи не блокируются, если конечно они не начинают скачивать сайт быстрыми download программами.
Так как защита сервера включается, только тогда когда нагрузка на сервер превысит некоторый порог.
Во время пика атаки небольшой процент пользователей может заблокироваться, но пик атаки быстро прекращается, так как ip ботов обнаруживаются и банятся примерно за 1-5 минут.
Очень полезен метод, когда чувствительность алгоритмов зависит от загруженности сервера.
При обычной нагрузке на сервер – никого не баним, даже тех кто кликает много.
При повышении нагрузки на сервер, чувствительность алгоритмов постепенно повышается.
Если же нагрузка превысила порог – баним всех кто зашел в эту минуту по http.
Пока боты могут распознать лишь некоторые типы капч.
К тому же хакер должен предварительно в ручную настроить алгоритм распознавания.
Есть капчи, которые боту распознать не возможно (даже с ручной настройкой алгоритма распознавания) и они нормально читаются человеком.
Совсем не обязательно динамически, в момент клика создавать уникальную капчу для каждого посетителя.
Можно раз в сутки, ночью запускать скрипт, который генерит 1000 капчей на день.
Каждому пользователю новая капча не создается, а выдается случайная из 1000 уже созданных.
Дедик – отдельный физический сервер, который вы арендуете.
root сервер – вы имеете пароль root для доступа (системный администратор) и полные права для администрирования.
Managed – вы не имеете пароля для администрирования сервера (настраивают ваш сервер админы дата центра).
Setup – это установка OC и всех необходимых программ на сервер.
Я бы закрыл доступ по SSH для всех кроме своего IP.
1) логии будут меньше.
2) Нагрузка на сервер хоть не много, но уменьшится. А может и сильно уменьшится, если подбор паролей очень интенсивный с нескольких IP.
У хакеров в ботнете есть много русских IP, так что блокировка по стране не поможет, хотя и может уменьшить мощность атаки.
Мощность сервера от ддоса не спасет.
Точнее спасет лишь от очень маленькой атаки, когда атакующих IP меньше 50.
Пример.
Каждый бот делает по 5 запросов в секунду к динамической странице сайта.
100 таких ботов будут делать 500 запросов в секунду, такой нагрузки даже мощный сервер не выдержит.
Поэтому нужны алгоритмы обнаружения IP ботов.
По моему опыту большинство атак не большие.
Количество IP до 1000 – 7000.
Трафик атаки до 10 Мбит.
Или у вас чаще идут мощные Гигабитные атаки с десятков тысяч ботов?
