Мне, например, не нравится когда пользователям моего форума рассылается спам любого вида.
Думаю, что владельцу любого проекта это не понравится.
Да, действительно.
Сообщения отправлено 9 апреля, а аську я создал 13 апреля.
Странно, что сервер ICQ принял сообщение для еще не созданного экаунта.
Ведь сделать проверку существует экаунт или нет очень просто.
Странно, что аська не банит автоматом таких спамеров.
Ведь у аськи единый центр в отличии от емейл.
Мне кажется по этой причине фильтровать спам ICQ проще чем в емейл.
Можете ли зайти на сервер по SSH?
При таком большом трафике это будет сложно.
Придется либо ехать в ДЦ, либо подключаться удаленно через kvm.
1)
Запретите серверу реагировать на icmp запросы.
Веб серверу icmp не нужно.
echo "1" > /proc/sys/net/ipv4/icmp_echo_ignore_all
2)
посмотрите список текущих конектов к серверу.
netstat -n|less
Нет ли там множества коннектов с одних и тех же IP адресов ?
Нет ли там слишком большого количества коннектов в одном и том же состоянии ?
Какое общее число коннектов?
netstat -n|wc
3)
посмотрите статистику трафика сетевых интерфейсов
sar -l |less
4)
Заодно посмотрите
top
vmstat 2
server-status/
Пока спасает то, что атаки, которые идут менее чем с 5000 IP успешно блокируются защитой установленной на самом сервере.
Атаки с большего количества IP бывают редко и стоят, наверное, заказчику хороших денег. А для исполнителя требуют существенных ресурсов. А поэтому идут не долго.
Мой сайт не приносит таких доходов, что бы платить по 300$ - 600$ в месяц за антиддос хостинг.
А защита на самом сервере денег не требует.
Благодаря регулярным ддос атакам, защиту удалось отладить для отражения большинства атак.
На создание и отладку ддос защиты ушло около 4 месяцев.
Теперь остается лишь наблюдать как обнаруживаются и блокируются боты.
Боюсь, что общее количество атак в интернете будет расти, а поэтому многим вебмастерам придется потратить месяцы на изучение способов защиты или платить антиддос сервисам.
Ставьте ту в которой лучше всего разбираетесь или разбирается админ, который будет настраивать.
Споров какой дистрибутив и какая ОС лучше в сети очень много.
Эти споры занимают десятки страниц.
В итоге спорщики к однозначному выводу так и не приходят.
Лично я использую linux (ubuntu server) потому что его давно использую.
Все что мне надо работает нормально.
По поводу ICMP флуда.
Web серверу ICMP не нужен.
Можно заблокировать ответы на любые ICMP запросы на сервере.
Это разве не решит проблему ICMP флуда?
Если хакеры узнав о Ваших способах защиты смогут их обойти, значит Ваши способы защиты блокируют лишь определенные атаки и основаны на определенных закономерностях работы ботов.
В этом случае Вам действительно лучше о них не говорить, что бы продолжать использовать.
Я и сам использую довольно много алгоритмов, которые в автоматическом режиме хорошо ловят ботов, поведение которых отличается от поведения пользователей, работающих в браузере.
Я бы тоже не хотел, что бы хакер, атакующий мой сайт, знал какие параметры работы бота я анализирую.
Меня интересуют способы защиты от ддос, которые хакеры не смогут обойти даже если будут хорошо знать о принципе работы защиты.
Примеры таких способов, которые сложно обойти, даже зная о них.
1) хорошая капча, которая показывается всем пользователям для возможности ходить по сайту. С IP поисковиков разрешается ходить без ограничений.
2) Бан всех IP (например на сутки) которые зашли на сайт в период пика атаки, за исключением IP поисковиков и IP зарегистрированных пользователей.
Конечно эти способы имеют существенные минусы, так как усложнят работу сайта и могут забанить легитимных пользователей.
Возможно, надежных способов блокировки интеллектуальных ддос атак не существует.
Что бы не раскрыть, что хороших и надежных способов защиты нет, и говорят, что методы защиты – коммерческая тайна.
JS и Cookies в антиддос защите могут найти ботов которые не поддерживают JS и Cookies.
Если бот их поддерживает, то проверять JS и Cookies смысла не вижу.
Мой вопрос в следующем.
Есть антиддос сервисы, которые декларируют защиту от любых ддос атак.
Как они обнаруживают ботов, которые ходят по сайту и полностью эмитируют работу браузера и пользователя?
Например ботов более 30 000. Каждый бот делает 3 – 6 кликов в минуту.
Пока я нашел только один вариант.
Забанить всех, кто посетил сайт во время ддос атаки, за исключением поисковиков и IP зарегистрированных пользователей.
Есть ли еще методы?
Не понял Вашего поста.
Мой вопрос в том, как отличить пользователей сайта от ботов полностью эмитирующих работу бразера.
