Предложил этому шантажисту сделку.
Он включает ддос.
Я тестирую как мой софт блокирует его ботов.
После этого я удаляю объявление, которое он просит.
Но человек начал лепить отмазки, что он так не работает. Что он не школьник.
И ддос включать отказался.
Пригрозил на последок, что отмстит и исчез.
Может вам еще дать денег на бутерброд с черной икрой?
30-40 тысяч рублей - не проблема заработать за 1-2 месяца для 22 летнего парня.
Я тоже в 3 аварии попадал.
За первую (въехал в столб) заплатил в сервисе 20 000 рублей.
За вторую(я вехал другому в бок.) отдал 100 000 руб - ремонт своей машины + 16 000 руб за ремонт чужой.
в третьей аварии (въехали мне в зад) доплачивать пришлось 30 000 рублей (так как страховка не покрыла стоимомть всего ремонта)
Итого на ремонты за 3 года вождения 166 000 рублей.
Это не считая планового обслуживания в сервисе.
Желания просить денег на форумах у меня не разу не возникало.
Поймать ддосера сложно.
Если он конечно не полный идиот.
Ведь он, если не дурак, использует цепочки анонимных проксей по всему миру.
Для поиска нужно много ресурсов, знаний и времени.
Ради моего бесплатного форума отдел К этим активно заниматься не станет.
Если бы ддосили кремлин ру или большой банк, то напрягаться бы стали и хакера нашли бы скорее всего.
Когда я впервые столкнулся с ддосом, я был к этому не готов.
На сайте не было не какой защиты. У меня было мало знаний о том что с этим делать.
Мои сайты можно было заддосить очень просто.
Даже если бы 3 пользователя с быстрыми каналами зашли одновременно на тяжелую страницу сайта и положили тяжелый предмет на кнопку F5, то каждый из них отправлял бы по 20 запросов в секунду. В сумме это уже положило бы любой средний сайт.
Я считаю, что это косяк производителей браузеров, что при нажатии на F5 запросы повторяются со скоростью до 20 в секунду.
То есть любой школьник с друзьями может без всяких знаний завалить любой сайт, если на нем нет защиты от такого простейшего ддоса.
Когда ддос начался я пошел с жалобой в отдел К.
Дал им всю информацию.
Сообщил IP адрес с которого по моему мнению чаще всего работал хакер.
IP адрес московский.
Результат нулевой.
Они даже не проверили почему этот хакер выходит так часто с этого IP.
Оперативник не знал, что такое SSH.
Хотя ребята в отделе К хорошие и приятные в общении.
Посоветовали ставить мне хорошую защиту от ддос.
2 месяца потратил изучая администрирование, протокол TCP/IP, сокеты, с++, iptables.
В итоге написал софт, который обнаруживает ддос и блокирует.
Защита отрабатывает нормально, идущие ддос атаки уже не могут завалить сервер.
Боюсь что скоро установка антиддос софта станет актуальна для очень многих.
Так как школьники уже научились ддосить.
А большинство сайтов беззащитны даже перед элементарным ддосом.
Лучший вариант статические файлы отдавать с помощью nginx
Там есть функция настройки скорости отдачи и много других полезных функций.
К тому же нагрузка на сервер, при использовании nginx+apache, у вас будет ниже чем при использовании только апаче.
php файлы nginx будет передавать на обработку апачу на порт 127.0.0.1:8080
большинство ботов которые ко мне идут успешно ловятся пунктами 1,2,3.
Ставлю несколько лимитов с разными периодами времени на разные типы файлов.
Необходимости в жесткой настройке 4 пункта пока не было.
Но намой взгляд критерий 4 весьма полезный.
Ловить ботов установкой лимитов limit_conn/limit_req в nginx и последующим анализом файла error.log – тоже довольно удобно и эффективно.
Но у меня был написан свой анализатор логов. Который делает примерно тоже самое.
Мне им пользоваться удобнее. А в чем то он даже более гибкий для настройки чем установки лимитов в limit_conn/limit_req в nginx
Для поиска ддоса в логах nginx использую довольно много критериев.
Те IP которые не попадают под эти критерии, заносятся в фаервол.
Цифры лимитов, которые ниже приведены, указаны только для примера и настраиваются под конкретный сайт.
1. не более N одинаковых запросов за определенный промежуток времени с одного IP.
2. для каждого IP не более определенного числа разных запросов за минуту, за 3 минуты, за 10 минут.
3. для каждого IP не более определенного числа запросов к PHP файлам за минуту, за 3 минуты, за 10 минут.
4. каждый IP должен делать хотя бы 1 паузу в работе длиной 5 секунд в течении минуты. Длиной 20 секунд в течении 3 минут, Длиной 2 минуты в течении 10 минут. (например если за минуту не было ни одной 5 секундной паузы, то принимается решение, что это бот и банится)
5. Не более определенного числа запросов к несуществующим PHP файлам за промежуток времени.
6. Есть еще несколько особенностей работы ботов по которым их можно обнаружить, которые я раскрывать не хотел бы.
Выдача команды netstsat также анализируется.
Например если с какого то IP будет больше определенного количества коннектов, то то этот IP заносится в фаервол.
Пока этих правил мне хватает, что бы отбивать ддос.
Если боты пойдут более интеллектуальными и изощренными, то придется разрешать просмотр сайта только зарегистрированным посетителям и при регистрации и каждом логине просить пользователя вводить число с картинки. На каждого зарегистрированного посетителя выставлять лимиты на количество запросов за периоды времени.
Разобрался и установил на сервер nginx в качестве фронт енда.
Всем рекомендую его поставить.
Очень нужная вещь.
В данный момент реализовал такую защиту от ддоса.
Анализатор логов раз в минуту смотрит логии nginx и если находит в них ддос, то заносит IP ботов в фаервол.
Плюс раз в минуту анализируется выдача команды netstat. Если там обнаруживается ддос, то также банится фаерволом.
У меня анализатор логов и анализатор netstat самописный на С.
В принципе я им доволен, все что мне надо он делает довольно эффективно. (анализатор логов)
Если нужно, мне его не сложно доработать под новый вид анализа.
Вопрос 1.
Кто какими пользуется анализаторами логов для поиска ддос?
Самописными чаще или есть какие то хорошие и популярные программы для этого?
Вопрос 2
Какие еще есть подходы для борьбы с ддосом силами самого сервера? Кроме анализа логов вебсервера и анализа выдачи команды netstat ?
Наверное SSinger хочет сделать мошенничество с 3-мя кошельками.
1) договаривается с 2-мя разными людьми о обмене яд-вмр.
2) 1-му дает WMR кошелек 2-го.
3) 1-й переводит вмр 2-му с протекцией 120 дней.
4) 2-му сингер говорит, что это он перевел вмр.
5) 2-й переводит на кошелек сингера ЯД.
6) Сингер исчезает.
7) А потом два человека, начинают друг друга обвинять в кидке. Первый перевел вмр с протекцией 120 дней, 2-й перевел Яд не известно кому.
Старый прием, но красивый.
:)
Что за файл он прислал?
Можно посмотреть?
Перешлите мне его на емейл
xeanus (coбаka) bk.ru
Вообще, нельзя запускать файлы, которые вам кто то прислал, на том компьютере, на котором у вас есть кошельки вебмани, яндекс-деньги или любя секретная информация.
Даже если вы их проверите антивирусом, то нет гарантии, что в них нет вируса.
Антивирус ищет лишь известные вирусы.
Даже если прислал ваш знакомый, то он может не знать, что там вирус.
А еще лучше иметь 2 компьютера.
Один для работы и денежных расчетов, второй для запуска сомнительных файлов и хождения по сомнительным сайтам.
Купить старенький комп сейчас можно очень дешево.
