- Поисковые системы
- Практика оптимизации
- Трафик для сайтов
- Монетизация сайтов
- Сайтостроение
- Социальный Маркетинг
- Общение профессионалов
- Биржа и продажа
- Финансовые объявления
- Работа на постоянной основе
- Сайты - покупка, продажа
- Соцсети: страницы, группы, приложения
- Сайты без доменов
- Трафик, тизерная и баннерная реклама
- Продажа, оценка, регистрация доменов
- Ссылки - обмен, покупка, продажа
- Программы и скрипты
- Размещение статей
- Инфопродукты
- Прочие цифровые товары
- Работа и услуги для вебмастера
- Оптимизация, продвижение и аудит
- Ведение рекламных кампаний
- Услуги в области SMM
- Программирование
- Администрирование серверов и сайтов
- Прокси, ВПН, анонимайзеры, IP
- Платное обучение, вебинары
- Регистрация в каталогах
- Копирайтинг, переводы
- Дизайн
- Usability: консультации и аудит
- Изготовление сайтов
- Наполнение сайтов
- Прочие услуги
- Не про работу
Все что нужно знать о DDоS-атаках грамотному менеджеру
И как реагировать на "пожар", когда неизвестно, где хранятся "огнетушители
Антон Никонов
Авторизуйтесь или зарегистрируйтесь, чтобы оставить комментарий
В этом ничего не понимаю, у знакомого ддосили сайт (региональный новостной сайт), попросил мнение спецов. Короче, мопед не мой, я просто разместил объяву.
Статистика примерно такая: 180 тысяч запросов на главную страницу за 5 минут.
80% запросов пришло с юзер-агентом типа "WordPress/<версия вордпресс> <адрес сайта>". Для большей части из них, но далеко не для всех, ещё и приписка "verifying pingback from <чей-то айпишник>".
Всего уникальных адресов сайтов около 150, 170 уникальных ip. В пингбеках уникальных айпишников всего чуть больше 40.
Вперемежку также шли запросы с нормальными браузерными юзер-агентами - 20% от общего количества запросов и 1300 уникальных ip.
Так же почти три десятка запросов с юзер-агентом "ConBot" с одинакового айпишника 184.168.27.80. Вероятно, это какой-то тестовый бот сервиса, который смотрит, навернулся сайт или ещё нет. Погуглил, нихрена про это не нашел.
В общем интересно мнение, что это вообще могло быть.
Я человек малообразованный, для меня ddos, это шоб сайт упал и лежал максимально долго. Какие ещё могут быть цели у такой атаки? Почему всего 5 минут? Возможно, конечно, что за эти пять минут хостер так анально огородился, что продолжать смысла уже не было. Но по логам, к которым у меня есть доступ, почти секунда в секунду пять минут. Похоже, что так и планировалось.
По идее должны были быть ссылки с параметрами, чтобы сервер не отдавал кэш, а генерировал страницу каждый раз. Но нет, все запросы без параметров. Он у меня при такой нагрузке на недорогом шареде с полминуты работал прежде чем навернуться.
У меня стойкое ощущение, что атаку делал какой-то ламбух или цель была не положить сайт. За ламбуха говорит то, что почти сразу после начала атаки была запущена проверка сайта на доступность на сервисе check-host.net У меня даже ссылка на отчет есть. Непричастный вряд ли бы запустил тест так быстро, тем более что между падением сервера и первым тестовым запросом прошло около 10 секунд. А умный бы так не палился.
Последний вопрос, может у кого опыт есть, стоит ли пытаться просить в сервисе данные потенциального злодея? Как это правильно сделать, чтоб не послали?
Всем заранее спасибо.
Это не ddos. Но ему конечно виднее :)
Это не ddos. Но ему конечно виднее :)
А что тогда?
600 запросов в сек. - ддос :)))))))))))
Это рабочий трафик сайта с посещаемостью порядка 50.000 юзеров в день
Кто -то тестировал свой ботнет на первом попавшемся сайте и это был ваш сайт.
600 запросов в сек. - ддос :)))))))))))
Это рабочий трафик сайта с посещаемостью порядка 50.000 юзеров в день
Кто -то тестировал свой ботнет на первом попавшемся сайте и это был ваш сайт.
То есть скорей всего злого умысла не было, а просто под руку подвернулся типа?
Махмуд Аббас, Самый лёгкий вид доса от школотищи
Сложно назвать это досом :) Но дело известное, называется атакой пингбэками (pingback attack). Самый просто вариант - было заряжено что-то типа Хрумера и размещены ссылки в статьях на сайт жертвы на н-ом количестве блогов, далее уведомления с доноров пошли на блог жертвы и каждый раз начиналась загрузка статьи блогом жертвы (независимо от ее размера), в которой была ссылка.
Дальше больше :) Веселый вариант схемы заключается в отсылке поддельных пингбэков на н-ое количество блогов (в этом случае запрос идет якобы от блога жертвы о размещенной ссылки в статье, которой на самом деле нет), после этого все эти блоги начинают посылать запрос на блог жертвы в попытке скачать статью (reflection). При этом запрос мы можем слать от реально существующей и большой статьи, где якобы есть ссылка. Поэтому каждый раз эта большая статья будет скачиваться блогом, которому пришел пингбэк (amplification).
Атака довольно примитивная и на пакетном уровне блокируется весьма просто. Во-первых, везде будет общий User-Agent (Wordpress), во-вторых, каждый раз в заголовок будет вставляться “X-Pingback-Forwarded-For”. Просто блокируем эти пакеты.
Можно в принципе вырубить механизм пингбэков (XML-RPC). Вставьте данный код в .htaccess:
Ну или еще проще, воспользоваться плагином: https://wordpress.org/plugins/disable-xml-rpc-pingback/
Юзерагент Wordpress забанить, он не нужеен.
Юзерагент Wordpress забанить, он не нужеен.
Если в Wordpress используется функционал отложенных публикаций, то WP-шный крон делает это с юзерагентом Wordpress, так что если просто так по юзерагенту забанить, то отвалится это. Более умно надо банить, с учётом IP или др. признаков.
Да, это одна из простых, распространенных и довольно старых видов ддос атак.
Какие ещё могут быть цели у такой атаки?
Ситуации бывают разные, но некоторым сайтам хватает и коротких атак.