- Поисковые системы
- Практика оптимизации
- Трафик для сайтов
- Монетизация сайтов
- Сайтостроение
- Социальный Маркетинг
- Общение профессионалов
- Биржа и продажа
- Финансовые объявления
- Работа на постоянной основе
- Сайты - покупка, продажа
- Соцсети: страницы, группы, приложения
- Сайты без доменов
- Трафик, тизерная и баннерная реклама
- Продажа, оценка, регистрация доменов
- Ссылки - обмен, покупка, продажа
- Программы и скрипты
- Размещение статей
- Инфопродукты
- Прочие цифровые товары
- Работа и услуги для вебмастера
- Оптимизация, продвижение и аудит
- Ведение рекламных кампаний
- Услуги в области SMM
- Программирование
- Администрирование серверов и сайтов
- Прокси, ВПН, анонимайзеры, IP
- Платное обучение, вебинары
- Регистрация в каталогах
- Копирайтинг, переводы
- Дизайн
- Usability: консультации и аудит
- Изготовление сайтов
- Наполнение сайтов
- Прочие услуги
- Не про работу
VK приобрела 70% в структуре компании-разработчика red_mad_robot
Которая участвовала в создании RuStore
Оксана Мамчуева
Что делать, если ваша email-рассылка попала в спам
10 распространенных причин и решений
Екатерина Ткаченко
Авторизуйтесь или зарегистрируйтесь, чтобы оставить комментарий
Для тех кто не в курсе это вал отраженных SYN-ASK пакетов.
Здесь с цензурой:
http://www.slideshare.net/Prolexic/prolexic-analysisofsynreflectionddosdrdosattacks
Без цензуры прямо у пролексика на сайте, только придется зарегинится.
Там у них же и ненавязчивая рекламка, как ее заказать.
Собственно DDOS началась через месяц, как не договорились об их крыше. Нереально дорого.
И на следующий день после начала атаки их продаван о наc вспомнил. Типа хаваю дуинг.
Типа такой пендосский рекет.
Пока нашел только одно средство:
-A PREROUTING -d XXX.XXX.XXX.XXX/32 -p tcp -m tcp --sport 80 -j DROP
-A PREROUTING -d XXX.XXX.XXX.XXX/32 -p tcp -m tcp --sport 443 -j DROP
Одна проблема сам себе защелкнул update такой конструкцией. А еще лепить отдельно Squid это не наши методы.
Паттерны не работают, поскольку валит с разных серверов.
У кого какие есть идеи?
Паттерны не работают, поскольку валит с разных серверов.
У кого какие есть идеи?
попробуйте cloudflare.com на бесплатном тарифе
попробуйте cloudflare.com на бесплатном тарифе
И видео тоже:)
Сайт за бизнес cloudflare. Туда даже не пытаются соватся.
Еще скажите поставить рутер, взть автономку, /24 адресов и сдатся пролексику.:)
От теперь фиг вам. Лучше сквид рядом поставлю и буду через него ходить.
Ну вы же понимаете, что дело не столько в syn reflection, а в том объеме трафика, который этот способ усиления атаки генерирует ?
Формально, не принимая во внимание объем трафика, вы нашли решение и неплохое. Пожалуй, можно бы соорудить правила iptables, которые будут все-таки разрешать настоящие исходящие соединения с сервера на 80 порт других сайтов, но ведь это же все равно не решит проблему объема входящего трафика. Увидят, что сайт работает и подадут еще больше.
Ну вы же понимаете, что дело не столько в syn reflection, а в том объеме трафика, который этот способ усиления атаки генерирует ?
Формально, не принимая во внимание объем трафика, вы нашли решение и неплохое. Пожалуй, можно бы соорудить правила iptables, которые будут все-таки разрешать настоящие исходящие соединения с сервера на 80 порт других сайтов, но ведь это же все равно не решит проблему объема входящего трафика. Увидят, что сайт работает и подадут еще больше.
Больше врядли. Правда пришлось вытянуть на свет божий все бакап сервера. Холодные, горячие..
Ну, допустим объем трафика таков, что и каналы и роутеры и сервер способны все переварить.
Тогда, насколько я понимаю ситуацию, в iptables подобные пакеты классифицируются с помощью conntrack и потом их можно выделить с помощью аргумента -m state INVALID . Сервер-то знает какие соединения он на самом деле открывал.
Вот и попробуйте отбросить их и расскажите что получится.
Ну, допустим объем трафика таков, что и каналы и роутеры и сервер способны все переварить.
Тогда, насколько я понимаю ситуацию, в iptables подобные пакеты классифицируются с помощью conntrack и потом их можно выделить с помощью аргумента -m state INVALID . Сервер-то знает какие соединения он на самом деле открывал.
Вот и попробуйте отбросить их и расскажите что получится.
Собственно атака закончилась. 144 часа боевых действий ...
Нюансы сначала написал, потом стер, хз кто читает.
Но не так как вы предлагаете. То тоже перепробовано. Это смерть на миллионах пакетов :)
Ну таки получалось держать рабочий сервер на E3 камне и 10G картой под атакой TCP мусором до 5-5.5 mpps. Дальше уже idle уходит в 0.
Тему можно закрывать. Пока.
Но не так как вы предлагаете. То тоже перепробовано. Это смерть на миллионах пакетов
Я это предложил после того как вы решили, что squid вам держать слишком накладно.
Разумеется, правило и conntrack вообще только усложняет обработку входящих пакетов. Желательно модуль conntrack не подгружать и обойтись простым правилом, какое и было первоначально.
Я это предложил после того как вы решили, что squid вам держать слишком накладно.
Разумеется, правило и conntrack вообще только усложняет обработку входящих пакетов. Желательно модуль conntrack не подгружать и обойтись простым правилом, какое и было первоначально.
Нашел решение в RTFM
http://www.linuxtopia.org/Linux_Firewall_iptables/x6231.html
Стыдно до нельзя. Называется все учим матчасть.
Причем решение предусматривает посылку RST жертвам. То есть еще и не будут заваливать арбузами. и размер наведенной атаки уменьшается в шесть раза для линукс жертв с дефолтным TCP. !!!!
То есть рекомендую к обязательному применению всем на frontend серверах.
Далеко не в 6. Помогает но не так эффективно как хотелось бы.
p.s. из практики.
может кто подсказать, как забанить 40000 ip из ботнета?
iptables не пашет, cloudfare c pro - снимают с поддержки
траффик - под 170Мбит.