|
| |
|
|
| |
для: cheops
(17.10.2007 в 14:08)
| | | >Никто сейчас не собирает бот-сети самостоятельно - их покупают. Потеряет силу эта бот-сеть - купит другую.
Ну, это не суть того, что я имел в виду. Скажем, владелец бот-сети, он же заинтересован
не терять возможности. Так как сеть вероятно сдаётся в аренду всё-таки, а не покупается.
Он не захочет эксплуатировать её слишком долго без толу. Поищет другую жертву.
>Причём атака идёт не с серверов, а с пользовательских машин с широкополосным интернетом, пользователи которых не устанавливают FireWall, обновления и ативирус - даже если Windows переустановят - через пять минут после выхода в сеть, они опять будут в бот-сети - это неисчерпаемый ресурс.
Тут я не знаю деталей, может быть что-то не так написал. Во-первых что такое широкополосный Интернет? Во-вторых, недавно у двух своих знакомых ставил фаерволы. Попутно сканировал на вирусы. Ничего не нашёл. Хотя чаще бывает, что находишь. Но они уже месяц в интернете, а всё без вирусов и без фаервола! Так что через пять минут заражение не происходит.
>
>>Может не вытянуть нагрузки.
>Если ресурс валится, дополнительный SQL-запрос никак не увеличит производительности
Вот с этим мне трудно согласиться. Дело не в одном SQL запросе, хотя и он "весит" очень много по сравнению с обращением к ячейке памяти или даже массива.
Если атака заставляет запускать PHP скрипт, то уже это откусывает много памяти под
копию интерпретатора, которая грузится для каждого скрипта индивидуально. Так можно очень быстро переполнить оперативку. Если начнётся своппинг - сайт будет лежать.
А вот если фильтрацией займётся модуль Apachy, затраты его ресурсов на каждый отклоняемый им запрос будут мизерные. Современный комп обработает их десятки тысяч в секунду. Если, конечно, информация об отклоняемых IP будет храниться в оперативной памяти.
>- на самом деле всё фиксируется и так - в журнальных файлах Apache - их и следует анализировать.
>
Чтобы анализироавть эти журналы надо иметь семь пядей во лбу - они огромные и их долго не хранят. Надо специальный анализатор к ним.
>Синтаксис файла .htaccess описывается в статье по ссылке.
Да, да, там написано:
deny from 195.135.232.70
но это и в любом справочнике написано.
Несколько вопросов возникает как писать если адресов много?
Можно ли указать remote address ? Итп. | |
| |
|
|
| |
|
|
| |
для: Eugene77
(16.10.2007 в 18:50)
| | | >Во-первых он не может атаковать неограниченно по времени. Админы атакующих серверов
>рано или поздно заметят странности в логах. И он начнёт утрачивать широту своего атакующего
>фронта.
Никто сейчас не собирает бот-сети самостоятельно - их покупают. Потеряет силу эта бот-сеть - купит другую. Причём атака идёт не с серверов, а с пользовательских машин с широкополосным интернетом, пользователи которых не устанавливают FireWall, обновления и ативирус - даже если Windows переустановят - через пять минут после выхода в сеть, они опять будут в бот-сети - это неисчерпаемый ресурс.
>Может не вытянуть нагрузки.
Если ресурс валится, дополнительный SQL-запрос никак не увеличит производительности - на самом деле всё фиксируется и так - в журнальных файлах Apache - их и следует анализировать.
>Сам я не возьмусь сейчас написать скриптик, который добавлял бы запрещённые
>IP в htaccess - не достаточно ориентируюсь в синтаксисе.
Синтаксис файла .htaccess описывается в статье по ссылке. | |
| |
|
|
| |
|
|
| |
для: Eugene77
(16.10.2007 в 18:50)
| | | Во-вторых через сервис whois (на этом форуме вы найдёте подробности)
можно организовать рассылку почтовых уведомлений админам тех серверов,
которые участвуют в атаке. Желательно, конечно в каждом письме указывать
причину по которой вы считаете этот сервер участвующим в DDOS. Админы
не проявившие достаточной поспешности или квалификации могут ведь попасть в чёрный список. Вы ведь вполне можете опубликовать список атаковавших вас IP, скажем на этом
форуме.
В-третьих, надо знать своё слабое место.
Скорее всего на PHP хостинге - это маленький объём оперативной памяти.
HTML хостинг практически невозможно уложить DDOS атакой. Так как каждый запрс занимает крохотную долю ресурса памяти, да и времени.
Так что увеличив память, если это ваш сервер и итдав контроль за атакой Apachy,
вы станете практически неуязвимы.
Пишите, как дальше развиваются у вас события! | |
| |
|
|
| |
|
|
| |
для: Blizard
(14.10.2007 в 21:23)
| | | Кроме разнообразных мер организационного характера, мне кажется стоит организовать
и на програмном уровне максимально эффективную оборону. Надо помнить, что не все козыри на его стороне.
Во-первых он не может атаковать неограниченно по времени. Админы атакующих серверов
рано или поздно заметят странности в логах. И он начнёт утрачивать широту своего атакующего фронта.
Наиболее эффективно, если выступать с позиции простого PHP программиста, будет банить
IP через .htaccess. То есть ещё на уровне сервера. Так бан выйдет очень быстрый и ресурсов атакующего может не хватить, чтобы положить сайт. Если же писать адреса в базу, то бан получится медленный. Может не вытянуть нагрузки.
Сам я не возьмусь сейчас написать скриптик, который добавлял бы запрещённые
IP в htaccess - не достаточно ориентируюсь в синтаксисе.
Давайте попросим кого-то из веб-мастеров написать такой скрипт, который добавляет
IP адреса, выявленные как участвующие в DDOS атаке в htaccess
Потом после атаки сотрёте его, а копию сохраните на случай повторной атаки.
Устанут с вами бороться! | |
| |
|
|
| |
|
|
| |
для: Blizard
(14.10.2007 в 21:23)
| | | А что атакуют? Не СУБД? | |
| |
|
|
| |
|
|
| |
для: Blizard
(14.10.2007 в 23:08)
| | | >я уже за день столько инфы прочитал про ддос атаки а как с ними бороться никто
>толком и не знает ((
Анализ логов Web-сервера (странно, что тех-поддрежка ничего не видит в логах - либо он не через DDos действует, либо им не больно это надо), но скорее всего дело не только в DDos-атаках. | |
| |
|
|
| |
|
|
| |
для: sim5
(14.10.2007 в 23:40)
| | | >DDOS атака вещь серьезная, при правильной ее постановке, можно "завалить" сервер, а
>дальше... Хостеру надо о таких вещах беспокоиться, ну а вам знать, что кроме "откупа" есть еще
>и уголовно-правовые меры.
Сейчас сервера строятся так, что валится лишь виртуальный хост - сам сервер и остальные виртуальные хосты продолжают работать. | |
| |
|
|
| |
|
|
| |
для: Blizard
(14.10.2007 в 21:23)
| | | >И в логах никаких ошибок нету.
Нет ли многочисленных обращений с одних и тех же IP-адресов странного вида? | |
| |
|
|
| |
|
|
| |
для: coloboc66
(14.10.2007 в 22:43)
| | | >Я читал, что хороший хостинг с мощным сервером не может положить никакая DDos-атака.
Хостинг да, но не сайт - хороший хостинг - это когда DDos-атака ложит лишь атакуемый сайт, но не весь хостинг.
>А вид борьбы с DDos один: мощный сервер.
Не совсем так - следует читать логи и банить всех подряд, после атаки восстанавливать забанненые адреса, оставляя их на всякий случай - до тех пор, пока атакующему не надоест или не появятся новые объекты атаки.
PS Однако, на DDos-атаку не больно похоже судя по описанию. | |
| |
|
|
| |
|
|
| |
для: Blizard
(14.10.2007 в 23:08)
| | | Банить айпи атакующих, думаю если сильный ДДОС, то их будет за пару сотен. | |
| |
|
|
|
