DDOS

[anhydrous]

Чтобы завершить картину: сегодня сайт работает нормально.

[omsknews]

%netstat -na|grep EST|wc -l
2848
%
а какой хостер не может фиьтрануть ваши 1К ?

Добавлено через 3 минуты

Цитата:

Сообщение от Ulf

D.iK.iJ, да толку от этого? от ping -f вреда будет больше ))

пинг минус эф сносит каналы конечно ж повеселее, но и отлавливается попроще чем шттптраф , банится месте с куском сетки при единственном тикете апстриму. обычно даже писать не нужно, многие на такое реагируют быстро и жестко

[amphibian]

anhydrous, желаю конечно, чтоб на этом у Вас все и закончилось, но из опыта, если Вас заказали, то не отвяжутся. У нас год назад с февраля по июнь шли атаки с небольшими перерывами. Хостеру по $1000 в месяц за предоставление фильтрующего оборудования платить тогда не могли. Приходилось фильтровать на своем серваке. На входе ставится быстрый сервачок nginx, который разбирает обращения и запихивает в бан IP'шники, с которых были обращения, подходящие под написанный заранее фильтр. Если запрос прошел дальше, то его уже Апач обрабатывал и отдавал саму запрошенную страницу. Т.о. удалось снизить нагрузку на сервер. Когда атака видоизменялась и сайт "ложился", смотрели логи, искали закономерности и писали новые фильтры для nginx. Таким образом, хоть и с тормозами и потерей до 30% посетителей, но все же работали и, что главное - индексировались поисковиками. Кошмарный был период, т.к. следить за развитием атаки приходилось круглосуточно.
Входящий трафик был на уровне 8Гб/с. Т.к. приходилось оплачивать трафик в случае его превышения по соотношению входящий/исходящий 1 к 4, то пришлось пойти на хитрость: в ответ на запросы из атаки, которые еще не банились по IP, отдавали текстовый блок размером неколько Мб. Т.о. удавалось сокращать суммы за набегающий входящий трафик.
При атаке главное пытаться сопротивляться, чтобы не лежать 100% времени, т.к. иначе можно будет считать атаку успешной. А если Вы сопротивляетесь, то заказчику приходится тратить бОльшие деньги и если он не будет добиваться полного успеха, то все мероприятие потеряет смысл.
Так что пока есть передышка, советую подготовиться, настроить соответствующим образом оборудование и потренироваться в написании фильтров.
Ну и удачи конечно. Лучше чтоб эта беда обходила стороной.

[vx777]

Цитата:

Сообщение от amphibian

anhydrous, желаю конечно, чтоб на этом у Вас все и закончилось, но из опыта, если Вас заказали, то не отвяжутся. У нас год назад с февраля по июнь шли атаки с небольшими перерывами. Хостеру по $1000 в месяц за предоставление фильтрующего оборудования платить тогда не могли. Приходилось фильтровать на своем серваке. На входе ставится быстрый сервачок nginx, который разбирает обращения и запихивает в бан IP'шники, с которых были обращения, подходящие под написанный заранее фильтр. Если запрос прошел дальше, то его уже Апач обрабатывал и отдавал саму запрошенную страницу. Т.о. удалось снизить нагрузку на сервер. Когда атака видоизменялась и сайт "ложился", смотрели логи, искали закономерности и писали новые фильтры для nginx. Таким образом, хоть и с тормозами и потерей до 30% посетителей, но все же работали и, что главное - индексировались поисковиками. Кошмарный был период, т.к. следить за развитием атаки приходилось круглосуточно.
Входящий трафик был на уровне 8Гб/с. Т.к. приходилось оплачивать трафик в случае его превышения по соотношению входящий/исходящий 1 к 4, то пришлось пойти на хитрость: в ответ на запросы из атаки, которые еще не банились по IP, отдавали текстовый блок размером неколько Мб. Т.о. удавалось сокращать суммы за набегающий входящий трафик.
При атаке главное пытаться сопротивляться, чтобы не лежать 100% времени, т.к. иначе можно будет считать атаку успешной. А если Вы сопротивляетесь, то заказчику приходится тратить бОльшие деньги и если он не будет добиваться полного успеха, то все мероприятие потеряет смысл.
Так что пока есть передышка, советую подготовиться, настроить соответствующим образом оборудование и потренироваться в написании фильтров.
Ну и удачи конечно. Лучше чтоб эта беда обходила стороной.

+1
freebsd 7.2 + sysctl + nginx + apache 2.2 на тредах + mod_dosevasive, заносящий ip в бан ipfw сетками по /24, и обычные ддосеры прекращают свои потуги

[Ht8kdl]

Немного оффа.

Цитата:

1. Одна человеческая клетка содержит 75Мб генетической информации
2. Один *****атозоид содержит 37.5Мб.
3. В одном миллилитре содержится около 100 млн *****атозоидов.
4. В среднем, эякуляция длится 5 секунд и составляет 2.25 мл сп ермы.
5. Таким образом, пропускная способность мужского члена будет равна:
(37.5Мб x 100M x 2.25)/5 = (37 500 000 байт/*****атозоид x 100 000 000 *****атозоид/мл x 2.25 мл) / 5 секунд = 1 687 500 000 000 000 байт/секунду = 1 687.5 Терабайт/с

Получается что женская яйцеклетка выдерживает эту DDoS–атаку на полтора терабайта в секунду, пропуская только один выбранный пакет данных и является самым офигенным в мире хардварным фаерволом...
Но тот один пакет, который она пропускает, ложит систему на 9 месяцев...

[vx777]

Цитата:

Сообщение от Ht8kdl

1. Одна человеческая клетка содержит 75Мб генетической информации
2. Один *****атозоид содержит 37.5Мб.
3. В одном миллилитре содержится около 100 млн *****атозоидов.
4. В среднем, эякуляция длится 5 секунд и составляет 2.25 мл сп ермы.
5. Таким образом, пропускная способность мужского члена будет равна:
(37.5Мб x 100M x 2.25)/5 = (37 500 000 байт/*****атозоид x 100 000 000 *****атозоид/мл x 2.25 мл) / 5 секунд = 1 687 500 000 000 000 байт/секунду = 1 687.5 Терабайт/с

Получается что женская яйцеклетка выдерживает эту DDoS–атаку на полтора терабайта в секунду, пропуская только один выбранный пакет данных и является самым офигенным в мире хардварным фаерволом...
Но тот один пакет, который она пропускает, ложит систему на 9 месяцев...

Я как раз пишу дипломную на тему ддос-атак, поставлю это вместо вступления

[D.iK.iJ]

Вот и чудненько.
Мне осталось только выбрать, что проще и дешевле:

- Подбирать пароль к сайту на WordPress;
- DDOSить его же;
- Искать дыры в безопасности.

Насолили мне, гады...

[Ulf]

D.iK.iJ, В wp дырки есть, думаю профессионалу не составит труда их найти.

omsknews, зачем сразу банить всю подсеть? ipfw add 10 deny icmp from any to me

[buble]

Цитата:

Сообщение от anhydrous

Не знаю, насколько это часто встречающаяся проблема - но у одного моего (немаленького) сайта она возникла - уже порядка пяти дней DDOS-ят по-полной - не продохнуть. Интересно, связано ли это с SAPE? Может быть, местные админы могут помочь "курице, несущей золотые яйца"? Один этот сайт (по моим оценкам) приносит SAPE до 1000 уе в месяц. Я так понимаю, если DDOS будет продолжаться, то - увы, ссылки тоже слетят. Сам я, само собой, не потяну. У SAPE же эти проблемы встречались уже, как мы все видели.

Не слабо зашибаешь!!!