Сообщений в теме: 259

[Admin]

Утром  1 ноября Псковский форум pskovonline.ru подвергся массированной DDoS атаке.

Атака была с десятков тысяч зараженных вирусом компьютеров (ботнет). Это была профессиональная атака, которая стоит дорого (я не знаю кто оплачивал и почему проводил атаку).

По логам (21 Гб за время атаки) сервера начало атаки в 12:41:57. Первый заход с такой сессией в запросе был за 20-30 минут до атаки, из сев. каролины (130.185.156.117), причем в дальнейшем этот IP в атаке участия не принимал.

Сообщение отредактировал Admin: 04.11.2012 - 15:32

[Argentata]

бродяга (03.11.2012 - 14:43) писал:

как же я рад вас всех видеть!!

Присоединяюсь!

бродяга (03.11.2012 - 20:33) писал:

честно скажу , скучал, все порывался что нибудь написать

Аналогично

[Anton]

Музыкант (03.11.2012 - 20:33) писал:

Тебя спросили в 3 сообщениях, чтобы посмотреть твои знания... ты только ушел от темы...
И тебе уже 2 умных человека сказали, что ты ошибаешься... но ты стоишь на своем...
С одной стороны это правильно... надо отстаивать свою точку зрения... но с другой стороны - если не знаком с телеком областью, может не стоит?

не ну начало у него было правельным
при атаки спастись одному серверу не реально

но последствий можно избежать
самое главное не обрабатывать запросы
и делать автобан
через пару часов такая атака надоест, либо станет менее эффективной
притом она стоит денег
и явно оплата за часы

Жилинский (03.11.2012 - 20:36) писал:

Ты выдаешь желаемое за действительное. Незнание гАнтоном азов - печально. Это не делает чести Пскову.
Он же дос с ддосом путает, гребаный стыд.
И это... человек считающий себя трындец умным - это еще не умный человек Вы оба сильно себе льстите. Напоминаю, Антоше не осилить ПДД и правила форума. А они простые...

это он себе пишит? ))))))))))))))

[Музыкант]

Жилинский (03.11.2012 - 20:36) писал:

Ты выдаешь желаемое за действительное. Незнание гАнтоном азов - печально. Это не делает чести Пскову.
Он же дос с ддосом путает, гребаный стыд.
И это... человек считающий себя трындец умным - это еще не умный человек Вы оба сильно себе льстите.

Я не причисляю себя к умным... там другой человек подразумевался...

И перечисли тогда для меня разницу дос и ддос, а то я глупый, мало знающий...

[ворчун]

Я ваще подумал, что мне кислород перекрыли, всё думал-за что...

[Anton]

[Serginn]

С билайна не войти(

[Музыкант]

Anton (03.11.2012 - 21:37) писал:

прям для детей)) ОБЖ))

[Anton]

http://habrahabr.ru/post/149302/

ну почти что и я писал

[Konstantin]

Подумал я о защитах от такого рода атак:
вот как надо...
автоматически вести  список сетей с которых авторизуются пользователи... этот список назовем белым
как только есть подозрение на атаку автоматически фильт блокирует  сторонние сети

есть более жесткий вариант вести список ip адресов с которых входили атворизованные пользователи..... и в случае атаки  блокировать все остальные  ip жестко ... думаю за год база данных проверенных ip покроет 90% пользователей и в случае блокировки остальынх ip никто ничего не заметит ...

как вариантики?

[Russ]

Константин, вы мягко сказать невтеме, то что вы предлагаете находится на разных уровнях, а ддос атака лехко блокируется на самом низком уровне, на iptables, т.е. держатели сервака должны этим озаботиться.
Интересно, а как гуголь еще работает, его досят все кому не лень
С форумом наверное таки подсуетились власти, дабы не допустить беспорядков 4 числа, типа не успеют договориться, еще каких городов форумы падали?

[Konstantin]

Russ (04.11.2012 - 07:27) писал:

Константин, вы мягко сказать невтеме, то что вы предлагаете находится на разных уровнях, а ддос атака лехко блокируется на самом низком уровне, на iptables, т.е. держатели сервака должны этим озаботиться.
Интересно, а как гуголь еще работает, его досят все кому не лень
С форумом наверное таки подсуетились власти, дабы не допустить беспорядков 4 числа, типа не успеют договориться, еще каких городов форумы падали?

вот политику сюда не вмешавай .... все гораздо прозаичнее

[Anton]

Russ (04.11.2012 - 07:27) писал:

Константин, вы мягко сказать невтеме, то что вы предлагаете находится на разных уровнях, а ддос атака лехко блокируется на самом низком уровне, на iptables, т.е. держатели сервака должны этим озаботиться.
Интересно, а как гуголь еще работает, его досят все кому не лень
С форумом наверное таки подсуетились власти, дабы не допустить беспорядков 4 числа, типа не успеют договориться, еще каких городов форумы падали?

у гугла от ддоса
распределенная сеть серверов
которых уже около 1 миллиона
может больше уже
http://habrahabr.ru/post/91105/

+ CDN + кэширующие сервера + умный dns
который в зависимости от IP посылает на ближние сервера

далее по форуму, файрвол ему доступен
так что блокировать можно и нужно

[бродяга]

причина есть, но мы о ней никогда не узнаем

[Anton]

Konstantin (04.11.2012 - 06:00) писал:

Подумал я о защитах от такого рода атак:
вот как надо...
автоматически вести  список сетей с которых авторизуются пользователи... этот список назовем белым
как только есть подозрение на атаку автоматически фильт блокирует  сторонние сети

есть более жесткий вариант вести список ip адресов с которых входили атворизованные пользователи..... и в случае атаки  блокировать все остальные  ip жестко ... думаю за год база данных проверенных ip покроет 90% пользователей и в случае блокировки остальынх ip никто ничего не заметит ...

как вариантики?

а что делать если ты подцепил такого трояна? и стал частью ботнет
и как насчет динамических ip провайдера?
а еще не думал что один тип правил в файрволе это одно программное прерывание?

и если тупо писать то можно убить сервер обработкой этих правил?
блокировать надо весь нелегетивный трафик, ddos был http
так что анализировать логи апача и заносить эти плохие Ip

[Konstantin]

Anton (04.11.2012 - 08:51) писал:

а что делать если ты подцепил такого трояна? и стал частью ботнет
и как насчет динамических ip провайдера?
а еще не думал что один тип правил в файрволе это одно программное прерывание?

и если тупо писать то можно убить сервер обработкой этих правил?
блокировать надо весь нелегетивный трафик, ddos был http
так что анализировать логи апача и заносить эти плохие Ip

если я подцепил то согласись это немножко другое .. атака ботнета - это атака с внешнего трафика .... кстати инетерсно узнать были ли за мечены атаки из локальных сетей
так я ж говорю 2 уровня  один сетей другой  ip  согласен возможно кто то подпадет под раздачу не заслужено ... но это лучше  чем полный аут
дальше не понял про что ты

[Anton]

а как ты увидешь атаку из локальной сети?
локальные сети не маршрутизируются в инете
http://ru.wikipedia....

всегда будет какой то внешний IP

Konstantin (04.11.2012 - 08:59) писал:

если я подцепил то согласись это немножко другое .. атака ботнета - это атака с внешнего трафика .... кстати инетерсно узнать были ли за мечены атаки из локальных сетей
так я ж говорю 2 уровня  один сетей другой  ip  согласен возможно кто то подпадет под раздачу не заслужено ... но это лучше  чем полный аут
дальше не понял про что ты

решать админу
направление есть

с ddos можно и нужно бороться

решать админу
направление есть

[Konstantin]

Anton (04.11.2012 - 09:06) писал:

а как ты увидешь атаку из локальной сети?
локальные сети не маршрутизируются в инете
http://ru.wikipedia....����������_����

всегда будет какой то внешний IP


решать админу
направление есть

с ddos можно и нужно бороться

решать админу
направление есть

локальная сеть -  сеть локального региона .. ну псковские ..  так сказать целевая ацдитория.. а внешняя сеть - та которая может вообще нкиогда до этого ПоЛ не видела

[Anton]

локальной сети региона нету
и форуму который на западном хостинге все равно

постоянно проверять кто из провайдеров какой блок IP получил не очень вариант

нужно чтобы все работало автоматом
варианты есть, они все описаны

[Konstantin]

Anton (04.11.2012 - 09:16) писал:

локальной сети региона нету
и форуму который на западном хостинге все равно

постоянно проверять кто из провайдеров какой блок IP получил не очень вариант

нужно чтобы все работало автоматом
варианты есть, они все описаны

антон не тупи
атака на форум  приследовала цель что б те кто обычно заходят на форум не могли это сделать ...... соответвенно те ip адреса  с которых происходит авторизация ( вводится  логин пароль) можно смело  автоматом вносить в белый список
для этого увеличили  запросы с направлений которые раньше не обращалис к форуму ... соответвенно можно сделать фильтр и  включать его автоматом к примеру когда  нагрузка ( не важно какая: трафик проца или базы данных) автоматически в течении 15 минт превышет 80-90% от пиковой.....
и тут ничего не надо придумывать
никто не будет ломиться досить псковский сервер с компов псковского региона ... а если такие и попадут - то это еденицы.....
я не говорил локальная сеть региона я говорил сети локальные   -  это те стети , пользователи которых физически находятся на северозападе.... можно смело включать ip моблиьных операторов .. с их исходящими траифками не подосишь можно включать ростелеком можно включать провайдеров  эзернет пскова и лук + всяки шлак  типо датаком  и твмедиа....
просто до этого никто этим не занимался
что бы все работало автоматом - надо что б система была стабильна - стабильнаясистема - описаная в моей логике

[АннаПлотникова]

Надо не иметь врагов - тогда никто и атаковать не будет)