Сообщений в теме: 259

[Admin]

Утром  1 ноября Псковский форум pskovonline.ru подвергся массированной DDoS атаке.

Атака была с десятков тысяч зараженных вирусом компьютеров (ботнет). Это была профессиональная атака, которая стоит дорого (я не знаю кто оплачивал и почему проводил атаку).

По логам (21 Гб за время атаки) сервера начало атаки в 12:41:57. Первый заход с такой сессией в запросе был за 20-30 минут до атаки, из сев. каролины (130.185.156.117), причем в дальнейшем этот IP в атаке участия не принимал.

Сообщение отредактировал Admin: 04.11.2012 - 15:32

[Anton]

константин

он админ а не программер
там нужно писать парсер логов, либо свою вставку делать в движок форума

конечно я не знаю его уровня
но задачу которую ты описываешь она не такая простая как тебе кажется

[Konstantin]

АннаПлотникова (04.11.2012 - 09:27) писал:

Надо не иметь врагов - тогда никто и атаковать не будет)

и быть как все и плыть как все
ни дома ни друзей ни врагов...

Anton (04.11.2012 - 09:28) писал:

константин

он админ а не программер
там нужно писать парсер логов, либо свою вставку делать в движок форума

конечно я не знаю его уровня
но задачу которую ты описываешь она не такая простая как тебе кажется

но это единственный правильный подход.... подругому  только ручками. и скорее всего, поскольку он единственный правильный то должны быть и готовые решения

Anton (04.11.2012 - 09:28) писал:

константин

он админ а не программер
там нужно писать парсер логов, либо свою вставку делать в движок форума

конечно я не знаю его уровня
но задачу которую ты описываешь она не такая простая как тебе кажется

погоди какая вставка в код? форум тут непричем из форума нужно только транслировать ip с которых была авторизация..... это имхо элементарно.... а дальше полученый список подсовывать в фильт уже фэйрвола

[Anton]

далее
тогда будет куда намного проще занести IP псковских провайдеров
так как к примеру у меня динамический ip и вариантов моего IP  32 тыщи
если глупо по одному Ip заносить, программное прерываение может сожрать все ресурсы
нужна будет оптимизация правил

а чтобы отбить атака, достаточно заносить Ip атакующих
которых будет намного меньше чем если заносить по одному Ip тех кто находится на форуме

Konstantin (04.11.2012 - 09:31) писал:

погоди какая вставка в код? форум тут непричем из форума нужно только транслировать ip с которых была авторизация..... это имхо элементарно.... а дальше полученый список подсовывать в фильт уже фэйрвола

как это форум не причем?
нужно после авторизации код передать стороннему скрипту для добавления в файрвол

админ это  тот кто настраивает по документации то что уже есть

по этому не зная уровня владельца сайта
я предлагаю то что можно уже прикрутить без написания своего кода

[Konstantin]

Anton (04.11.2012 - 09:34) писал:

далее
тогда будет куда намного проще занести IP псковских провайдеров
так как к примеру у меня динамический ip и вариантов моего IP  32 тыщи
если глупо по одному Ip заносить, программное прерываение может сожрать все ресурсы
нужна будет оптимизация правил

а чтобы отбить атака, достаточно заносить Ip атакующих
которых будет намного меньше чем если заносить по одному Ip тех кто находится на форуме


как это форум не причем?
нужно после авторизации код передать стороннему скрипту для добавления в файрвол

ну я как бы первый варинт и предлогал что заносить не ip а подсети с которых проходила авторизация... но как ты понимаешь это можно обойти атовризовавшись с каждой подсети по разу... а вот ip не обойдешь...)))
динамических вариантов у тебя много .. но  согласись они не случайны и  даже больше к примеру у тебя PL если  тебе дали  девственный ip который у тебя ниразу не был то высока  вероятность того что до тебя ( тот кому этот ip был присовен ранее) кто то хоть раз заходил с него на форум
ip всех кто пишет на форуме - сохраняются в БД  думаю как и тех кто авторизуется..... запрос к БД с выгрузкой этого списка не так сложно
ps
я и говорил что надо делать 2 уровня фильтров 1 по  диапазонам, второй если этого не достаточно закрываться от всех по ip  ...
по поводу ресурсов  сервера .... то их проще добавить и думаю чем разширить канал к тому же думаю их на современных серваках с избытком

если извращатсья далее то к примеру можно как только какой то подсети из 256 айпишников на сервере засветилось более 100 смело добавлять весь диапазон...так со временем останется несколкьо диапазонов ( а может и сетей) + конечное количечсто ip адресов из внешних сетей

[Anton]

давай тогда vpn поднимем на серваке с форумом
и доступ только через впн?
об этом я и писал
это уже самодурство
есть намного проще и изящнее решения

еще пару ddos и оттюнит систему чтобы работала автоматом
ну а если ничего не делать, то будет все так
хотя тоже никакой катастрофы не было

[Konstantin]

Anton (04.11.2012 - 09:44) писал:

давай тогда vpn поднимем на серваке с форумом
и доступ только через впн?
об этом я и писал
это уже самодурство
есть намного проще и изящнее решения

еще пару ddos и оттюнит систему чтобы работала автоматом
ну а если ничего не делать, то будет все так
хотя тоже никакой катастрофы не было

ну можно конечно тупо  банить тех кто выпадет из нормальной активности как по трафику так и по обращениям к скриптам

[Admin]

Не надо ругаться в теме и оскорблять друг друга. Банить я никого не хочу, прошу воздержаться от взаимных оскорблений.

Новый сервер нам подключили. С небольшой задержкой, зато он еще круче, чем обещали.
Во время переезда (надеюсь, сегодня) форум будет некоторое бремя недоступен.

По поводу атаки: атака была на сервер, не на канал. Валили через запросы к поиску по форуму, что логично (поиск для гостей уже отключен и больше работать не будет).

Основная проблема была не в атаке, а в реакции хостера на эту атаку.

Если бы не бюрократические преграды хостера, форум вернулся бы в строй гораздо раньше.

[Anton]

для этого уже есть бесплатный софт
только настроить

[Konstantin]

Admin (04.11.2012 - 10:04) писал:

Новый сервер нам подключили. С небольшой задержкой, зато он еще круче, чем обещали.

это к лучшему!
так для проянения.. валили  движок форума а завалили весь сервер.... не понимаю... почему тогда хостер отрубли сервак если  канал не был загружен...  хочтеру то какое дело до того что сервак  на 100% загружен.....

может ты там винраром что-нибудь жмешь ...

[Anton]

если разом сделать 10к поисковых запросов
то можно ушатать 100% ресурсов

если не заметил, даже для своих поиск идет с тормозами в праймтайм

Сообщение отредактировал Anton: 04.11.2012 - 10:14

[Konstantin]

Anton (04.11.2012 - 10:13) писал:

если разом сделать 10к поисковых запросов
то можно ушатать 100% ресурсов

если не заметил, даже для своих поиск идет с тормозами в праймтайм

поиск по базе данных - слабое место любого сервиса, хотя вконтакте как то с этим справляются

[Admin]

Konstantin (04.11.2012 - 10:10) писал:

не понимаю... почему тогда хостер отрубли сервак если  канал не был загружен...

Они всегда так делают

[Anton]

ЗЫ отключения поиска
не спасет движок от других инъекций
будут перебирать пока не найдут самый ресурсоемкий запрос
и будет тоже самое

[Konstantin]

Admin (04.11.2012 - 10:16) писал:

Они всегда так делают

политика пратии.. поянтно, с другой стороны праввильно - зачем держать клиентов, которых ддосят .. . еслиможно продавать места визиткам и не парится

Anton (04.11.2012 - 10:16) писал:

ЗЫ отключения поиска
не спасет движок от других инъекций
будут перебирать пока не найдут самый ресурсоемкий запрос
и будет тоже самое

а есть что нибудь ресурсоемкое  чем поиск по базе данных?

[Admin]

Anton (04.11.2012 - 10:16) писал:

ЗЫ отключения поиска
не спасет движок от других инъекций
будут перебирать пока не найдут самый ресурсоемкий запрос
и будет тоже самое

Будет, но это фигня. Главное, чтобы если сервер отрубают, у админа оставался к нему доступ, для возможности  внести изменения или хоть архивы скачать.
Атака стоит дорого и вечно ее проводить не будут, а временно форум может и с доступом только из сетей псковских провайдеров поработать.

Повторюсь, проблема была в том, что получения для доступа пришлось два дня переписываться с техподдержкой, регулярно отправляя им сканы бумажных заявлений и объяснительных с подписью. Каждого ответа от службы поддержки приходилось ждать от 2 до 5 часов (!). При звонках в англоговорящую поддержку в Германию, ответы типа "видим письмо, в порядке очереди, ждите ответа". В последний день в переписке участвовало 4 или 5 разных работников поддержки.

[Konstantin]

сам спросил - сам ответил: сортировка .... но такой функции вроде нет!

[Wolf]

Вас всех не зае......ло это обсуждать? технические термины с говорящими в свою тему (только Константина не пускать, а то все опустит)

[Russ]

А зазеркалить на Плайн к Антону?

[Admin]

Через несколько минут форум отключится. Начинаем переезд.

[Anton]

Russ (04.11.2012 - 11:19) писал:

А зазеркалить на Плайн к Антону?

у mysql есть репликация
но это значит что вторая база будет только для чтения
кому нужен такой форум?
только что будет дубль полноценный

лучше просто к нам перенести
притом 70% псковского трафика у нас в пиринге