Активные методы борьбы с DDOS атаками

Тема в разделе "Администрирование серверов", создана пользователем denya, 3 июл 2013.

  1. denya

    denya

    Регистрация:
    2 мар 2013
    Сообщения:
    129
    Симпатии:
    35
    Пришел тот день, когда я обнаружил, что сайт стал недоступен. :cry: В течении короткого времени по логам апача определили, что идет DDOS атака. Магазин лежал около 3 часов, пока смогли принять меры по борьбе. Сейчас атаки продолжаются, но не создают серьезную нагрузку на сервер. И вот мы подобрались к вопросу:
    какие активные методы борьбы с атакующими существуют (когда мы уже защитились)? Что можно предпринять дополнительно: уведомить провайдеров с чьих IP атакуют и т.д.? Делитесь у кого есть опыт.
     
  2. $iD

    $iD Команда форума

    Регистрация:
    13 мар 2012
    Сообщения:
    3.350
    Симпатии:
    1.378
    особо нечего и делать, кроме как написать провайдерам, но это скорее всего ничем не поможет :Smile: Так что, просто отбиться и молчать.
     
  3. alex_storm

    alex_storm дизайн, CSS Команда форума

    Регистрация:
    11 дек 2012
    Сообщения:
    1.120
    Симпатии:
    560
    Я бы предложил вычислить чувака, который сделал атаку и набить лицо. Это будет самая активная защита.
     
    denya и cobalt нравится это.
  4. denya

    denya

    Регистрация:
    2 мар 2013
    Сообщения:
    129
    Симпатии:
    35
    Есть методы вычисления чувака?
    Упорный чувак попался: сайт не тупит уже 3 день, а он все атакует :smile: Ночью правда отдыхает )))
     
  5. $iD

    $iD Команда форума

    Регистрация:
    13 мар 2012
    Сообщения:
    3.350
    Симпатии:
    1.378
    только если поймать его инфицированный файл и смотреть откуда к нему стучаться будут) тогда можно вычислить ip/хостинг откуда приходят команды и закрыть его.
     
  6. SergAgent

    SergAgent

    Регистрация:
    6 фев 2013
    Сообщения:
    119
    Симпатии:
    3
    вот наше сайт с бесплатной защитой от дос атаки

    кто что думает?
     
  7. kolyaya

    kolyaya

    Регистрация:
    20 июл 2013
    Сообщения:
    9
    Симпатии:
    3
    Оставь пока для доступа диапозон подсетей откуда идет основной поток клиентов. Уведоми всех по E-mail, что бы не потерять постоянных клиентов. Может Ваш злобный хакер посмотрит что все тихо и успокоиться.
    А вообще должна техподдержка помочь, если не помогает ищи нормального хостера.

    Ну смотри условия бесплатного подключения.
    * Бесплатная защита предоставляется за размещение ссылки с Вашего сайта при Яндекс тИЦ сайта выше 100, Google PR более 2.
     
  8. denya

    denya

    Регистрация:
    2 мар 2013
    Сообщения:
    129
    Симпатии:
    35
    Бесплатно в рамках тарифного плана отказывались помогать :smile: Был выделенный сервер в Германии, так они плакались, чтобы мы им канал забиваем предлагали либо решать проблему, либо съезжать. Заказали сторонний сервис фильтрации трафика ибо входящий был около 60 Мбит.
     
  9. Master provectus

    Master provectus

    Регистрация:
    26 июл 2013
    Сообщения:
    18
    Симпатии:
    3
    На Hetzner похоже, у них инструкции по которым есть количество соединений в секунду выше которых подниматься нельзя. Тут два варианта защиты, либо методом Blackhole, либо фильтрационный(т.е. промежуточный сервер) ставить.
    В случае с Hetzner, то там без вариантов, сервер будут вырубать ваш, если вы фильтрационный сервер только не поставите.
     
  10. gemboy

    gemboy

    Регистрация:
    31 авг 2013
    Сообщения:
    5
    Симпатии:
    1
    Уже пережили 3-и DDOS атаки.
    Искать кого-то бесполезно. Пакеты шли с Малазии, Таджикистана и так далее. В системе наблюдали более 40 тыс. коннектов, но сервер работал нормально.
    В первый раз, когда пошла атака, на быструю руку что-то придумать не удалось и просто отрубили зарубежный трафик (сервер в Украинском дата-центре был, клиенты в основном из Украины). Помогло, сервер заработал нормально, но некоторые клиенты были вне украинской точки обмена трафика, потерпели и потом смогли подключится.
    На след раз дата-цент написал скрипты для самых "активных" IP адресов и их фильтровали на центральном маршрутизаторе.
     
  11. timoffei

    timoffei

    Регистрация:
    26 июл 2013
    Сообщения:
    5
    Симпатии:
    4
    Тот же nginx позволяет автоматически отсеивать запросы при DDOS, также и IIS имеет компоненты для борьбы с DDOS. Конечно саму атаку не остановит, но не даст завалить сервер. Либо если есть возможность поставить железки фильтры (у Cisco есть), если финансы позволяют.
    P.S. думаю существует множество и сторонних программных продуктов способных автоматически определять подозрительную активность.
     
  12. denya

    denya

    Регистрация:
    2 мар 2013
    Сообщения:
    129
    Симпатии:
    35
    Имелось в виду "дополнительные" меры противодействия. Сервак тогда удалось отстоят пассивными мерами с моей стороны: nginx, iptables, ipset, mod_evasive, mod_security :smile: Но руки тогда чесались, чтобы как-то навредить самому атакующему. Вменяемого ничего не нашел. Как можно попытаться разрушить ботнет?
     
  13. timoffei

    timoffei

    Регистрация:
    26 июл 2013
    Сообщения:
    5
    Симпатии:
    4
    Самому отследить головной компьютер почти нереально (удача может конечно улыбнутся). А так только ждать пока кто-нибудь из гигантов ИТ индустрии не положит всю сеть (например MicroSoft, в последнее время уж больно активно они в этой сфере работают)... Единственное что возможно: жалоба провайдеру или самому задедосить все атакующие узлы :smile:
     
  14. lex_network

    lex_network

    Регистрация:
    6 мар 2013
    Сообщения:
    28
    Симпатии:
    6
    Самое главное, чтобы получить хоть какое-то моральное удовлетворение - это осознание , что ваш проект выстоял в период DDOS атаки, а хрен, который её организовал - ПОТРАТИЛ деньги, которые ему не вернут.
    если вы смогли справиться с такой атакой, не привлекая к помощи хостера, означает что атака была не такой уж большой.
    при большой атаке хостер первый прибежит и сообщит что вас атакуют , либо сразу начнет принимать активные меры, т.к. какой бы не был трафик по стоимости, он все равно стоит денег.
     
    denya нравится это.
  15. timoffei

    timoffei

    Регистрация:
    26 июл 2013
    Сообщения:
    5
    Симпатии:
    4
    Полностью согласен, тем более что в большинстве своем хостер в отлове организатор не особо помогает, скорее просто сделает тоже что и вы... Заблокирует IP с подозрительной активность.