Пришел тот день, когда я обнаружил, что сайт стал недоступен. В течении короткого времени по логам апача определили, что идет DDOS атака. Магазин лежал около 3 часов, пока смогли принять меры по борьбе. Сейчас атаки продолжаются, но не создают серьезную нагрузку на сервер. И вот мы подобрались к вопросу: какие активные методы борьбы с атакующими существуют (когда мы уже защитились)? Что можно предпринять дополнительно: уведомить провайдеров с чьих IP атакуют и т.д.? Делитесь у кого есть опыт.
особо нечего и делать, кроме как написать провайдерам, но это скорее всего ничем не поможет Так что, просто отбиться и молчать.
Я бы предложил вычислить чувака, который сделал атаку и набить лицо. Это будет самая активная защита.
Есть методы вычисления чувака? Упорный чувак попался: сайт не тупит уже 3 день, а он все атакует Ночью правда отдыхает )))
только если поймать его инфицированный файл и смотреть откуда к нему стучаться будут) тогда можно вычислить ip/хостинг откуда приходят команды и закрыть его.
Оставь пока для доступа диапозон подсетей откуда идет основной поток клиентов. Уведоми всех по E-mail, что бы не потерять постоянных клиентов. Может Ваш злобный хакер посмотрит что все тихо и успокоиться. А вообще должна техподдержка помочь, если не помогает ищи нормального хостера. Ну смотри условия бесплатного подключения. * Бесплатная защита предоставляется за размещение ссылки с Вашего сайта при Яндекс тИЦ сайта выше 100, Google PR более 2.
Бесплатно в рамках тарифного плана отказывались помогать Был выделенный сервер в Германии, так они плакались, чтобы мы им канал забиваем предлагали либо решать проблему, либо съезжать. Заказали сторонний сервис фильтрации трафика ибо входящий был около 60 Мбит.
На Hetzner похоже, у них инструкции по которым есть количество соединений в секунду выше которых подниматься нельзя. Тут два варианта защиты, либо методом Blackhole, либо фильтрационный(т.е. промежуточный сервер) ставить. В случае с Hetzner, то там без вариантов, сервер будут вырубать ваш, если вы фильтрационный сервер только не поставите.
Уже пережили 3-и DDOS атаки. Искать кого-то бесполезно. Пакеты шли с Малазии, Таджикистана и так далее. В системе наблюдали более 40 тыс. коннектов, но сервер работал нормально. В первый раз, когда пошла атака, на быструю руку что-то придумать не удалось и просто отрубили зарубежный трафик (сервер в Украинском дата-центре был, клиенты в основном из Украины). Помогло, сервер заработал нормально, но некоторые клиенты были вне украинской точки обмена трафика, потерпели и потом смогли подключится. На след раз дата-цент написал скрипты для самых "активных" IP адресов и их фильтровали на центральном маршрутизаторе.
Тот же nginx позволяет автоматически отсеивать запросы при DDOS, также и IIS имеет компоненты для борьбы с DDOS. Конечно саму атаку не остановит, но не даст завалить сервер. Либо если есть возможность поставить железки фильтры (у Cisco есть), если финансы позволяют. P.S. думаю существует множество и сторонних программных продуктов способных автоматически определять подозрительную активность.
Имелось в виду "дополнительные" меры противодействия. Сервак тогда удалось отстоят пассивными мерами с моей стороны: nginx, iptables, ipset, mod_evasive, mod_security Но руки тогда чесались, чтобы как-то навредить самому атакующему. Вменяемого ничего не нашел. Как можно попытаться разрушить ботнет?
Самому отследить головной компьютер почти нереально (удача может конечно улыбнутся). А так только ждать пока кто-нибудь из гигантов ИТ индустрии не положит всю сеть (например MicroSoft, в последнее время уж больно активно они в этой сфере работают)... Единственное что возможно: жалоба провайдеру или самому задедосить все атакующие узлы
Самое главное, чтобы получить хоть какое-то моральное удовлетворение - это осознание , что ваш проект выстоял в период DDOS атаки, а хрен, который её организовал - ПОТРАТИЛ деньги, которые ему не вернут. если вы смогли справиться с такой атакой, не привлекая к помощи хостера, означает что атака была не такой уж большой. при большой атаке хостер первый прибежит и сообщит что вас атакуют , либо сразу начнет принимать активные меры, т.к. какой бы не был трафик по стоимости, он все равно стоит денег.
Полностью согласен, тем более что в большинстве своем хостер в отлове организатор не особо помогает, скорее просто сделает тоже что и вы... Заблокирует IP с подозрительной активность.
