Ddos на форум!

Тема в разделе "Администрирование серверов", создана пользователем UltrbI4, 7 мар 2012.

Модераторы: mefish, stooper
  1. UltrbI4

    UltrbI4

    Регистр.:
    15 мар 2009
    Сообщения:
    449
    Симпатии:
    53
    Всем привет с наступающим всех дам праздником =)
    Со вчерашнего дня мой форум ддосят!
    С хостером вместе решили проблему ддос небольшой в 1к ботов!Хостер поставил какой-то там скрипт!
    Но они гады сделали хитро с нескольких компов запустили тупую накрутку.Тобеш три IP размножили у меня на форуме.Отсюда гостей доходит до 3к.И форум начинает жестоко тормозить.Банить IP в htaccess я чесно говоря подзадолбался!
    Есть ли какая-то альтернатива?Может скрипт какой-то,который блокирует частое подключение одно и того же ИП!(У меня VPS)
    Заранее спасибо!
     
  2. ben_ya

    ben_ya Постоялец

    Регистр.:
    13 окт 2009
    Сообщения:
    53
    Симпатии:
    10
    nginxом отбивал почти 5к ботов.
    Забудьте про апатч - ставте nginx.
     
  3. UltrbI4

    UltrbI4

    Регистр.:
    15 мар 2009
    Сообщения:
    449
    Симпатии:
    53
    У меня nginx вопрос не в этом!
    распределенный get ddos мы остановили!
    Теперь тупо накруткой добивают!
     
  4. UltrbI4

    UltrbI4

    Регистр.:
    15 мар 2009
    Сообщения:
    449
    Симпатии:
    53
    Размножают один и тот же IP!
     
  5. latteo

    latteo Эффективное использование PHP, MySQL

    Moderator
    Регистр.:
    28 фев 2008
    Сообщения:
    1.404
    Симпатии:
    1.185
    Долго висел над этой фразой, объясните что вы имеете ввиду?
     
  6. roof

    roof

    Регистр.:
    23 янв 2008
    Сообщения:
    161
    Симпатии:
    114
    капчу можно установить перед самим заходом на сайт, раньше помню так многие форумы выкручивались от досса
     
  7. UltrbI4

    UltrbI4

    Регистр.:
    15 мар 2009
    Сообщения:
    449
    Симпатии:
    53
    Ребят где найти наглядный урок по тонкой настройке nginx и iptable!
     
  8. HOSTER

    HOSTER

    Регистр.:
    22 апр 2008
    Сообщения:
    213
    Симпатии:
    38
    Здравствуйте.
    Смогу помочь отразить атаку пишите в ICQ: 770889
     
  9. Satariall

    Satariall Писатель

    Регистр.:
    5 мар 2012
    Сообщения:
    4
    Симпатии:
    2
    Как еще простой вариант - перед входом окошко от nginx, которое спрашивает хочет ли клиент зайти на форум. ответ ОК - отправляется в ответ положительный кукис, открывается форум дальше у данного клиента без проблем. Содержимое кукисов - уже на степень "умности" ботнета.

    Еще вариант - js, который также создает кукис, но уже без окошек, мешающих пользователю. Что-то вроде майн страницы - index.htm с js-ом. Страничка загружается, js выполняется, делает кукис, редиректит на index.php. В index.php в начале кода php проверит наличие кукиса. Есть - отображается весь код форума. Нет - извиняйте. Статичная хтмлка готова к хайлоаду nginx. Форум не подключается для ботов. Минус - юзеры у которых noscript.

    Плюс к этому - не поможет, если атака пойдет не на выведение из строя серверного-по от нагрузки а на сетевую подсистему (количество конкурентных запросов). Тогда уже необходимо будет ставить физический сервер или шейпер на маршрутизаторе. Это будет работать до момента, когда процессор маршрутизатора нагнется от листа забаненных или снова же, по числу к нему запросов. Или, что тоже вероятно, если шейпер поставлен сильный - просто кончится выделенный канал.

    Логика банов адресов зависит от конкретной атаки. Если выделить ботнет можно на сетевом уровне (например, более 10 запросов в секунду с одного ип) - то маленький демон, мониторящий соединения и добавляющий в список иптэйблес или маршрутизатора правила - будет ок. Если ботнет большой, запросы раз в секунд 30 - то уже фиг выделить. Это понятно. Надо будет разрабатывать логику их определения уже по основанию их активности и целей. И самое успешное бы - добавлять в таблицы правила не конкретных адресов, а более общих. Разрастание этой таблицы тоже вызывает сильную нагрузку.

    В качестве первоначальной диагностики хорошо бы иметь информацию, вроде: траффик в обычной активности, текущий трафик. Кол-во коннектов в секунду обычное и текущее. Идет атака на хостнэйм или на ип адрес. На одну страницу или на рандом. Хорошо бы убедиться, что на форуме нет инъекций. Тогда сами обычные пользователи могут сами участвовать в атаке. Тогда необходимо выключить это, разумеется и бороться с физическими остатками только после этого. В общем, много всего зависит от специфики.

    Ну и, не так много, но интересного пишут на хабре по методикам борьбы с ддосом. Но статьи помогут лишь определять подход и что с ними делать. Идеального решения и панацеи против ддоса нет, кроме как тупо отвалить денег ребятам занимающимся этим. Иногда этот вариант правильней, когда страдают большие деньги и выркемени на самостоятельную борьбу нет. Ну или когда физической мощности не хватает.
     
  10. gothmog

    gothmog Постоялец

    Регистр.:
    18 июн 2011
    Сообщения:
    60
    Симпатии:
    24
    ddosoff.ru - эти товарищи хорошо работают, отбивали многие ддосы на мой проект. из минусов - относительно высокая цена, если у вас некоммерческий минипортал, то конечно же, не подойдет.

    Видимо имеется ввиду, что боты используют многопоточность.

    Это ерунда! во-первых, многие боты щас это умеют эмулировать. Во-вторых - лучше защиту делать на более низком уровне (веб-сервер,иптейблс), чем скрипты. Скрипты это прошлый век в защите.