#1
|
|||
|
|||
В последнее время стали использовать для организации распределенной ДДОС следующий способ:
1. Рассылается почтовый вирус-червь (и одновременно троян) 2. На зараженном компьтере открывается порт 6667 (или какой нибудь другой) который ждет поступления команд от инициатора атаки. 3. Инициатор может в любое удобное для него время дать команду на посылку например обычных запросов на доступ к какому-нибудь сайту (порты 53 и 80). Теперь берем количество зараженных компьютеров - (сотни, тысячи или десятки и сотни тысяч компьютеров) умножаем на количество запросов которые каждый из них может посылать и получаем некоторое количество запросов в секунду (атака малой интенсивности 5-12 тысяч запросов в секунду, средней 50-100, ну и больше). Понятное дело ни один апач ни на одном отдельном компьютере - такое не вынесет. Но проблема то не в этом. Есть разные серверы и нецелесообразно для хостинга домашней страницы использовать ту же архитектуру и технику что и для майкрософт.ком. Как фильтровать? Ведь запросы по сути ничем не отличаются от обычных - разве что частотой повторения с одного и того же ай-пи. Как вычислить атакующего? Ведь атакуют ничего не знающие пользователи. Понятно, что если иметь доступ к их компьютерам, то по логам (если они ведутся) можно вычислить откуда приходит запрос на порт трояна и подавить источники, но ведь такого доступа нет. Какие идеи по борьбе с таким видом атак? |
#2
|
|||
|
|||
Второй день с этим боримся, сначало подумали что немеренный приток посетителей, но аказалось все не так то просто.
Кстате откуда инфа по пунктам 1 и 2?
__________________
С уважением, Хостинг-оператор eServer.ru +7 (495) 22-33-474 |
#3
|
|||
|
|||
Советую почитать материал:
http://www.void.ru/content/976 http://www.void.ru/content/975 Кстати, день атаки, стоит примерно 100$ или что-то около того. Так что, это не просто баловство школьников...
__________________
Ищете сервер? ... |
#4
|
|||
|
|||
На самом деле чето не чистое творится. 1900 прочессов в состоянии рун это уже перебор.
__________________
С уважением, Хостинг-оператор eServer.ru +7 (495) 22-33-474 |
#5
|
|||
|
|||
2нарушитель правил форума
http://worldhosting.ru/win32.html надо ставить как минимум mod_limipconnect (или как он там называется и резать соединения больше 1 с одного ипа). также ограничить количество maxclients в апаче до 50-100 - это зависит от железного конфига сервера. это все полумелы - также как и файрволл - потому и задал вопрос. быстро решить проблему можно убрав домены на которые атака идет ( смотрите у кого логи быстро очень растут). причем убрав не с хостинга, а убрав днски ведущие на вас у регистратора домена. но это все решения для конкретной атаки - помогут ли они вам - не знаю - зависит от типа атаки. по поводу стоимости ддос атаки - да факт известный - вот оно и непонятно - кому это понадобилось столько денег тратить (больше недели) за такие деньги мы б пожалуй продали какой нибудь из своих брендов с легкостью то есть овчинка просто выделки не стоила. не говоря уже о самих доменах - там вообще все по нулям. PS. Еще можно пробоватть mod_devasive и mod_throttle - но это кому как - нам не помогло. |
#6
|
|||
|
|||
Зависит от трафика еще...
Вот на нас как-то ломились с ошибочными запросами одинакового вида... Так атака полечилась написанием скрипта, который выкусывал из логов ip, откуда шли такие запросы, и вставлял их в фильтр Дешево и сердито. Но конечно только под конкретный случай
__________________
CAPHost - виртуальный, реселлерский, VDS и dedicated хостинг |
#7
|
|||
|
|||
Цитата:
__________________
С уважением, Хостинг-оператор eServer.ru +7 (495) 22-33-474 |
#8
|
|||
|
|||
Почемуже. Можно просто скрипт писать. Запускать его раз в неделю. Первые 2-3 недели в режиме "обучения". Дальше если прибавлиение в логах больше чем известное максимальное * 1.5, то слать мыло админу "Check this out". Не сложно. Никак не зависит от кол-ва клиентов.
ЗЫ: "А вы цены ещё ниже сделайте..." (с)Один мой коллега.
__________________
GARM Technologies - №1 в Латвии :cool:
Выделенные сервера, VPS и рамещение сервера в Латвии. Любой тип хостинга, который Вы только можете себе представить. |
#9
|
|||
|
|||
Цитата:
Читать внимательно: написал скрипт
__________________
CAPHost - виртуальный, реселлерский, VDS и dedicated хостинг |
#10
|
|||
|
|||
Цитата:
http://www.google.com/search?q=mod_limipconnect |
|
|
Похожие темы | ||||
Тема | Автор | Раздел | Ответов | Последнее сообщение |
Какие используете методы оптимизации и продвижения сайтов ? | Карабасик | Оптимизация и продвижение сайтов SEO | 24 | 02.07.2023 21:27 |
Защита от ДДОС | stop-ddos | Специальные предложения от провайдеров | 0 | 10.11.2009 13:32 |
Защита от ДДОС атак!! | dorbik | Куплю/Продам/Аренда | 0 | 11.04.2008 22:12 |
Какие методы поиска клиентов? | |Igor| | Форум для реселлеров | 49 | 29.01.2004 20:22 |
СПАМ. Средства борьбы. | VovanV | Технические аспекты и вопросы безопасности | 5 | 01.10.2002 23:34 |