WebHostingTalk.ru  

Вернуться   WebHostingTalk.ru > Главные форумы > Технические аспекты и вопросы безопасности

Ответ
 
Опции темы Опции просмотра
  #1  
Старый 28.01.2004, 21:59
worldhosting worldhosting вне форума
Младший научный сотрудник
 
Регистрация: 05.05.2002
Сообщений: 699
Отправить сообщение для worldhosting с помощью ICQ Отправить сообщение для worldhosting с помощью MSN Отправить сообщение для worldhosting с помощью Yahoo
По умолчанию

В последнее время стали использовать для организации распределенной ДДОС следующий способ:
1. Рассылается почтовый вирус-червь (и одновременно троян)
2. На зараженном компьтере открывается порт 6667 (или какой нибудь другой) который ждет поступления команд от инициатора атаки.
3. Инициатор может в любое удобное для него время дать команду на посылку например обычных запросов на доступ к какому-нибудь сайту (порты 53 и 80).
Теперь берем количество зараженных компьютеров - (сотни, тысячи или десятки и сотни тысяч компьютеров) умножаем на количество запросов которые каждый из них может посылать и получаем некоторое количество запросов в секунду (атака малой интенсивности 5-12 тысяч запросов в секунду, средней 50-100, ну и больше).
Понятное дело ни один апач ни на одном отдельном компьютере - такое не вынесет. Но проблема то не в этом. Есть разные серверы и нецелесообразно для хостинга домашней страницы использовать ту же архитектуру и технику что и для майкрософт.ком.

Как фильтровать? Ведь запросы по сути ничем не отличаются от обычных - разве что частотой повторения с одного и того же ай-пи.
Как вычислить атакующего? Ведь атакуют ничего не знающие пользователи. Понятно, что если иметь доступ к их компьютерам, то по логам (если они ведутся) можно вычислить откуда приходит запрос на порт трояна и подавить источники, но ведь такого доступа нет.

Какие идеи по борьбе с таким видом атак?



Ответить с цитированием
  #2  
Старый 28.01.2004, 22:59
eServer.ru eServer.ru вне форума
Младший научный сотрудник
 
Регистрация: 24.11.2003
Сообщений: 377
По умолчанию

Второй день с этим боримся, сначало подумали что немеренный приток посетителей, но аказалось все не так то просто.

Кстате откуда инфа по пунктам 1 и 2?
__________________
С уважением,
Хостинг-оператор eServer.ru
+7 (495) 22-33-474
Ответить с цитированием
  #3  
Старый 28.01.2004, 23:35
ModernDedicate.com ModernDedicate.com вне форума
Лаборант
 
Регистрация: 24.12.2003
Сообщений: 115
Отправить сообщение для ModernDedicate.com с помощью ICQ
По умолчанию

Советую почитать материал:
http://www.void.ru/content/976
http://www.void.ru/content/975

Кстати, день атаки, стоит примерно 100$ или что-то около того. Так что, это не просто баловство школьников...
__________________
Ищете сервер? ...
Ответить с цитированием
  #4  
Старый 29.01.2004, 18:36
eServer.ru eServer.ru вне форума
Младший научный сотрудник
 
Регистрация: 24.11.2003
Сообщений: 377
По умолчанию

На самом деле чето не чистое творится. 1900 прочессов в состоянии рун это уже перебор.
__________________
С уважением,
Хостинг-оператор eServer.ru
+7 (495) 22-33-474
Ответить с цитированием
  #5  
Старый 29.01.2004, 20:41
worldhosting worldhosting вне форума
Младший научный сотрудник
 
Регистрация: 05.05.2002
Сообщений: 699
Отправить сообщение для worldhosting с помощью ICQ Отправить сообщение для worldhosting с помощью MSN Отправить сообщение для worldhosting с помощью Yahoo
По умолчанию

2нарушитель правил форума
http://worldhosting.ru/win32.html

надо ставить как минимум mod_limipconnect (или как он там называется и резать соединения больше 1 с одного ипа). также ограничить количество maxclients в апаче до 50-100 - это зависит от железного конфига сервера. это все полумелы - также как и файрволл - потому и задал вопрос.

быстро решить проблему можно убрав домены на которые атака идет ( смотрите у кого логи быстро очень растут). причем убрав не с хостинга, а убрав днски ведущие на вас у регистратора домена.

но это все решения для конкретной атаки - помогут ли они вам - не знаю - зависит от типа атаки.

по поводу стоимости ддос атаки - да факт известный - вот оно и непонятно - кому это понадобилось столько денег тратить (больше недели) за такие деньги мы б пожалуй продали какой нибудь из своих брендов с легкостью то есть овчинка просто выделки не стоила. не говоря уже о самих доменах - там вообще все по нулям.


PS. Еще можно пробоватть mod_devasive и mod_throttle - но это кому как - нам не помогло.



Ответить с цитированием
  #6  
Старый 29.01.2004, 22:07
cap cap вне форума
Младший научный сотрудник
 
Регистрация: 01.03.2003
Сообщений: 400
Отправить сообщение для cap с помощью ICQ Отправить сообщение для cap с помощью AIM
По умолчанию

Зависит от трафика еще...
Вот на нас как-то ломились с ошибочными запросами одинакового вида...
Так атака полечилась написанием скрипта, который выкусывал из логов ip, откуда шли такие запросы, и вставлял их в фильтр
Дешево и сердито.

Но конечно только под конкретный случай
__________________
CAPHost - виртуальный, реселлерский, VDS и dedicated хостинг
Ответить с цитированием
  #7  
Старый 30.01.2004, 00:25
eServer.ru eServer.ru вне форума
Младший научный сотрудник
 
Регистрация: 24.11.2003
Сообщений: 377
По умолчанию

Цитата:
Сообщение от [b
Цитата[/b] (cap @ 29 Января 2004, 22:07)]Зависит от трафика еще...
Вот на нас как-то ломились с ошибочными запросами одинакового вида...
Так атака полечилась написанием скрипта, который выкусывал из логов ip, откуда шли такие запросы, и вставлял их в фильтр
Дешево и сердито.

Но конечно только под конкретный случай
А не подумал, что на сервере может быть ~400 клиентов и ~ 800 сайтов? Замучаешся выкусывать IP
__________________
С уважением,
Хостинг-оператор eServer.ru
+7 (495) 22-33-474
Ответить с цитированием
  #8  
Старый 30.01.2004, 07:55
TiM TiM вне форума
Младший научный сотрудник
 
Регистрация: 18.07.2002
Сообщений: 527
Отправить сообщение для TiM с помощью ICQ
Восклицание

Почемуже. Можно просто скрипт писать. Запускать его раз в неделю. Первые 2-3 недели в режиме "обучения". Дальше если прибавлиение в логах больше чем известное максимальное * 1.5, то слать мыло админу "Check this out". Не сложно. Никак не зависит от кол-ва клиентов.

ЗЫ: "А вы цены ещё ниже сделайте..." (с)Один мой коллега.
__________________
GARM Technologies - №1 в Латвии :cool:
Выделенные сервера, VPS и рамещение сервера в Латвии.
Любой тип хостинга, который Вы только можете себе представить.
Ответить с цитированием
  #9  
Старый 30.01.2004, 11:47
cap cap вне форума
Младший научный сотрудник
 
Регистрация: 01.03.2003
Сообщений: 400
Отправить сообщение для cap с помощью ICQ Отправить сообщение для cap с помощью AIM
По умолчанию

Цитата:
Сообщение от [b
Цитата[/b] (eServer.ru @ 30 Января 2004, 00:25)]А не подумал, что на сервере может быть ~400 клиентов и ~ 800 сайтов? Замучаешся выкусывать IP
Для того чтобы замучаться выкусывать руками достаточно атаки на один сайт.
Читать внимательно: написал скрипт
__________________
CAPHost - виртуальный, реселлерский, VDS и dedicated хостинг
Ответить с цитированием
  #10  
Старый 30.01.2004, 12:11
ptitov ptitov вне форума
Младший научный сотрудник
 
Регистрация: 06.03.2002
Сообщений: 618
По умолчанию

Цитата:
Сообщение от [b
Цитата[/b] (worldhosting @ 29 Января 2004, 20:41)]надо ставить как минимум mod_limipconnect
А можно URL? А то я не нашёл...
http://www.google.com/search?q=mod_limipconnect
__________________
http://www.bhost.ru/
Хостинг - 100 Мб от 5$/мес.
Ответить с цитированием
Ответ

Опции темы
Опции просмотра

Ваши права в разделе
You may not post new threads
You may not post replies
You may not post attachments
You may not edit your posts

BB code is Вкл.
Смайлы Вкл.
[IMG] код Вкл.
HTML код Выкл.

Быстрый переход

Похожие темы
Тема Автор Раздел Ответов Последнее сообщение
Какие используете методы оптимизации и продвижения сайтов ? Карабасик Оптимизация и продвижение сайтов SEO 22 19.07.2019 14:19
Защита от ДДОС stop-ddos Специальные предложения от провайдеров 0 10.11.2009 13:32
Защита от ДДОС атак!! dorbik Куплю/Продам/Аренда 0 11.04.2008 22:12
Какие методы поиска клиентов? |Igor| Форум для реселлеров 49 29.01.2004 20:22
СПАМ. Средства борьбы. VovanV Технические аспекты и вопросы безопасности 5 01.10.2002 23:34


Часовой пояс GMT +3, время: 06:29.


Powered by vBulletin® Version 3.8.11
Copyright ©2000 - 2019, Jelsoft Enterprises Ltd. Перевод: zCarot