Портал Finance.UA подвергся DDoS атаке

+ Додати
    тему
Відповісти
на тему
Підтримка та супровід всіх сервісів Finance.UA
  #<1 ... 11121314>
Повідомлення Додано: Сер 31 жов, 2012 14:15

  Адмiнiстратор написав:
  she_ne_investor написав:
  Адмiнiстратор написав:А в Украине есть датацентры с таким оборудованием? Нам как-то не попадались. :(

У Mirohost, в принципе, хороший датацентр.
У "Укртелекома" в тарифах явно прописана защита от DDOS (Juniper Netscreen 5400), но оно вам влетит в копеечку

О! Вот это ценная информация.
Мы присмотримся к этим дата-центрам.

1. В Украине нет хороших ДЦ.
Хороший сервер с серверным железом, в правильном ДЦ, гарантированным каналом и базовой защитой от ДДОС стоит от 300 баксов. В Украине эти деньги просят просто за железо. Много пробовал хостеров, плюнул и теперь размещаю сервера только в России. Ни у одного пользователя из Украины не было проблем с доступом. По поводу серверов в Германии и других соседних государствах. Не надо ориентироваться на "дешевле" - такая же фигня с десктопным железом и отсутствием каких-либо гарантий и помощи Hetzner, webtropia, Burst.net и др. даже не смотрите.

2. Метод борьбы с SYN-Flood, не раз провереный в бою.
A] Мониторим соединения и записываем их в файл
tcpdump -v -n -w attack.log dst port 80 -c 100000

где "100000" - количество соединений для статистики. При ДДОС очень быстро заполняется, можно увеличивать в зависимости от интенсивности атаки, я ставлю так, чтобы заполнялось за минуту.

B] Фильтруем полученный файл
tcpdump -nr attack.log |awk '{print $3}' |grep -oE '[0-9]{1,}\.[0-9]{1,}\.[0-9]{1,}\.[0-9]{1,}' |sort |uniq -c |sort -rn | head -200

Где "head -200" - количество соединений, которые надо вывести, иначе вывод будет большой
Устанавливайте такой, чтобы из лога убрать валидные IP, в каждом случае по интенсивности атаки нужно определять индивидуально. Без ключа uniq -c будут отображаться только IP, чтобы получить файл с IP нужно в конце дописать >> ips.txt
В итоге команда может выглядеть так:
tcpdump -nr attack.log |awk '{print $3}' |grep -oE '[0-9]{1,}\.[0-9]{1,}\.[0-9]{1,}\.[0-9]{1,}' |sort |sort -rn | head -200 >> ips.txt

C] Создаём файл
nano ddos-ban.sh
#!/bin/bash
BLOCKDB="ips.txt"
IPS=$(grep -Ev "^#" $BLOCKDB)
for i in $IPS
do
iptables -A INPUT -s $i -j DROP

D] Делаем его исполняемым chmod +x ddos-ban.sh
И запускаем ./ddos-ban.sh

Процедуру придётся периодически повторять, но можно автоматизировать и повесить на cron

После того как ДДОС завершиться, не забудьте разбанить всех кого вы заблокировали, предварительно сохранив список IP.

3. Ваш зарубежный канал в 5 Мбит - ваше узкое горлышко, вас задосит даже школьник с однокласниками в 15 компов. Расширяйте. C Мирохоста советую съехать - тот ещё сервис с десктопным железом, дорогущим трафиком и беспомощьностью перед ДДОС.

4. Для вашего сайта я бы рекомендовал также организовать RDNS с синхронизацией между серверами в разных ДЦ. Это позволило бы выдержать любую ДДОС атаку.
ajrengen
 
 
Повідомлення Додано: Сер 31 жов, 2012 14:36

ajrengen

Большое спасибо!
Передаю СисАдминам.
Адмiнiстратор
Аватар користувача
Адміністратор Форуму
 
Повідомлень: 944
З нами з: 14.05.04
Подякував: 19 раз.
Подякували: 139 раз.
 
Профіль
Повідомлення Додано: Сер 31 жов, 2012 15:04

Вообще, для первоначального ограничения ddos, если пользуется линукс, стоит попробовать заюзать iptables connlimit. Мы так спамеров режем у себя...
Xirss
 
Повідомлень: 1225
З нами з: 24.11.10
Подякував: 72 раз.
Подякували: 340 раз.
 
Профіль
Повідомлення Додано: Сер 31 жов, 2012 16:15

"Конечно, уже то, что я комментирую эти события, скорее говорит о нашем бессилии, чем силе"

Вообще-то есть люди, зарабатывающие хлеб на защитах от ДДоС'ов. Они знают все текущие "модные" способы атаки,и располагают уже готовыми решениями. Причем сайт глобайльно менять не надо, защита происходит с минимальными изменениями на сайте. Обратите внимание на QRATOR, этих ребят еще никому не удавалось победить :)

Так что тут вопрос только в стоимости ихних услуг,но раз они существуют,значит востребованы.
FinExpert
 
Повідомлень: 12
З нами з: 08.03.09
Подякував: 1 раз.
Подякували: 1 раз.
 
Профіль
Повідомлення Додано: Сер 31 жов, 2012 17:19

Я не спец по DDOS, но может ещё такой фактор влияет - в связи с выборами
1) Все переживают за курс гривны - много людей смотрят сайт и форум - создают нагрузку\
2) Думайте, кому выгодно вас блокировать. В такое стрёмное время власть очень боится Майдана. Любой форум может стать местом координации действий. Особенно это касается посещаемых форумов, где обсуждается политика. Например, я стал замечать, что Форум Украинской правды тоже грузится всё хуже и хуже. Сайты оппозиционеров ддосят, судя по сообщениям в Инете.
MrWain
 
 
Повідомлення Додано: Сер 31 жов, 2012 19:26

Всё правильно. Боятся в начале ноября в Украине арабской весны.
Изя Гуд
 
 
Повідомлення Додано: Сер 31 жов, 2012 19:55

Соцсети не ддосят..

MrWain, Соцсети не ддосят.. :mrgreen:
index
Аватар користувача
 
Повідомлень: 81
З нами з: 30.05.10
Подякував: 124 раз.
Подякували: 3 раз.
 
Профіль
Повідомлення Додано: Сер 31 жов, 2012 20:56

  index написав:MrWain, Соцсети не ддосят.. :mrgreen:

А почему ? Если не секрет?
regulator
 
Повідомлень: 24
З нами з: 25.11.09
Подякував: 22 раз.
Подякували: 0 раз.
 
Профіль
Повідомлення Додано: Сер 31 жов, 2012 21:08

  regulator написав:
  index написав:MrWain, Соцсети не ддосят.. :mrgreen:

А почему ? Если не секрет?

Силенок надо мно-о-о-о-го.
Зато соцсеть кого хочешь за ддосит (кроме другой соцсети и гугля 8) ). Один скриптик в интерфейсе странички забить с адресом жертвы и ей капец. :mrgreen:
Faceless
Аватар користувача
Модератор
 
Повідомлень: 34698
З нами з: 24.01.12
Подякував: 1442 раз.
Подякували: 7964 раз.
 
Профіль
4
7
3
Повідомлення Додано: Сер 31 жов, 2012 21:34

  Faceless написав:
  regulator написав:
  index написав:MrWain, Соцсети не ддосят.. :mrgreen:

А почему ? Если не секрет?

Силенок надо мно-о-о-о-го.
Зато соцсеть кого хочешь за ддосит (кроме другой соцсети и гугля 8) ). Один скриптик в интерфейсе странички забить с адресом жертвы и ей капец. :mrgreen:

Спасибо !
regulator
 
Повідомлень: 24
З нами з: 25.11.09
Подякував: 22 раз.
Подякували: 0 раз.
 
Профіль
  #<1 ... 11121314>
Форум:
+ Додати
    тему
Відповісти
на тему
Зараз переглядають цей форум: Немає зареєстрованих користувачів і 1 гість
Модератори: Ірина_, Модератор, flom

Схожі теми

Теми
Відповіді Перегляди Останнє
8 64984
Переглянути останнє повідомлення
П'ят 18 гру, 2020 08:02
Ірина_
7 30642
Переглянути останнє повідомлення
Вів 12 січ, 2016 11:46
rufius
74 92896
Переглянути останнє повідомлення
Суб 08 сер, 2015 06:16
Mirax
Топ
відповідей
Топ
користувачів
реклама
Реклама