Адмiнiстратор написав:Коллеги, Злоумышленники "резолвяд" ДНС, поэтому с тактикой "убегать на новый ip" можно расслабиться. Но в любом случае, за советы большое человеческое спасибо! Я их все "в клюве" доношу сисадминам.
Да но SYN атака идет не по домену, а по ИПшнику с распределенной бот сети, потому смена IP дает некоторое время, передышку.
По большому счету 100% рабочего решения не существует, но есть стоимость простоя ресурса для злоумышленнка и стоимость атаки. Ресурс должен работать так, что бы стоимость эффективной атаки превышала стоимость простоя ресурса, тогда атаковать будет не выгодно.
Опишу ваши дальнейшие действия (теоретически) Сейчас у вас узкое место это канал и хостер. Канал пропускает 5-10Мбит/с, хостер врядли вам помогает аппаратно. Вы видите, что идет атака и сервер не справляется, начинаете настраивать фаирвол, настроили, он отфильтровывает флуд, но сайт всеравно не работает. Проблема в канале, он просто забит под завязку. Вы увеличиваете канал, допустим в 100 раз, но это сново не помогает, теперь не справляется процессор, он не в состоянии отфильтровать фаирволом столько запросов. Но стоимость увеличения канала для вас обошлась допустим +30 евро в месяц, а злоумышленнику надо в 100 раз более мощную атаку делать, естественно продержать ее сутки-двое уже очень накладно будет.... Поехали дальше. Вы вроде бы кое как наши способ минимизировать атаку, фаирволом, увеличением канала, но если злоумышленник серьезный, он просто меняет тип атаки с SYN флуда, например, на UDP флуд и все начинается заново. Ваш сервер при начале атаки просто зависает, и помогает только хардварный ребут. И вы сново начинаете искать решение, а он сново меняет тип атаки и т.д.
Но если у вас есть несколько серверов (в round robin или просто резервные включаете при падении основного) и хорошие каналы, то часть атак бессмысленна, а остальная часть будет достаточно дорогой для длительного воздействия. В итоге время простоя ресурса будет минимальным.
Дальше, если вы наступили на мозоль кому-то из властьимущих, то начнут давть силовыми методами, тут другие способы борьбы....
Еще раз повторюсь (это не реклама), Cisco ASA 558x отражает практически все атаки, и не надо городить городушки с IP, DNS и прочими заморочками. Цена вопроса в среднем от 10000$-100000$, в зависимости от того, какую пропускную способность хочешь получить.
И еще советую прежде чем писать, почитать что такое syn-flood, и о каких "широких" каналах вы тут пишите не известно, но для этого типа атаки "широкий" канал не нужен. Суть в переполнении буфера syn пакетов, которой (исторически так сложилось) сравнительно мал.
Востаннє редагувалось yuriyb в Вів 30 жов, 2012 13:04, всього редагувалось 1 раз.
Адмiнiстратор написав:Вот заявление нашего руководителя: Константин Леонтьев о DDoS-атаке на FINANCE.UA, событиях “до” и намерениях
Кстати, чем больше будете Поздравлять, чем быстрее отстанут. Как вариант, это поздравление разместить на главной странице сайта. Так и написать "В связи с проведённой спамм-атакой, поздравляем Такого-то и Компанию (как главных борцов за стабильность и покращення) и желаем всего самого лучшего"! В конце концов, обратитесь в своим коллегам (другие СМИ). Они могут взять данный инцидент в рассмотрение.
Чем быстрее будет поднят шум, тем лучше. Для всех. Кроме "именинников".
С СБУ работать смысла нет - ничем не помогут. С провайдером работайте. Бот-сети же обычно не украинские. Не надо по крупицам с IP возиться, бейте по площадям - пусть на пограничном роутере провайдера все запросы к сайту из Китая и т.п. сразу в null отправляют.
yuriyb написав:Еще раз повторюсь (это не реклама), Cisco ASA 558x отражает практически все атаки, и не надо городить городушки с IP, DNS и прочими заморочками. Цена вопроса в среднем от 10000$-100000$, в зависимости от того, какую пропускную способность хочешь получить.
И еще советую прежде чем писать, почитать что такое syn-flood, и о каких "широких" каналах вы тут пишите не известно, но для этого типа атаки "широкий" канал не нужен. Суть в переполнении буфера syn пакетов, которой (исторически так сложилось) сравнительно мал.
Сомневаюсь, что кто-то позволит себе купить тут такой аппаратик, кроме администрации президента, за 10000 баков можно 50 серверов в паралель запустить и тогда флуд отпадет сам сабой
А вообще я пишу не теорию, а практику, с таким флудом один в один сталкивался на своем ресурсе, может чуть помощнее и популярнее, но это то, что опробованно практикой и побороли без аппаратных решений в 10-100к зелени
Адмiнiстратор написав:А в Украине есть датацентры с таким оборудованием? Нам как-то не попадались.
У Mirohost, в принципе, хороший датацентр. У "Укртелекома" в тарифах явно прописана защита от DDOS (Juniper Netscreen 5400), но оно вам влетит в копеечку
5. Захист обладнання загальною висотою до 10 юнітів від зовнішніх атак (використання міжмережного екрану Дата Центру зі стандартним набором правил) за все обладнання, за місяць 1500,00 6. Застосування індивідуальних налаштувань на апаратному мережному екрані для обладнання загальною висотою до 10 юнітів. за всі налаштування, за місяць 900,00
плюс они явно прописывают, что
8. У разі, якщо індивідуальні налаштування на апаратному мережному екрані заважають роботі інших споживачів, ПАТ “Укртелеком” автоматично переводить споживача на стандартний набір правил з одночасним повідомленням про це споживача на електронну адресу, яка вказана в договорі..
Не надо паразитный трафик до файрволла ЦОДа доводить, надо его обрезать еще на границе сети провайдера, или еще дальше (BGP blackhole). Но тут все от желания провайдера зависит - насколько вы для него важны.
обычно на хостинге "защита" от ддос атак заключается в полном отрубании сейта, в хорошем случае на некоторое время. а провайдер дак вообще на хостинге может и должен быть не один. про СБУ вообще улыбнуло. дать 10-100 куо, чтоб отбить атаку - далеко не каждый имеет такие возможности. даже банальная смена хостинга на более мощный - занимает так нехило времени. да и админы целыми сутками не могут сидеть и конфигурить от ддос-атак. ---- пс. сайт и форум на даный момент у меня работают. иногда бывают "пропадания" и задержки, но в общем работает.
civ написав:
