Портал Finance.UA подвергся DDoS атаке

+ Добавить
    тему
Ответить
на тему
Следить
за темой
Підтримка та супровід всіх сервісів Finance.UA
  #<1 ... 7891011 ... 14>
Сообщение Добавлено: Пн 29 окт, 2012 16:12

  vragina писал(а):
  Адмiнiстратор писал(а):Коллеги,
Злоумышленники "резолвяд" ДНС, поэтому с тактикой "убегать на новый ip" можно расслабиться.
Но в любом случае, за советы большое человеческое спасибо! Я их все "в клюве" доношу сисадминам.

Единственный,на мой взгляд,выход это рубить запросы по входящим ip на firewall`е. Только так можно все исправить но это временная мера. Как вариант нужно железное решения которое будет синхронизировать свои базы по ботам и т.п. с центральным сервером.
https://bto.bluecoat.com/packetguide/8.5/solutions/security/prevent-dos-attacks.htm


Это не выход. Т.к. много пользователей работают через NAT. Пограничный роутер надо нормальный. Типа http://www.cisco.com/en/US/docs/securit ... imits.html

TCP Intercept and Limiting Embryonic Connections

Limiting the number of embryonic connections protects you from a DoS attack. The ASA uses the per-client limits and the embryonic connection limit to trigger TCP Intercept, which protects inside systems from a DoS attack perpetrated by flooding an interface with TCP SYN packets. An embryonic connection is a connection request that has not finished the necessary handshake between source and destination. TCP Intercept uses the SYN cookies algorithm to prevent TCP SYN-flooding attacks. A SYN-flooding attack consists of a series of SYN packets usually originating from spoofed IP addresses. The constant flood of SYN packets keeps the server SYN queue full, which prevents it from servicing connection requests. When the embryonic connection threshold of a connection is crossed, the ASA acts as a proxy for the server and generates a SYN-ACK response to the client SYN request. When the ASA receives an ACK back from the client, it can then authenticate the client and allow the connection to the server.
yuriyb
 
Сообщения: 513
С нами с: 01.03.08
Благодарил (а): 67 раз.
Поблагодарили: 108 раз.
 
 
Сообщение Добавлено: Пн 29 окт, 2012 17:05

DDoSят любимый ресурс!

Ваши читатели вас поддерживают. Было бы замечательно, эсли бы ресурс не повелся на требования "покращувачів" и не стал заповедников для кузеров. А выметал их, как делал это до сих пор. Спасибо за вашу роботу.

Ещё бы не помешало сделать зеркала сайта с другими доменными именами. Если основной ресурс положили, то зеркала бы работали.
xpen_vam
Аватара пользователя
 
Сообщения: 1002
С нами с: 05.05.11
Благодарил (а): 388 раз.
Поблагодарили: 521 раз.
 
 
Сообщение Добавлено: Пн 29 окт, 2012 18:08

против ддоса есть только несколько способов.
1. отрубать по ИП. но могут пострадать другие юзеры что на этом/этих ИП тоже сидят.
2. переброска на месяц-другой на более мощный хостинг. с одновременным отрубанием почти всех дополнительных функций. трудно, дорого и долго.
3. на моменты атак на сайте вся тяжелая фигня с сайта вообще делается недоступной. выставляется специально очень легкая версия портала с "внешней" рекламой. боы активно делают просмотры - будут деньги с рекламы. вместо полного лежания сайта можно донести любую нужную информацию. будь то новый временный адрес, предупреждение о недоступности или все что угодно. ддос-ить текстовую версию сайта с "внешней" рекламой - бестолку.
cellar
Аватара пользователя
 
Сообщения: 4059
С нами с: 09.04.10
Благодарил (а): 455 раз.
Поблагодарили: 451 раз.
 
 
Сообщение Добавлено: Пн 29 окт, 2012 18:29

  cellar писал(а):против ддоса есть только несколько способов.
1. отрубать по ИП. но могут пострадать другие юзеры что на этом/этих ИП тоже сидят.
2. переброска на месяц-другой на более мощный хостинг. с одновременным отрубанием почти всех дополнительных функций. трудно, дорого и долго.
3. на моменты атак на сайте вся тяжелая фигня с сайта вообще делается недоступной. выставляется специально очень легкая версия портала с "внешней" рекламой. боы активно делают просмотры - будут деньги с рекламы. вместо полного лежания сайта можно донести любую нужную информацию. будь то новый временный адрес, предупреждение о недоступности или все что угодно. ддос-ить текстовую версию сайта с "внешней" рекламой - бестолку.


Все это фигня. Cisco ASA (Adaptive Security Appliance) рулит. Подобного рода межсетевые экраны умеют аппаратно отсекать syn-flood. Каждый пакет анализируется, если обнаруживается хост который "флудит" - то ASA не пересылает пакеты хосту - а сама отвечает SYN-ACK клиенту. А атакуемый хост продолжает работать без перебоев, т.к. syn пакеты просто до него не доходят. Другой вопрос цена...
yuriyb
 
Сообщения: 513
С нами с: 01.03.08
Благодарил (а): 67 раз.
Поблагодарили: 108 раз.
 
 
Сообщение Добавлено: Пн 29 окт, 2012 23:15

Мне тоже этот момент не понятен. Просто заблокировать ДДоСерам доступ к сайту, еще на пути исхода пакета! Если там NAT то они и так не смогут зайти на сайт когда он под атакой. Так какой смысл? Режте нафиг пакеты.
delicious
Аватара пользователя
 
Сообщения: 4598
С нами с: 01.04.09
Благодарил (а): 130 раз.
Поблагодарили: 374 раз.
 
 
Сообщение Добавлено: Пн 29 окт, 2012 23:28

Ещё один важный вопрос. Надеюсь на ответ модератора в любой форме. Были ли требования предоставить конечные IP адреса пользователей?
xpen_vam
Аватара пользователя
 
Сообщения: 1002
С нами с: 05.05.11
Благодарил (а): 388 раз.
Поблагодарили: 521 раз.
 
 
Сообщение Добавлено: Пн 29 окт, 2012 23:42

xpen_vam Нет, в этот раз, таких требований не было.
Адмiнiстратор
Аватара пользователя
Адміністратор Форуму
 
Сообщения: 936
С нами с: 14.05.04
Благодарил (а): 19 раз.
Поблагодарили: 139 раз.
 
 
Сообщение Добавлено: Пн 29 окт, 2012 23:52

  Адмiнiстратор писал(а):xpen_vam Нет, в этот раз, таких требований не было.

Т.е в других случаях уже были такие требования?
Весело.
Весьма интересно, какие все-таки требования. Хотя, наверно, не скажете, а то заказчики совсем взбесятся
Faceless
Аватара пользователя
Модератор
 
Сообщения: 37957
С нами с: 24.01.12
Благодарил (а): 1511 раз.
Поблагодарили: 8344 раз.
 
 
4
9
3
Сообщение Добавлено: Вт 30 окт, 2012 00:13

Faceless
Думаю, что скажем, но с известной долей осторожности.
Исполнители с нами пока не связывались и о заказчике мы лишь догадываемся по ряду косвенных признаков и предшествующих событий.
Адмiнiстратор
Аватара пользователя
Адміністратор Форуму
 
Сообщения: 936
С нами с: 14.05.04
Благодарил (а): 19 раз.
Поблагодарили: 139 раз.
 
 
Сообщение Добавлено: Вт 30 окт, 2012 00:55

Re: Портал Finance.UA подвергся DDoS атаке

Как то удивлен что финансы.юа впервые столкнулись с подобной ситуацией, недоброжелателей всегда много. От любого DDoS можно спастись, вопрос в стоимости, штатный сисадмин не всегда может решить такие проблемы. Форум относительно работает.
Скорейшего решения проблемы.
fatalenergy
 
Сообщения: 17
С нами с: 24.10.06
Благодарил (а): 0 раз.
Поблагодарили: 0 раз.
 
 
  #<1 ... 7891011 ... 14>
Форум:
+ Добавить
    тему
Ответить
на тему
Следить
за темой
Сейчас этот форум просматривают: нет зарегистрированных пользователей + гостей: 2
Модераторы: Ірина_, flom, Модератор

Похожие темы

Темы
Ответы Просмотры Последнее
Технічні роботи на форумі Finance
Ірина_ » Пт 15 ноя, 2024 11:43
0 59243
Пт 15 ноя, 2024 11:43
Ірина_
Автоматические прозвоны от finance.ua
HelloAnton » Чт 18 окт, 2018 12:44
8 116434
Пт 18 дек, 2020 08:02
Ірина_
7 76748
Вт 12 янв, 2016 11:46
rufius
Топ
ответов
Топ
пользователей
реклама
Реклама