Адмiнiстратор написав:Коллеги, Злоумышленники "резолвяд" ДНС, поэтому с тактикой "убегать на новый ip" можно расслабиться. Но в любом случае, за советы большое человеческое спасибо! Я их все "в клюве" доношу сисадминам.
Единственный,на мой взгляд,выход это рубить запросы по входящим ip на firewall`е. Только так можно все исправить но это временная мера. Как вариант нужно железное решения которое будет синхронизировать свои базы по ботам и т.п. с центральным сервером.
Это не выход. Т.к. много пользователей работают через NAT. Пограничный роутер надо нормальный. Типа
TCP Intercept and Limiting Embryonic Connections
Limiting the number of embryonic connections protects you from a DoS attack. The ASA uses the per-client limits and the embryonic connection limit to trigger TCP Intercept, which protects inside systems from a DoS attack perpetrated by flooding an interface with TCP SYN packets. An embryonic connection is a connection request that has not finished the necessary handshake between source and destination. TCP Intercept uses the SYN cookies algorithm to prevent TCP SYN-flooding attacks. A SYN-flooding attack consists of a series of SYN packets usually originating from spoofed IP addresses. The constant flood of SYN packets keeps the server SYN queue full, which prevents it from servicing connection requests. When the embryonic connection threshold of a connection is crossed, the ASA acts as a proxy for the server and generates a SYN-ACK response to the client SYN request. When the ASA receives an ACK back from the client, it can then authenticate the client and allow the connection to the server.
Ваши читатели вас поддерживают. Было бы замечательно, эсли бы ресурс не повелся на требования "покращувачів" и не стал заповедников для кузеров. А выметал их, как делал это до сих пор. Спасибо за вашу роботу.
Ещё бы не помешало сделать зеркала сайта с другими доменными именами. Если основной ресурс положили, то зеркала бы работали.
против ддоса есть только несколько способов. 1. отрубать по ИП. но могут пострадать другие юзеры что на этом/этих ИП тоже сидят. 2. переброска на месяц-другой на более мощный хостинг. с одновременным отрубанием почти всех дополнительных функций. трудно, дорого и долго. 3. на моменты атак на сайте вся тяжелая фигня с сайта вообще делается недоступной. выставляется специально очень легкая версия портала с "внешней" рекламой. боы активно делают просмотры - будут деньги с рекламы. вместо полного лежания сайта можно донести любую нужную информацию. будь то новый временный адрес, предупреждение о недоступности или все что угодно. ддос-ить текстовую версию сайта с "внешней" рекламой - бестолку.
cellar написав:против ддоса есть только несколько способов. 1. отрубать по ИП. но могут пострадать другие юзеры что на этом/этих ИП тоже сидят. 2. переброска на месяц-другой на более мощный хостинг. с одновременным отрубанием почти всех дополнительных функций. трудно, дорого и долго. 3. на моменты атак на сайте вся тяжелая фигня с сайта вообще делается недоступной. выставляется специально очень легкая версия портала с "внешней" рекламой. боы активно делают просмотры - будут деньги с рекламы. вместо полного лежания сайта можно донести любую нужную информацию. будь то новый временный адрес, предупреждение о недоступности или все что угодно. ддос-ить текстовую версию сайта с "внешней" рекламой - бестолку.
Все это фигня. Cisco ASA (Adaptive Security Appliance) рулит. Подобного рода межсетевые экраны умеют аппаратно отсекать syn-flood. Каждый пакет анализируется, если обнаруживается хост который "флудит" - то ASA не пересылает пакеты хосту - а сама отвечает SYN-ACK клиенту. А атакуемый хост продолжает работать без перебоев, т.к. syn пакеты просто до него не доходят. Другой вопрос цена...
Мне тоже этот момент не понятен. Просто заблокировать ДДоСерам доступ к сайту, еще на пути исхода пакета! Если там NAT то они и так не смогут зайти на сайт когда он под атакой. Так какой смысл? Режте нафиг пакеты.
Адмiнiстратор написав:xpen_vam Нет, в этот раз, таких требований не было.
Т.е в других случаях уже были такие требования? Весело. Весьма интересно, какие все-таки требования. Хотя, наверно, не скажете, а то заказчики совсем взбесятся
Faceless Думаю, что скажем, но с известной долей осторожности. Исполнители с нами пока не связывались и о заказчике мы лишь догадываемся по ряду косвенных признаков и предшествующих событий.
Как то удивлен что финансы.юа впервые столкнулись с подобной ситуацией, недоброжелателей всегда много. От любого DDoS можно спастись, вопрос в стоимости, штатный сисадмин не всегда может решить такие проблемы. Форум относительно работает. Скорейшего решения проблемы.
vragina написав:
