ДДоС

kak2z · 13 мая 2012, 23:47:45

Вот сижу сейчас под ДДоСом и думаю.. А как остальные борются с такой напастью? Может кто что посоветует? Скрипты? Хостеры предлагающие с серверами услугу антиддоса? Или еще что то?

digger® · 13 мая 2012, 23:56:08

Цитата: kak2z от 13 мая 2012, 23:47:45
Вот сижу сейчас под ДДоСом и думаю.. А как остальные борются с такой напастью? Может кто что посоветует? Скрипты? Хостеры предлагающие с серверами услугу антиддоса? Или еще что то?

А как вы узнали про DDoS ?

kak2z · 14 мая 2012, 00:05:39

Цитата: digger от 13 мая 2012, 23:56:08
А как вы узнали про DDoS ?

админы хостера сказали... тысячи подключений одновременно появляются..

digger® · 14 мая 2012, 00:30:46

Цитата: kak2z от 14 мая 2012, 00:05:39
админы хостера сказали... тысячи подключений одновременно появляются..

И прям с тысяч разных IP?

kak2z · 14 мая 2012, 00:34:18

Цитата: digger от 14 мая 2012, 00:30:46
И прям с тысяч разных IP?

да не... но десяток банишь... они с других айпишников лезут.. сейчас вроде успокоилось.. они там какой то скрипт прицепили что бы автоматом банил...

kak2z · 14 мая 2012, 07:35:50

DDoS прекратился)) как то быстро они остановились.. Пока сайт висел, а саппорт доблестно блокировал АйПишники злоумышленников я лазил по инету.. нашел хостинги которые предлагают ддос защиту прямо в флаконе. Нашел отдельные конторы которые за 100 баксов обещают фильтровать весь трафик. Но нашел еще и такой скрипт который вроде даже хвалят
http://klavasoft.com/antiddos#files
никто с ним не работал? Может такие плюшки кто то оформит в виде мода?

Mavn · 14 мая 2012, 08:49:38

со средними ддос атаками и csf по идее будет справляться

kak2z · 14 мая 2012, 09:17:11

Спасибо. Что то мне гугл по этому запросу совсем не то выдал https://www.google.ru/search?q=csf&hl=ru&safe=off&prmd=imvns&source=lnt&tbs=lr:lang_1ru&lr=lang_ru&sa=X&ei=OJSwT46VB4qe-wb9xaz3CA&ved=0CAkQpwUoAQ&biw=1366&bih=643

maestrosite.ru · 14 мая 2012, 09:29:36

Цитата: kak2z от 14 мая 2012, 09:17:11
Спасибо. Что то мне гугл по этому запросу совсем не то выдал https://www.google.ru/search?q=csf&hl=ru&safe=off&prmd=imvns&source=lnt&tbs=lr:lang_1ru&lr=lang_ru&sa=X&ei=OJSwT46VB4qe-wb9xaz3CA&ved=0CAkQpwUoAQ&biw=1366&bih=643

а если так: https://www.google.ru/search?q=csf+ddos&btnG=%D0%9F%D0%BE%D0%B8%D1%81%D0%BA&hl=ru&safe=off&tbs=lr%3Alang_1ru&lr=lang_ru&biw=1366&bih=643 ?

Mavn · 14 мая 2012, 09:41:02

http://www.configserver.com/cp/csf.html

kak2z · 14 мая 2012, 14:27:01

Спасибо большое. Сейчас саппорту хостера покажу рекомендации.

kak2z · 14 мая 2012, 15:59:02

Цитата: Mavn от 14 мая 2012, 09:41:02
http://www.configserver.com/cp/csf.html

попросил админов поставить.. думаю скоро поставят..
они вообще я так понял сами скрипты пишут которые банят автоматом.

kak2z · 14 мая 2012, 16:33:07

Извините за даблпостинг)) Админы сказали что csf проблематично будет работать с ISPМенеджером
В общем пока без него буду)

Mavn · 14 мая 2012, 16:42:03

у меня на соседнем впс работает больше года,(ISPmanager + csf) клиент не жалуется

)

kak2z · 15 мая 2012, 08:16:15

Цитата: Mavn от 14 мая 2012, 16:42:03csf

а если установить csf то атакующие IP будут автоматом блокироваться? А то они ночью ддосят - а я ночью спать хочу.. только что прошел по конторам которые обещают защитить от ДДоСа.. цены везде такие что легче не спать ночами)

digger® · 15 мая 2012, 08:31:24

Цитата: kak2z от 15 мая 2012, 08:16:15
а если установить csf то атакующие IP будут автоматом блокироваться? А то они ночью ддосят - а я ночью спать хочу.. только что прошел по конторам которые обещают защитить от ДДоСа.. цены везде такие что легче не спать ночами)

А долбят то куда? В какую-то страницу конкретную или просто на ip?
Можно в Nginx поиграть с limit_req_zone. И если ошибку 444 вместо 403 отдавать, снижает нагрузку.

kak2z · 15 мая 2012, 08:40:11

Цитата: digger от 15 мая 2012, 08:31:24
А долбят то куда? В какую-то страницу конкретную или просто на ip?
Можно в Nginx поиграть с limit_req_zone. И если ошибку 444 вместо 403 отдавать, снижает нагрузку.

да я ж не разбираюсь куда)) вот будет новый подход - тогда спрошу у админов) пока вроде полет нормальный..

kak2z · 15 мая 2012, 10:56:48

Миллион извинений за даблпостинг)) но кто может сказать - смысл ддосить форум по 2 часа... тем более ночью? позиции в ПС не просядут... страницы не выпадут.. чего добиваются? Как вы думаете?

maestrosite.ru · 15 мая 2012, 11:00:41

1. тренировка своих систем
2. проверка вашего состояния
3. разведка боем, подготовка предстоящих событий
4. ошибка определения происходящего
5. кривой сканер
и тд...

kak2z · 15 мая 2012, 11:44:03

О)) снова началось)) кстати что заметил.. когда включен портал - то страницы открываются по 5-7 секунд.. как только портал отключаешь.. сразу же ДДоС становиться не так заметен...

kak2z · 15 мая 2012, 13:02:23

Извините что спамлю - но актуальная проблема... в общем ддосят... когда включен СимплПортал страница может открываться очень долго или вместо страница выпадает ошибка 504. Но как только портал отключаю скорость генерации страниц становиться приемлимой.. 0.6-0.8 секунда... неужели портал так может тупить? или может они нашли уязвимость в портале которая позволяет валить апач??

digger® · 15 мая 2012, 13:13:21

Цитата: kak2z от 15 мая 2012, 13:02:23
Извините что спамлю - но актуальная проблема... в общем ддосят... когда включен СимплПортал страница может открываться очень долго или вместо страница выпадает ошибка 504. Но как только портал отключаю скорость генерации страниц становиться приемлимой.. 0.6-0.8 секунда... неужели портал так может тупить? или может они нашли уязвимость в портале которая позволяет валить апач??

Да в этом портале один только блок с фоточками из галереи наверняка работает так - выбирает из базы все фотки, потом все сортирует в случайном порядке и отбирает 6 фоток. И так при каждом запросе страницы. И никакого кэширования.
Чатик еще...

Может там и не Досит никто. Просто 300 гостей зашло из которых десяток шустрых ботов - и полегло все...

kak2z · 15 мая 2012, 13:15:24

чатик и картинки видны только авторизированным пользователям... а у меня их онлайн обычно 20-30 человек.. для неавторизированных вообще половина всего отключается.

GeorG · 15 мая 2012, 19:50:44

Я один раз повесил статью с множеством картинок (вложение) и ну очень длинную по содержанию (хотя она и обрезалась на 700 символах). Первая страница перестала открываться (кажется была 500 ошибка), включалась иногда только. Убрал статью, и все заработало.

Mavn · 15 мая 2012, 21:49:14

kak2z
дальше последует миллион предупреждений, по-моему не трудно отредактировать сообщение тем более что и времени не так много проходит да и один фиг сообщения некоторые перечитываются!

kak2z · 15 мая 2012, 21:57:31

Цитата: Mavn от 15 мая 2012, 21:49:14
kak2z
дальше последует миллион предупреждений, по-моему не трудно отредактировать сообщение тем более что и времени не так много проходит да и один фиг сообщения некоторые перечитываются!

да-да-да... знаю что нельзя.. но очень надо было апнуть... истерическая паника была)

CedarMill · 16 мая 2012, 00:33:03

kak2z, попробуйте поставить ограничение на количество подключений к dovecot
login_processes_count = 1

Возможно у вас не ддос, а просто хостинг не выдерживает нагрузку...

Mr. Anviss · 16 мая 2012, 01:32:58

Цитата: kak2z от 14 мая 2012, 00:05:39А как вы узнали про DDoS ?

Как то пришел домой, уставший такой. Ну и решил проверить что там в базе твориться. Дай думаю почищу лог ошибок. Ну и с дуру удалил таблицу. И с чувством выполненного долга пошел лег спать. Просыпаюсь - караул. Форум работает через раз. Посмотрел top - мама моя родная. Apache больше 100 процессов запустил, обычно не более 15. Ну думаю ДДОСят. В итоге конечно разобрался что к чему. Таблицу восстановил и все заработало как прежде. Вот такой "ДДОС" получился.

kak2z · 16 мая 2012, 05:12:19

Цитата: Mr. Anviss от 16 мая 2012, 01:32:58
Как то пришел домой, уставший такой. Ну и решил проверить что там в базе твориться. Дай думаю почищу лог ошибок. Ну и с дуру удалил таблицу. И с чувством выполненного долга пошел лег спать. Просыпаюсь - караул. Форум работает через раз. Посмотрел top - мама моя родная. Apache больше 100 процессов запустил, обычно не более 15. Ну думаю ДДОСят. В итоге конечно разобрался что к чему. Таблицу восстановил и все заработало как прежде. Вот такой "ДДОС" получился.

да тут хостер сказал что с одного АйПи идет куча подключений - а таких АйПи тоже не мало.. только блокируешь АйПишник через минуту тормоза на форуме проходят.. в общем написали они скрипт который блокирует сильно активные подключения.

Mr. Anviss · 16 мая 2012, 10:18:48

А просто ограничить количество подключений никак нельзя было?
Хотя бы так (здесь ограничено двумя подкл. с одного ip)

Код Выделить

iptables -I INPUT -p tcp --syn --dport 80 -m connlimit --connlimit-above 2 -j REJECT

kak2z · 16 мая 2012, 11:45:44

Цитата: Mr. Anviss от 16 мая 2012, 10:18:48
А просто ограничить количество подключений никак нельзя было?
Хотя бы так (здесь ограничено двумя подкл. с одного ip)
Код Выделить Развернуть
iptables -I INPUT -p tcp --syn --dport 80 -m connlimit --connlimit-above 2 -j REJECT

а сколько обычно один клиент создает подключений?

Mr. Anviss · 16 мая 2012, 11:49:22

Если не ошибаюсь то одно и по нему все тянет. Можете выставить не 2, а то что прописано у MaxClients

maestrosite.ru · 16 мая 2012, 11:53:38

Кстати, ещё вариант: закрывать соединение после отдачи файла. Конечно, чуток возрастёт общее время на получение страницы. Но висящих подключений не будет, ресурсы сервера будут освобождаться.

Mr. Anviss · 16 мая 2012, 11:58:11

maestrosite.ru Так проблема вроде не в том, что соединения висят открытыми. Создается много запросов на соединение. Вот я и посоветовал ограничить число соединений для одного ip.

maestrosite.ru · 16 мая 2012, 12:26:13

Здесь в наших высказываниях нет противоречия. Ограничиваем количество соединений 1) не допускаем новых 2) удаляем отработавшие.
Кстати, если это действительно боты развлекаются, то и соединения они могут со своей стороны не закрывать.

kak2z · 16 мая 2012, 12:33:06

а это никак не повлияет на быстро роботов? на индексацию? боты ПС тоже ведь могут заходить с одного АйПи...

Mr. Anviss · 16 мая 2012, 12:36:49

Но ведь страница будет отдаваться полностью на индексацию, а если он будет долбить ее 500 раз в сек то пусть идет лесом. И разве в robots.txt нет директивы которая задает частоту сканирования?
p.s.
как написал выше создается одно подключение и по нему все тянется и страница и ее ресурсы. в протоколе http поле connection скорее всего keep-alive это значит соединение не разрывается. maestrosite.ru не пойму какую выгоду получу если буду закрывать соединение.

elllene · 11 апреля 2013, 05:16:11

kak2z, так как вы решили проблему?
Очень актуальна тема, уже 7 день доссят, вчера начали очень активно прям с несколькими ip
Форум не уходит в аут, но бьет все рекорды по нагрузке.

Хостер единственное что смог сделать - это включил для форума сервер nginx в режиме кеширования. Помогло, но форум только можно читать и все, в него невозможно зайти и писать, сразу ошибка 404 или 403. Понятно, что это не выход, но есть более разумные идеи что с этим можно сделать?

kak2z · 11 апреля 2013, 08:44:48

Цитата: elllene от 11 апреля 2013, 05:16:11
kak2z, так как вы решили проблему?
Очень актуальна тема, уже 7 день доссят, вчера начали очень активно прям с несколькими ip
Форум не уходит в аут, но бьет все рекорды по нагрузке.

Хостер единственное что смог сделать - это включил для форума сервер nginx в режиме кеширования. Помогло, но форум только можно читать и все, в него невозможно зайти и писать, сразу ошибка 404 или 403. Понятно, что это не выход, но есть более разумные идеи что с этим можно сделать?

у меня тогда ВПС был - блокировал АйПи через IPTables

iaroslav · 11 апреля 2013, 09:48:26

Цитата: elllene от 11 апреля 2013, 05:16:11
Хостер единственное что смог сделать - это включил для форума сервер nginx в режиме кеширования. Помогло, но форум только можно читать и все, в него невозможно зайти и писать, сразу ошибка 404 или 403. Понятно, что это не выход, но есть более разумные идеи что с этим можно сделать?

Может, кому пригодится...
Если разово атака идёт с нескольких ip (cиречь меньше десятка), да ещё и стоит ngix то можно банально в настройках ngix прописать лимит на количество одновременных соединений с одного ip.
Мне вот помогло - с тех как поставил проблемы исчезли. При чём возможно и по чисто психолоогической причине, ибо ошибка ngix при превышении соединений мало отличается от ошибки при падении форума. Так что хакеры (хотя, исходя из последующего, скорее кулхацкеры) сперва долго были уверены, что успешно кладут форум в разы быстрее чем раньше. А как узнали правду (а именно, что форум теперь работает нормально и ошибка выдаётся персонально им) разочаровались и исчезли в неизвестном направлении.
Собственно тема моя по этому воводу вот. А как именно ограничивать количество подключений, насколько я понял, зависит от версии ngix ибо там от версии к версии слегка изменяется синтаксис.

elllene · 11 апреля 2013, 10:03:09

iaroslav, можете конкретно написать, что именно вы прописали и сделали?
мой хостер сказал, это единственное чем он может помочь уже сделано, теперь хоть смогу ему дать что-то конкретное.

elllene · 11 апреля 2013, 10:07:07

и еще, не влияет ли это на пауков поисковых и какое количество соединений с одного ip у вас стоит.
хостер по асе сказал они могут такое сделать, но больше конкретики

iaroslav · 11 апреля 2013, 10:27:57

Сказать могу, но только вечером. Сейчас я на работе и доступа к хостингу у меня нет. Ну а на память, какое из найденных в яндексе решений я применял - не помню.
Ровно как и сколько одновременных соединений ставил тоже не помню.
P.S. На ботов, судя по всему, не повлияло. Так как форум тем же яндексом (если верить яндекс вебмастеру) вполне нормально индексируется.

elllene · 11 апреля 2013, 10:35:35

iaroslav, оставила уже заявку, то что вы посоветовали и снять nginx в режиме кеширования, верю в чудо.
не хочется менять хостера из-за таких проблем.

а как думаете существуют моды для этого движка, чтобы автоматом форум сам блокировал ip?
судя по статистике доссеры ушли спать 3-4 часа назад, устали видно

iaroslav · 11 апреля 2013, 10:53:30

Моды вроде существуют, но я ими не пользовался и сказать ничего определённого не могу (.

elllene · 11 апреля 2013, 10:57:19

iaroslav, спасибо, потом отпишусь помогло ли,

хочу еще мод от бурдфроса поставить на всякий пожарный
а то главный сайт постоянно бурдфросят на вп (но с вп защита без проблем, плагины отлично помогают), а за форум вот недавно взялись.
но по логам не видела, чтобы форум бурдфросили, но лучше со всех подстраховаться.

cdroller · 11 сентября 2013, 19:48:20

fail2ban решение всех проблем связанных с небольшим ддосом, брутом и т.п.