Ddos форума при постинге сообщений. Вы сталкивались с подобным?

iaroslav · 20 февраля 2013, 14:45:47

Наблюдал сегодня у себя на форуме весьма интересную картину. Заходит какой-то опрдеелённый пользователь, что-то хитрое делает со стандартным механизмом отправки сообщений (то есть долго и задумчиво пишет сообщение, состоящее из нескольких букв q) и сервер банально падает (то есть нгикс начинает высвечать gateway error). Потом сервер оживает, опять заходит этот товарищ, пишет такое же по содержанию сообщение и сервер падает опять.
Интерации эдак на третьей я решил данную проблему баном по ip. Решение оказалось эффективным - сервер больше не падает. Но,в то же время, решение это явно временное.
Никто с подобным не сталкивался? И есть ли какие-либо методы борьбы с такими неприятностями?
P.S. Форум версии 2.0.4 , модификаций затрагивающих систему отправки сообщений вроде нет, но на всякий случай привожу список установленных:
1.SimplePortal 2.3.5
2.SimplePortal russian translation 2.0.4
3.Optimus Brave 1.8.4
4.Fix case-sensitive verification answers 0.1
5.SMFBlog 2.0
6.Count descendant's posts 1.0.3
7.Karma Description Mod 2.7.1
8.Recount Member Posts 1.0.2
9.Memberlist Additional Alphabet 2.0
10.RedirectPage 2.6
11.WYSIWYG Quick Reply 2.3
12.Aeva ~ Auto-Embed Video & Audio 7.2
13.SMF Media Gallery 2.0.5
14.SMF 2.0.3 Update
15.SMF 2.0.4 Update
P.P.S. В логах ошибок из админки форума только свидетельства о множественных неудачных попытках того пользователя ввести пароль (так как пользователь зарегился буквально за пару минут до описываемых мной событий, да ещё и использовал почтовый домен bund.us ,скажем, попытки взлома аккаунта его явно не при чём).
Логи апача смогу посмотреть только вечером.

iaroslav · 20 февраля 2013, 15:35:46

Что характерно, после бана он всё-равно умудряется как-то класть сервер. Но на этот раз в логах остаётся просто запись о попытке входа.

Slavegirl · 21 февраля 2013, 10:05:10

Попробуйте открыть форум и зажать кнопку F5 на 10-20 секунд. Если после этого apache или nginx перестанут на несколько минут отвечать на запросы, нужно читать решение проблемы "F5-ddos attack".

Только что испытала данный трюк на Вашем форуме http://atlantis-empire.com/ , после 10-секундного F5-ддоса сервер молчит примерно полминуты. Можете разбанивать пользователя, эта ддос-атака доступна каждому школьнику с одним компьютером. Если он, конечно, не пользуется другим методом ддоса...

iaroslav · 21 февраля 2013, 10:16:22

Цитата: Slavegirl от 21 февраля 2013, 10:05:10
Попробуйте открыть форум и зажать кнопку F5 на 10-20 секунд. Если после этого apache или nginx перестанут на несколько минут отвечать на запросы, нужно читать решение проблемы "F5-ddos attack".

Только что испытала данный трюк на Вашем форуме http://atlantis-empire.com/ , после 10-секундного F5-ддоса сервер молчит примерно полминуты. Можете разбанивать пользователя, эта ддос-атака доступна каждому школьнику с одним компьютером. Если он, конечно, не пользуется другим методом ддоса...

Методику вашу попробовал. Рещультат понаблюдал....
На основе сделанных наблюдений могу ответить следующее.
Попробуйте таким образом положить сервер в состояние gateway error (при чём именно для всех, а не только для вас). Вот на полном серьёзе.
Всё-таки молчание сервера после "10-секундного F5-ддоса" скорее объясняется запретом на количество одновременных подключений (как только их набегает достаточно сервер лично ваши запросы обрабатывать перестаёт до тех пор, пока количество одновременно открытых соединений с вами не снизится, по таймауту, ниже выставленного в недрах конфига уровня).

Иначе бы сервер регулярно клали всевозможные боты и парсеры. Благо уж чего, чего а этого добра по интернету шастает множество и заходят, по-моему, куда угодно. Ну а их частота запроса куда как выше чем у браузера с зажатым "f5".

Slavegirl · 21 февраля 2013, 10:35:17

Прошлой весной я обнаружила данную уязвимость и у себя на форуме. На данный момент она устранена моим напарником, который администрирует сервер.
Параллельно я попробовала ее проверить на своем местном городском форуме и главном биллинговом сайте своего провайдера. В итоге после 20-секундного F5 на сайте провайдера у всего города выключился интернет на 5 минут. Это также подтвердили мои друзья из другого города, которые в режиме онлайн следили за моей "атакой" на форум и провайдер.

iaroslav · 21 февраля 2013, 10:46:06

Slavegirl, дык а чего вы мне доказываете? Может давайте лучше проверим?
Ну или подожду пока в онлайне появятся "друзья из другого города", или с другого ип, которые могут провести оную "атаку" длительностью, эдак, минуты на пол...

Slavegirl · 21 февраля 2013, 11:03:24

Моя ICQ: 566497125
Давайте спишемся и синхронизируемся. Я буду Вас "ддосить", а Вы в это время пытаться зайти на форум. Мне тоже очень интересен результат.

iaroslav · 21 февраля 2013, 11:08:17

Ничего если вечером? А то я сейчас на работе и icq тут не запустить (порты перекрыты, а к онлайн версии закрыт доступ настройками шлюза).
Ну или давайте через скайп, если есть...

iaroslav · 21 февраля 2013, 11:52:13

Ага, проверили.
Действительно таким образом сервер тоже ложится. Правда не до 502, но вполне можно предположить что у товарища была та же методика, просто более эффективная. Пойду гуглить на тему эффективного ограничения подобного ддоса.