Ср, 24.05.2017, 16:37
Форум інформатиків України
Головна Реєстрація Вхід
Вітаю Вас, Гість · RSS
Вітання на форумі
Незнайомець
Вітаємо на форумі,
Незнайомцю!

   
зареєструйтесь
Перед реєстрацією обов’язково прочитайте:
Оновлення Учасники Пошук
Особисті повідомлення
Видавництво ’’Аспект’’ Видавництво
Безлимитный хостинг, бесплатный домен, бесплатный хостинг, Хостинг, dedicated, сервер, хостинг в Европе, хостинг в Германии, выделенный сервер

Сторінка 1 з 41234»
Модератор форуму: НІКОЛЯ, Ktara, Bandalak, volevikt 
Форум інформатиків » РОЗДІЛ V: ПРОГРАМНЕ ЗАБЕЗПЕЧЕННЯ » 5.4 ОС Linux » DDoS атака на сайт, немного фактов
DDoS атака на сайт, немного фактов
Jokerz Дата: Чт, 27.11.2014, 18:12 | Повідомлення № 1
Хостер
Повідомлень: 1092
Нагороди: 4
Рейтинг: 63
Довольно часто сталкиваюсь к различными DDoS атаками. Их можно разделить на несколько типов, в зависимости от типов пакетов и принципа атаки. Мне лично больше попадаются именно http flood . При данном типе атаки большое количество подключений делаются именно на веб сервер, для того что бы сервер исчерпал ресурсы и не смог обработать легитимные запросы от пользователей.


по сути создает большое кол-во подключений именно бот нет сеть, что же это такое? Это те компьютеры (и даже смартфоны) которые заражены ботвирусом, начинают создавать множество подключений к сайту, что создает нагрузку на сервер.

В пример приведу скрины сделанные во время одной из атак на сервер клиента:



А теперь тот же сервер только в нормально обыденной нагрузке:


я хотел что бы посетите форума увидели какая нагрузка бывает от атаки, то что на первом скрине, нагрузка появилась буквально в первые 10 минут от начала атаки, зафиксировано более 20 000 подключений.
после включения фильтрации, нагрузка упала, но сама факт решил показать
mul44 Дата: Чт, 27.11.2014, 19:24 | Повідомлення № 2
Наполегливий учасник
Повідомлень: 803
Нагороди: 2
Рейтинг: 41
спасибо
Jokerz Дата: Нд, 08.02.2015, 12:58 | Повідомлення № 3
Хостер
Повідомлень: 1092
Нагороди: 4
Рейтинг: 63
не так давно наблюдали 2 TCP флуд атаки. Загрузка канала к серверу достигала 95 мегабит (скорость подключения к серверу 200 мегабит. ):
Jokerz Дата: Нд, 24.05.2015, 17:45 | Повідомлення № 4
Хостер
Повідомлень: 1092
Нагороди: 4
Рейтинг: 63
В очередной раз на один из сайтов было "покушение" ddos флудом. Атака носила характер флуда http . 

Атака была на мой взгляд тупой. И я решил отключить временно лимитирование и фильтрацию трафика (Ради эксперимента). Что при этом получилось покажу на скринах ниже.

И так что мы имеем: Сервер на базе Debian 7 как веб сервер на базе Intel® Core™ i7 CPU X 980 @ 3.33GHz 3330.000 Mhz X 12 (6 физических и 6 виртуальных ядер), 24 Gb DDR3 ECC и 2 HDD в RAID массиве (зеркало) через внешний рейд контроллер.

И так, первые минуты атаки без каких либо фильтров, логи веб сервера в момент проведения атаки:

IP были разные, кроме того запросы часты и не POST или GET а именно HEAD , правда не особо ясно почему именно такой выбор. Но видно что запросы хаотичны, т.е. рандомны. И useragent так же один и тот же. Последнее можно брать как критерий отбора, у всех ботов он один.

Дальше по графику виден резкий подъем коннектов с мониторинга:


Дальше смотрим в ssh , я использую htop , он более красочный и как по мне информативнее:


Видно резкий уровень нагрузки на CPU причем по всем 12 ядрышкам, потребление ОЗУ растет (апач порождает процессы на каждый конект), меня удивило то что подключение не рвались , а висели. Это было интересно тем что из-за этого эффекта росло количество процессов веб сервера и подключений которые обрабатывает веб сервер, что могло по логике привести к отказу оборудование из-за переполнения ресурсов. Как бы брали этим а не большим кол-вом ботов.
Смотрим что у нас показывает модуль для апача mod_status (очень полезный кстати)


Вот где W знак это означает соединение которые обрабатывается т.е. процесс занят его обработкой. И тут видно отлично что боты создавали подключение к странице но не закрывали его получив ответ от сервера. Что привело к тому что расплодились процессы апача и их стало больше 1000 в оперативе. Но запас то есть 24 гига озу это хорошо.
Смотрим что дальше в htop:


кто в теме тот сразу заметит что процессов уже 1500 штук. Вообщем при этой картине сайт все равно открывался, единственно что иногда отваливалась база mysql над этим еще поработаем о причине. Эксперимент длился минут 30, и мне изрядно надоело да и не гоже что бы были перебои в работе сайта. Включили фильтрацию трафика и отсеяли ботов результат:


и картина в htop:


Вот такие будни админа. Я думаю есть люди которым это интересно.
Jokerz Дата: Чт, 25.06.2015, 06:34 | Повідомлення № 5
Хостер
Повідомлень: 1092
Нагороди: 4
Рейтинг: 63
вчера 24.06.2015, был DDoS на одного из клиентов forum.kambo-pravda.com

Хотелось бы написать о нем поскольку такой мне попадается впервые.
Сама мощность атаки не такая и большая доходила до 40 мегабит в секунду но суть не в том. По сути было 3 атаки. (на графиках ниже будут пики виндны), первая была просто тупой http флуд, многочисленные запросы на корень сайта. По сути не прошла даже первого уровня защиты. Поскольку количество подключений с 1 айпи было больше 100, по сути тупое бомбилово пакетами. Длилось не долго, вероятно поняли что бессмысленно. Сайт работал.

А вот дальше пошло интересно. Дальше уже начали щупать, запросы менялись динамически и шли запросы на поиск по форуму. Что создавало нагрузку на базу данных, логично, нашли более тяжелую страницу и долбили в нее. Не особо помогло. А вот третья волна была поинтереснее и эффективнее.

Первое что обратил внимание:
1. Ботов было в 10 раз больше первых двух атак
2. Боты делали по 1 подключению что спокойно обходило все ограничения на кол-во запросов. Умно
3. Боты умели все то что умеет браузер, словно это 50 000 людей тыкало в браузер, соблюдались все моменты запроса, и боты умели работать и с java, flash, куки, все брали и проглатывали без проблем. Что обходило остальные степени защиты.
4. Запросы шли на рандомно на поиск, и запрашивали каждый раз разную страницу (обычно если одну и ту же страницу запрашивают ее помещаешь в кеш и отдаешь ее боту, что значительно уменьшает нагрузку, ведь не нужно каждый раз ее генерировать)

Исходя из этого понятно что ботнет довольно продуман и очень объемный, а человек которые ведет атаку думает головой и не плохо.

Последняя атака существенно нагрузила сервер, хотя частота запросов была не большой.




Логи запросов внешне такие:

Код
79.110.19.97 - - [24/Jun/2015:17:28:02 +0300] "GET /forum/search?q=305&searchuser=305&childforums=1&limit=20 HTTP/1.0" 200 82373 "-" "Mozilla/5.0 (Windows NT 5.1) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/35.0.3319.102 Safari/537.36"
79.110.17.149 - - [24/Jun/2015:17:28:03 +0300] "GET /forum/search?q=142&searchuser=142&childforums=1&limit=20 HTTP/1.0" 200 82372 "-" "Mozilla/5.0 (Windows NT 5.1) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/35.0.3319.102 Safari/537.36"
79.110.19.40 - - [24/Jun/2015:17:28:03 +0300] "GET /forum/search?q=718&searchuser=718&childforums=1&limit=20 HTTP/1.0" 200 82373 "-" "Mozilla/5.0 (Windows NT 5.1) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/35.0.3319.102 Safari/537.36"
79.110.17.57 - - [24/Jun/2015:17:28:03 +0300] "GET /forum/search?q=510&searchuser=510&childforums=1&limit=20 HTTP/1.0" 200 82376 "-" "Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/41.0.2227.0 Safari/537.36"
79.110.18.51 - - [24/Jun/2015:17:28:03 +0300] "GET /forum/search?q=756&searchuser=756&childforums=1&limit=20 HTTP/1.0" 200 82375 "-" "Opera/9.80 (X11; Linux i686; U; fr) Presto/2.7.62 Version/11.01"
185.14.192.159 - - [24/Jun/2015:17:28:03 +0300] "GET /forum/search?q=831&searchuser=831&childforums=1&limit=20 HTTP/1.0" 200 82375 "-" "Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/29.0.1547.62 Safari/537.36"
79.110.19.94 - - [24/Jun/2015:17:28:03 +0300] "GET /forum/search?q=441&searchuser=441&childforums=1&limit=20 HTTP/1.0" 200 82374 "-" "Mozilla/5.0 (X11; OpenBSD amd64; rv:28.0) Gecko/20100101 Firefox/28.0"
79.110.19.98 - - [24/Jun/2015:17:28:03 +0300] "GET /forum/search?q=632&searchuser=632&childforums=1&limit=20 HTTP/1.0" 200 82374 "-" "Mozilla/5.0 (Macintosh; Intel Mac OS X 10_9_3) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/35.0.1916.47 Safari/537.36"
79.110.17.160 - - [24/Jun/2015:17:28:03 +0300] "GET /forum/search?q=482&searchuser=482&childforums=1&limit=20 HTTP/1.0" 200 82373 "-" "Mozilla/5.0 (Windows NT 6.3; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/41.0.2225.0 Safari/537.36"
185.50.251.177 - - [24/Jun/2015:17:28:03 +0300] "GET /forum/search?q=283&searchuser=283&childforums=1&limit=20 HTTP/1.0" 200 82375 "-" "Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/36.0.1985.67 Safari/537.36"
193.9.158.38 - - [24/Jun/2015:17:28:03 +0300] "GET /forum/search?q=585&searchuser=585&childforums=1&limit=20 HTTP/1.0" 200 82376 "-" "Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/31.0.1623.0 Safari/537.36"
79.110.17.145 - - [24/Jun/2015:17:28:03 +0300] "GET /forum/search?q=715&searchuser=715&childforums=1&limit=20 HTTP/1.0" 200 82376 "-" "Mozilla/5.0 (Windows NT 5.1) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/35.0.2309.372 Safari/537.36"


на самом форуме показатели посещения были привлекательными:


Но закономерности я все равно нашел, и быстро был написан на коленке парсер логов с выборкой IP по условию и построению списка для занесения в фаервол. Вот так и побороли атаку.
НІКОЛЯ Дата: Вт, 30.06.2015, 21:08 | Повідомлення № 6
Знавець вірусів
Повідомлень: 2873
Нагороди: 17
Рейтинг: 197
Смішно))  ;)  Та таку спам атаку може навдь школяр зробити !  Береш наприклад TopGen бета пару поправок в нього і вуаля !!! Кількість потоків  вкатуеш замість 100 наприклад  100 000 і впереееед! B) Ну і ще деякі нюанси)) небуду описувати  детально щоб у декого не виникло бажання попрактикувати)))

Опис офіційний незбоченої версії))

TopGen 3.41 

Что такое TopGen. Программу TopGen обычно используют для имитации реальных посещений страниц сайта, накрутки показателей в статистике счетчиков, баннеров и онлайн голосованиях. С помощью TopGen можно поднять свой сайт в большинстве рейтингов на довольно высокие позиции. Программу используют и в других различных целях... 

TopGen была выведена на свет в 2002 году и с тех пор силами одного человека продолжает существовать и периодически совершенствоваться. До ее появления были и некоторые другие накрутчики, однако на тот момент они уже не отвечали перед примитивнейшими средствами защиты объектов накрутки. Цель автора программы - создать максимально полное и совершенное средство имитации уникальных массовых посещений. Собственно TopGen и является воплощением этой цели. Достигнуто уже немало, более того, пройдена как минимум половина пути. 

Важно отметить, что TopGen - это не просто программка, реализующая казалось бы бесхитростные сетевые операции. TopGen также реализует массу тонкостей, глубоко зарытых в почве спецификаций ряда сетевых протоколов. Для примера, в исходном коде программы более 60.000 строк. Кроме того, она обладает приятным и дружественным интерфейсом, позволяющим рядовому пользователю решать сложнейшие задачи не углу***ясь в детали их решения. В идеале автор стремится свести уровень сложности этого интерфейса к сложности работы с веб-браузером. 

Перечень существенных возможностей TopGen: 
1. Незаметная маскировка вашего IP адреса псевдоадресами. 
2. Накрутка через Прокси и через SOCKS-Прокси. 
3. Имитация времени просмотра страниц вашего сайта. 
4. Детальная настройка накрутки для каждого счетчика в отдельности. 
5. Накрутка счетчиков одновременно и имитация параллельных посещений. 
6. Имитация популярных браузеров и мобильных телефонов. 
7. Обновление списков Прокси, SOCKS и др. в онлайн режиме. Редактирование этих списков. 
8. Подробное ведение статистики показов и кликов. 
9. Настройка расписаний для накрутки по дням недели и часам. 
10. Накрутка кодов баннеров в виде j-cкриптов и IFrame (реализовано не до конца). 
11. Имитация Java-функций и пр. 
12. Работа с "Cookies" и перехватывание редиректов. 

Этот перечень можно было бы расширить в несколько раз, только было бы желание автора программы этим заниматься. 

Программа TopGen условно бесплатная. Незарегистрированный пользователь не может накручивать более 300 показов/кликов в сутки. 

Этому сайту и самой программе TopGen уже более 5 лет и все благодаря тем пользователям, которые заплатили за неограниченное использование программы. 

Однако автор не делает из программы источника высоких доходов. Цена за регистрацию вполне приемлема любому, кому TopGen хоть сколь-нибудь нужна. Это позволяет ему придерживаться намеченной цели и поддерживать установку на универсальность. 

Але як я й писав вище деякі зміни і програмка працює зовсім по інакшому))
Jokerz Дата: Вт, 30.06.2015, 21:16 | Повідомлення № 7
Хостер
Повідомлень: 1092
Нагороди: 4
Рейтинг: 63
:) не хочу разводить холивар, и спорить в технических моментах.
Вы же не школяр а по более, тогда милости прошу атаковать: wishhost.net или по IP 46.4.123.238 буду рад видеть вас:)
таких высказываний я читаю очень много. Так что вперед, докажите свои слова на практике. я так же могу выложить при вашей атаке графики для сравнения
НІКОЛЯ Дата: Вт, 30.06.2015, 21:23 | Повідомлення № 8
Знавець вірусів
Повідомлень: 2873
Нагороди: 17
Рейтинг: 197
ферштейн завтра в 19 00 приступимс так как я немного сейчас стеснён обстановкой))    а за тестирование сервака плюшки будут ?  ;)
Jokerz Дата: Вт, 30.06.2015, 21:40 | Повідомлення № 9
Хостер
Повідомлень: 1092
Нагороди: 4
Рейтинг: 63
Цитата НІКОЛЯ ()
ферштейн завтра в 19 00 приступимс так как я немного сейчас стеснён обстановкой))    а за тестирование сервака плюшки будут ?
 а что именно хотите?:)
хорошо милости просим в гости
Ktara Дата: Вт, 30.06.2015, 22:20 | Повідомлення № 10
Перспективна вчителька
Повідомлень: 3759
Нагороди: 36
Рейтинг: 259
Цитата НІКОЛЯ ()
ферштейн завтра в 19 00 приступимс так как я немного сейчас стеснён обстановкой))    а за тестирование сервака плюшки будут ?
  Коля, привет
я тебя прошу - не поломай ничего :)
а если что - плюшками поделишься? :)
Jokerz Дата: Вт, 30.06.2015, 22:25 | Повідомлення № 11
Хостер
Повідомлень: 1092
Нагороди: 4
Рейтинг: 63
Цитата Ktara ()
Коля, привет я тебя прошу - не поломай ничего
:)) вот уже плюшек закупился. жду.

Цитата Ktara ()
а если что - плюшками поделишься?
я угощу
НІКОЛЯ Дата: Вт, 30.06.2015, 22:48 | Повідомлення № 12
Знавець вірусів
Повідомлень: 2873
Нагороди: 17
Рейтинг: 197
ладно ща попробую сорудить спам ))
НІКОЛЯ Дата: Вт, 30.06.2015, 22:54 | Повідомлення № 13
Знавець вірусів
Повідомлень: 2873
Нагороди: 17
Рейтинг: 197
ПОЕХАЛИИИ))))
Jokerz Дата: Вт, 30.06.2015, 23:05 | Повідомлення № 14
Хостер
Повідомлень: 1092
Нагороди: 4
Рейтинг: 63
жду.:)
Jokerz Дата: Вт, 30.06.2015, 23:25 | Повідомлення № 15
Хостер
Повідомлень: 1092
Нагороди: 4
Рейтинг: 63
Николай, ты подскажи хоть ты сервер или сайт атакуешь, что бы я хотя бы всматривался. Или что то не получается ?
Форум інформатиків » РОЗДІЛ V: ПРОГРАМНЕ ЗАБЕЗПЕЧЕННЯ » 5.4 ОС Linux » DDoS атака на сайт, немного фактов
Сторінка 1 з 41234»
Пошук:


© Форум інформатиків України, 2007-2017.