 |
Вітаю Вас, Гість · RSS |
 |
|
DDoS атака на сайт, немного фактов
| |
| Jokerz |
Дата: Th, 27.11.2014, 17:12 | Повідомлення № 1 |
|
Хостер
Повідомлень: 1376
| Довольно часто сталкиваюсь к различными DDoS атаками. Их можно разделить на несколько типов, в зависимости от типов пакетов и принципа атаки. Мне лично больше попадаются именно http flood . При данном типе атаки большое количество подключений делаются именно на веб сервер, для того что бы сервер исчерпал ресурсы и не смог обработать легитимные запросы от пользователей.
по сути создает большое кол-во подключений именно бот нет сеть, что же это такое? Это те компьютеры (и даже смартфоны) которые заражены ботвирусом, начинают создавать множество подключений к сайту, что создает нагрузку на сервер.
В пример приведу скрины сделанные во время одной из атак на сервер клиента:
А теперь тот же сервер только в нормально обыденной нагрузке:
я хотел что бы посетите форума увидели какая нагрузка бывает от атаки, то что на первом скрине, нагрузка появилась буквально в первые 10 минут от начала атаки, зафиксировано более 20 000 подключений.
после включения фильтрации, нагрузка упала, но сама факт решил показать
|
|
| |
| nolk-v |
Дата: Th, 02.07.2015, 22:17 | Повідомлення № 16 |
|
Прописаний назавжди
Повідомлень: 312
| Цитата Jokerz (  ) Николай, ты подскажи хоть ты сервер или сайт атакуешь, что бы я хотя бы всматривался. Или что то не получается ? 
|
|
| |
| Ktara |
Дата: Th, 02.07.2015, 22:49 | Повідомлення № 17 |
|
Перспективна вчителька
Повідомлень: 4317
| Цитата nolk-v ( ) Ну и чем дело кончилось? Положил сайт или нет?
а плюшки обещали :(
|
|
| |
| Jokerz |
Дата: Fr, 03.07.2015, 06:31 | Повідомлення № 18 |
|
Хостер
Повідомлень: 1376
| Я молчу, потому что я жду атаку, а ее нет. Даже малейшего намека на нее. Возможно у Николая не нашлось времени свободного на это дело.
Потому писать было нечего.
|
|
| |
| Jokerz |
Дата: Sa, 04.07.2015, 07:17 | Повідомлення № 19 |
|
Хостер
Повідомлень: 1376
| Николай сейчас в отъезде, перенесли его тест на пятницу.
|
|
| |
| Jokerz |
Дата: Mo, 12.10.2015, 06:00 | Повідомлення № 20 |
|
Хостер
Повідомлень: 1376
| Вчера проходило первое тестирование. Я думаю Николя, сам напишет что да как. Тестирование с его стороны не закончено, еще будет в среду тестировать.
Буду благодарен ему, если он все опишет сюда.
|
|
| |
| Jokerz |
Дата: Tu, 09.02.2016, 21:36 | Повідомлення № 21 |
|
Хостер
Повідомлень: 1376
| Так давно я не писал в эту ветку. Хочу описать DDoS который последние 3 дня происходит на сайте клиента.
Немного пред истории. Клиент является посетителем этого сайта, учитель, создал не плохой сайт на базе lms moodle . Активно его начал развивать. Разместил сайт на хостинге webhost1 насколько я помню. Сайт заблокировали за превышения лимитов процессора и ресурсов сервера, а так же за то что на его сайт активно велась DDoS атака. Он обратился к нам с просьбой разместить сайт у нас, объяснив ситуацию. Нужные нам данные об атаке и логи, к сожалению предоставить не мог, по причине того что хостер ничего не дал. А то что дали - не содержит нужной информации об атаке на него. приняли решение взять к себе что бы протестировать у нас по нагрузке, дать советы по оптимизации, а так же помочь с атакой, если таковая будет.
Перенесли сайт еще ночью, затем утром переписали NS на наши. И спустя пару часов сайт работал у нас. Но буквально через несколько часов, сайт начали атаковать, причем атака была довольно сильная. Признаюсь что я изначально рассчитывал на баловство школьников или зажатие ф5 в браузере (часто хостеры банят за это сайты мотивируя сильной атакой). Но оказалось не так.
Первым отреагировал фаервол ДЦ, нам пришло уведомление об возможной атаке, судя по анализу трафика:
Direction IN
Internal 176.9.7.111
Threshold Packets 150.000 packets/s
Sum 103.605.000 packets/300s (345.350 packets/s), 103.575 flows/300s (345 flows/s), 4,050 GByte/300s (110 MBit/s)
External 24.151.57.10, 11.000 packets/300s (36 packets/s), 11 flows/300s (0 flows/s), 0,005 GByte/300s (0 MBit/s)
External 68.117.250.124, 10.000 packets/300s (33 packets/s), 10 flows/300s (0 flows/s), 0,004 GByte/300s (0 MBit/s)
и т. далее.... лог большой пришел к нам.
Суммарная сила атаки составила 110 мегабит и 103.605.000 пакетов за 300 сек.
Спустя минут 5-10 посмотрели на сайт он висел с 500 ошибкой. Дело понятное, поскольку у нас сейчас технология CloudLinux ограничений, мы выделяем физически ресурсы сервера на 1 аккаунт. И у человека из-за атаки был превышен лимит в кол-во RAM и процессов php . Потому и ошибку получали. Процессы клиента заняли чуть более 1 Gb ОЗУ на сервере, а это предел для данного тарифа, так как породить дополнительный процесс уже было некуда сайт не работал.
Но зато работали нормально остальные. Сервер по сути был стабилен.
И так, по логам было видно четко:
103.198.173.253 - - [09/Feb/2016:13:50:29 +0200] "GET / HTTP/1.0" 500 542 "-" "-"
111.95.133.15 - - [09/Feb/2016:13:50:29 +0200] "GET / HTTP/1.0" 499 0 "-" "-"
42.112.94.26 - - [09/Feb/2016:13:50:29 +0200] "GET / HTTP/1.0" 499 0 "-" "-"
79.115.165.39 - - [09/Feb/2016:13:50:29 +0200] "GET / HTTP/1.0" 503 1777 "-" "-"
14.164.143.197 - - [09/Feb/2016:13:50:29 +0200] "GET / HTTP/1.0" 503 1777 "-" "-"
105.157.202.212 - - [09/Feb/2016:13:50:29 +0200] "GET / HTTP/1.0" 499 0 "-" "-"
120.59.176.57 - - [09/Feb/2016:13:50:29 +0200] "GET / HTTP/1.0" 503 1777 "-" "-"
79.118.250.120 - - [09/Feb/2016:13:50:29 +0200] "GET / HTTP/1.0" 503 1777 "-" "-"
79.115.165.39 - - [09/Feb/2016:13:50:30 +0200] "GET / HTTP/1.0" 503 1777 "-" "-"
105.157.202.212 - - [09/Feb/2016:13:50:30 +0200] "GET / HTTP/1.0" 500 542 "-" "-"
118.108.249.100 - - [09/Feb/2016:13:50:30 +0200] "GET / HTTP/1.0" 499 0 "-" "-"
180.183.9.199 - - [09/Feb/2016:13:50:30 +0200] "GET / HTTP/1.0" 503 1777 "-" "-"
В связи с тем что для этого сайта изначально ожидая атаки поставили лимит в 5 подключений с 1 IP , это немного приструнило ботов, но их вол-во было таковым что этот лимит был по сути бесполезен. Ставить ниже - сайт грузиться медленно и больше половины попадает реальных людей под лимит.
Сила атаки увеличивалась. Атакующий все же достиг своей цели сайт не работал.
Честно говоря это уже было дело интересное. По логу судя использовался старый ботнет, запросы были множественными и без реферала и юзер агента.
Решили использовать защиту проверкой cookies и JAVA скриптом. Подключили через nginx сервер (что бы php и apache не участвовал).
Данная проверка полностью заблокировала всех ботов и освободила сайт от ненужного трафика, нагрузка пришла в норму, сайт работал.
Через пару дней атака пошла с новой силой, судя по данным дц 280 мегабит в сек.
Снова подключили проверку что помогала ранее, но стиль атаки сменился, сила стала больше и атакующий сменил url для атаки, уже атаковал страницы. Я сделал ошибку поставив фильтр только на / сайта, а на страницы нет. Нагрузка поперла, а атакующий снова прорвал барьер.
Переписали защиту на ходу, или как говорят программисты на коленке.
Сделали, снова атака была блокирована. Успешно.
Эта борьба уже приняла подобие битвы. Наша задача была сделать сайт рабочим, что мы и сделали. Под атакой он успешно работал.
Забыл сказать, клиенту сразу выделили внешний IP отдельный и повесили на отдельную сетевую карту, на случай если атака будет такой силы что канал просто упадет, что бы мы могли уже IP заблокировать на маршрутизаторе в ДЦ. Но не пригодилось.
Я думаю эта битва за этот сайт не последняя. С каждым разом атакующий придумывает что то новое. И почему то ему нужен именно этот сайт ...
Честно говоря я до сих пор не могу понять зачем атаковать такой сайт, есть куча интернет магазинов и прочее, а тут мудловский сайт от школы...
С ув. Евгений
|
|
| |
| vinohodov |
Дата: We, 10.02.2016, 08:15 | Повідомлення № 22 |
|
Прописаний назавжди
Повідомлень: 337
| Может бывший ученик? Которому, по его разумению, нанесли несправедливую обиду во время обучения в данной школе?
|
|
| |
| Jokerz |
Дата: We, 10.02.2016, 09:57 | Повідомлення № 23 |
|
Хостер
Повідомлень: 1376
| может и так, но для этого он должен быть не глупым в айти и имень ботнет сеть. Я таких учеников не видел
|
|
| |
| Ktara |
Дата: We, 10.02.2016, 11:01 | Повідомлення № 24 |
|
Перспективна вчителька
Повідомлень: 4317
| Цитата Jokerz ( ) может и так, но для этого он должен быть не глупым в айти и имень ботнет сеть. Я таких учеников не видел |
|
| |
| Jokerz |
Дата: We, 10.02.2016, 15:40 | Повідомлення № 25 |
|
Хостер
Повідомлень: 1376
| Ну пусть и так. Но моя задача сделать рабочим веб сайт на нашем хостинге, все остальное нас не интересует. Будем держаться до последнего.
|
|
| |
| Jokerz |
Дата: We, 10.02.2016, 18:43 | Повідомлення № 26 |
|
Хостер
Повідомлень: 1376
| Новая атака на тот же сайт. Мощность не меряли, но зато изменилась атака и подход. Это интересно. Ранее видно было что нету юзер агент и реферала. Исправил, поменял тип запроса на HEAD
Вот логи атаки:
177.21.33.34 - - [10/Feb/2016:18:35:33 +0200] "HEAD / HTTP/1.1" 444 0 "-" "Mozilla/5.0 (Windows NT 6.2) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/28.0.1464.0 Safari/537.36
116.110.4.135 - - [10/Feb/2016:18:35:33 +0200] "HEAD / HTTP/1.1" 444 0 "-" "Mozilla/5.0 (Windows NT 6.3; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/43.0.2357.81 Safari/537.36
187.190.160.232 - - [10/Feb/2016:18:35:33 +0200] "HEAD / HTTP/1.1" 444 0 "-" "Mozilla/5.0 (Windows NT 6.2) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/28.0.1464.0 Safari/537.36
86.127.203.104 - - [10/Feb/2016:18:35:33 +0200] "HEAD / HTTP/1.1" 444 0 "-" "Mozilla/5.0 (Windows NT 6.2) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/28.0.1464.0 Safari/537.36
86.127.203.104 - - [10/Feb/2016:18:35:33 +0200] "HEAD / HTTP/1.1" 444 0 "-" "Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 6.1; WOW64; Trident/4.0; SLCC2; .NET CLR 2.0.50727; .NET CLR 3.5.30729; .NET CLR 3.0.30729; .NET4.0C; .NET4.0E; Media Center PC 6.0)
80.8.30.137 - - [10/Feb/2016:18:35:33 +0200] "HEAD / HTTP/1.1" 444 0 "-" "Mozilla/5.0 (Windows NT 6.3; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/43.0.2357.81 Safari/537.36
94.60.92.174 - - [10/Feb/2016:18:35:33 +0200] "HEAD / HTTP/1.1" 444 0 "-" "Opera/9.80 (X11; Linux i686; Ubuntu/14.10) Presto/2.12.388 Version/12.16
94.60.92.174 - - [10/Feb/2016:18:35:33 +0200] "HEAD / HTTP/1.1" 444 0 "-" "Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/37.0.2062.124 Safari/537.36 PSafe Internet
Причем интересно что useragent разны, рандомный, это хороший подход с его стороны. Я скажу что растет парень. А вообще такое впечатление что он читает эту ветку форума и активно меняет атаку и подход к ней.
|
|
| |
| beregok |
Дата: We, 10.02.2016, 19:04 | Повідомлення № 27 |
|
Прописаний назавжди
Повідомлень: 316
| Как бойцы невидимого фронта.
Воюют не покладая рук и не "сворачия консоль"
Когда-то сайт нашей школы атаковали, Как помню пришла смс с уведомлением об атаке, я в шоке, что делать, неужели сайт закроют, столько работы в все коту под хвост...
Вот так живешь себе, а тебя атакуют - за что?
Ну слава богу, администраторы из компании WishHost ответственные и профи своего дела, не взирая на то что сайт на бесплатном тарифе, оперативано поставили фирменную защиту на админ-панель и работоспобность была востановлена.
Ура, я спокойно выдох!!! Больше атак не было, и не будет, WishHost всегда заботиться об своих клиентах
P.S. Почему-то вспомнился сериал "Мистер робот" и захотелось посмотреть 2 сезон
|
|
| |
| Jokerz |
Дата: Th, 11.02.2016, 09:31 | Повідомлення № 28 |
|
Хостер
Повідомлень: 1376
| Ох... шел уже наверно 7 день борьбы.
Зафиксировали еще одну попытку:
113.190.84.15 - - [11/Feb/2016:09:14:59 +0200] "HEAD /login/index.php HTTP/1.1" 444 0 "-" "Mozilla/5.0 (Windows NT 6.2) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/28.0.1464.0 Safari/537.36
219.91.158.42 - - [11/Feb/2016:09:14:59 +0200] "HEAD /login/index.php HTTP/1.1" 444 0 "-" "Mozilla/5.0 (Windows NT 6.3; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/43.0.2357.81 Safari/537.36
116.104.212.250 - - [11/Feb/2016:09:14:59 +0200] "HEAD /login/index.php HTTP/1.1" 444 0 "-" "Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/37.0.2062.124 Safari/537.36 PSafe Internet
39.116.246.122 - - [11/Feb/2016:09:14:59 +0200] "HEAD /login/index.php HTTP/1.1" 444 0 "-" "Mozilla/5.0 (Windows NT 6.2) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/28.0.1464.0 Safari/537.36
36.76.182.102 - - [11/Feb/2016:09:14:59 +0200] "HEAD /login/index.php HTTP/1.1" 444 0 "-" "Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 6.1; WOW64; Trident/4.0; SLCC2; .NET CLR 2.0.50727; .NET CLR 3.5.30729; .NET CLR 3.0.30729; .NET4.0C; .NET4.0E; Media Center PC 6.0)
84.108.154.154 - - [11/Feb/2016:09:14:59 +0200] "HEAD /login/index.php HTTP/1.1" 444 0 "-" "Mozilla/5.0 (Windows NT 6.2) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/28.0.1464.0 Safari/537.36
84.108.154.154 - - [11/Feb/2016:09:14:59 +0200] "HEAD /login/index.php HTTP/1.1" 444 0 "-" "Mozilla/5.0 (Windows NT 6.2) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/28.0.1464.0 Safari/537.36
171.250.177.221 - - [11/Feb/2016:09:14:59 +0200] "HEAD /login/index.php HTTP/1.1" 444 0 "-" "Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 6.1; WOW64; Trident/4.0; SLCC2; .NET CLR 2.0.50727; .NET CLR 3.5.30729; .NET CLR 3.0.30729; .NET4.0C; .NET4.0E; Media Center PC 6.0)
Уже не в "корень долбит" а целенаправленно на HEAD /login/index.php HTTP/1.1
Пока писал пост, атака видоизменилась. Смешались методы Http запроса:
118.237.50.253 - - [11/Feb/2016:09:22:55 +0200] "HEAD /login/index.php HTTP/1.1" 444 0 "-" "Mozilla/5.0 (Windows NT 6.1; WOW64; Trident/7.0; AS; rv:11.0) like Gecko
36.76.182.102 - - [11/Feb/2016:09:22:55 +0200] "HEAD /login/index.php HTTP/1.1" 444 0 "-" "Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/37.0.2062.124 Safari/537.36 PSafe Internet
42.150.110.90 - - [11/Feb/2016:09:22:55 +0200] "HEAD /login/index.php HTTP/1.1" 444 0 "-" "Mozilla/5.0 (Windows NT 6.1; WOW64; Trident/7.0; AS; rv:11.0) like Gecko
1.54.12.37 - - [11/Feb/2016:09:22:55 +0200] "POST /login/index.php HTTP/1.1" 200 1477 "-" "Mozilla/5.0 (Windows NT 6.2) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/28.0.1464.0 Safari/537.36
171.250.177.221 - - [11/Feb/2016:09:22:55 +0200] "POST /login/index.php HTTP/1.1" 200 1477 "-" "Mozilla/5.0 (Windows NT 6.1; WOW64; Trident/7.0; AS; rv:11.0) like Gecko
42.150.110.90 - - [11/Feb/2016:09:22:55 +0200] "POST /login/index.php HTTP/1.1" 200 1477 "-" "Mozilla/5.0 (Windows NT 6.1; WOW64; Trident/7.0; AS; rv:11.0) like Gecko
171.235.22.168 - - [11/Feb/2016:09:22:55 +0200] "POST /login/index.php HTTP/1.1" 200 1477 "-" "Opera/9.80 (X11; Linux i686; Ubuntu/14.10) Presto/2.12.388 Version/12.16
171.250.177.221 - - [11/Feb/2016:09:22:55 +0200] "POST /login/index.php HTTP/1.1" 200 1477 "-" "Opera/9.80 (X11; Linux i686; Ubuntu/14.10) Presto/2.12.388 Version/12.16
1.52.34.202 - - [11/Feb/2016:09:22:55 +0200] "POST /login/index.php HTTP/1.1" 200 1477 "-" "Mozilla/5.0 (Windows NT 6.3; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/43.0.2357.81 Safari/537.36
36.76.182.102 - - [11/Feb/2016:09:22:55 +0200] "HEAD /login/index.php HTTP/1.1" 444 0 "-" "Opera/9.80 (X11; Linux i686; Ubuntu/14.10) Presto/2.12.388 Version/12.16
1.54.12.37 - - [11/Feb/2016:09:22:55 +0200] "POST /login/index.php HTTP/1.1" 200 1477 "-" "Mozilla/5.0 (Windows NT 6.3; WOW64; rv:38.0) Gecko/20100101 Firefox/38.0
По логу видно что HEAD и POST, HEAD нам для пользователей не нужен что бы просмотреть сайт, потому мы его блокируем для сайта и отдаем 444 код ошибки, что бы даже подключение не создавать к серверу. А вот POST не обрубить, тут его уже фильтровать нужно, вот он и понял это. Пошли POST запросы.
Они проходили потому как в логе код 200 означает что страницу успешно отдали. Но снова подключений настолько много что ресурсы сайта снова закончились.
Снова подключили защиту.
И несколько картинок для тех кто разбирается в Linux. Это утренняя атака.
После включения фильтрации
По первому скрину может показаться что нагрузки нет. Нагрузка есть обратите внимание на LA/ Правда для этого сервер счиатется 24.0 и выше уже нагрузка все что ниже, ерунда. Но мы отталкиваемся не от максимума или минимума, а от разницы между ежедневной и текущей.
Клиенту разрешено использовать 40% одного ядра данного сервера, потому и сдерживается нагрузка. Даже при атаке если сайт потребляет много ресурсов, остальные сайты этого не ощущают и работает как и работали.
Відредаговано: Jokerz - Th, 11.02.2016, 09:34 |
|
| |
| Jokerz |
Дата: Th, 11.02.2016, 09:33 | Повідомлення № 29 |
|
Хостер
Повідомлень: 1376
| Еще интересно статистика на сайте, пока сайт работает он записывает. И вот скрин при каждой атаке. На графике ее видно. Зато посещаемость что нужно)
|
|
| |
| Jokerz |
Дата: Th, 11.02.2016, 10:27 | Повідомлення № 30 |
|
Хостер
Повідомлень: 1376
| Цитата vinohodov ( ) Может бывший ученик? Которому, по его разумению, нанесли несправедливую обиду во время обучения в данной школе? |
|
| |
© Форум інформатиків України, 2007-2022.  |
Бонуси!
Корисні сайти
Увійдіть
зареєструйтесь
Правила форуму
Оновлення
Учасники
Пошук
