Вт, 06.12.2016, 02:44
Форум інформатиків України
Головна Реєстрація Вхід
Вітаю Вас, Гість · RSS
Вітання на форумі
Незнайомець
Вітаємо на форумі,
Незнайомцю!

   
зареєструйтесь
Перед реєстрацією обов’язково прочитайте:
Оновлення Учасники Пошук
Особисті повідомлення
Видавництво ’’Аспект’’ Видавництво
Безлимитный хостинг, бесплатный домен, бесплатный хостинг, Хостинг, dedicated, сервер, хостинг в Европе, хостинг в Германии, выделенный сервер

Сторінка 3 з 3«123
Модератор форуму: НІКОЛЯ, Ktara, Bandalak, volevikt 
Форум інформатиків » РОЗДІЛ V: ПРОГРАМНЕ ЗАБЕЗПЕЧЕННЯ » 5.4 ОС Linux » DDoS атака на сайт, немного фактов
DDoS атака на сайт, немного фактов
Jokerz Дата: Чт, 27.11.2014, 17:12 | Повідомлення № 1
Хостер
Повідомлень: 1064
Нагороди: 4
Рейтинг: 63
Довольно часто сталкиваюсь к различными DDoS атаками. Их можно разделить на несколько типов, в зависимости от типов пакетов и принципа атаки. Мне лично больше попадаются именно http flood . При данном типе атаки большое количество подключений делаются именно на веб сервер, для того что бы сервер исчерпал ресурсы и не смог обработать легитимные запросы от пользователей.


по сути создает большое кол-во подключений именно бот нет сеть, что же это такое? Это те компьютеры (и даже смартфоны) которые заражены ботвирусом, начинают создавать множество подключений к сайту, что создает нагрузку на сервер.

В пример приведу скрины сделанные во время одной из атак на сервер клиента:



А теперь тот же сервер только в нормально обыденной нагрузке:


я хотел что бы посетите форума увидели какая нагрузка бывает от атаки, то что на первом скрине, нагрузка появилась буквально в первые 10 минут от начала атаки, зафиксировано более 20 000 подключений.
после включения фильтрации, нагрузка упала, но сама факт решил показать
trushyv Дата: Чт, 11.02.2016, 23:06 | Повідомлення № 31
Новий користувач
Повідомлень: 1
Нагороди: 0
Рейтинг: 0
Я владелец этого сайта. Среди бывших учеников вряд ли. Ну а среди тех кто сейчас учится...есть подозрения
Jokerz Дата: Чт, 11.02.2016, 23:35 | Повідомлення № 32
Хостер
Повідомлень: 1064
Нагороди: 4
Рейтинг: 63
Ну что ж, могу признать свое поражение.
Сила атаки сегодня сильно возрасла.

Были сперва такие показатели:
Direction IN
Internal 46.4.130.188
Threshold Packets 150.000 packets/s
Sum 483.687.000 packets/300s (1.612.290 packets/s), 469.416 flows/300s (1.564 flows/s), 18,019 GByte/300s (492 MBit/s)

Потом:
Direction IN
Internal 46.4.130.188
Threshold Packets 150.000 packets/s
Sum 761.401.000 packets/300s (2.538.003 packets/s), 739.527 flows/300s (2.465 
flows/s), 28,364 GByte/300s (774 MBit/s)

Как видно она более 774 MBit/s и росла. Сетевая нагрузка была сильная и мы вынуждены были отключить этот айпи и сайты вместе с ним. Что бы смогли работать остальные клиенты.

К сожалению на уровне сервера такую атаку не представляется возможным отфильтровать, из-за нагрузки на сетевое оборудование.
Внешним фаерволом мы пока не обзавелись.

Вот такие дела.
volodschool2 Дата: Пт, 12.02.2016, 13:39 | Повідомлення № 33
Досвідчений учасник
Повідомлень: 1176
Нагороди: 12
Рейтинг: 206
Мої сайти на вішхості на даний час не доступні :'(
vinohodov Дата: Пт, 12.02.2016, 13:44 | Повідомлення № 34
Прописаний назавжди
Повідомлень: 287
Нагороди: 1
Рейтинг: 15
Цитата volodschool2 ()
Мої сайти на вішхості на даний час не доступні
Мої також. Видно серйозна атака іде.
Jokerz Дата: Пт, 12.02.2016, 14:36 | Повідомлення № 35
Хостер
Повідомлень: 1064
Нагороди: 4
Рейтинг: 63
Цитата volodschool2 ()
Мої сайти на вішхості на даний час не доступні
 
Цитата vinohodov ()
Мої також. Видно серйозна атака іде.
От лица wishhost приношу извинения. Да, атака действительно не школьная.




Зафиксировано было (774 MBit/s) - и почти 2.5 миллиона пакетов в 1 сек.
По сути не столько пропускная способность сколько проблема обработки большого кол-ва мелких пакетов, сетевое оборудование не справляется.


Відредаговано: Jokerz - Пт, 12.02.2016, 14:37
Nicola Дата: Пт, 12.02.2016, 18:51 | Повідомлення № 36
Прописаний назавжди
Повідомлень: 337
Нагороди: 2
Рейтинг: 13
Евгений, Вы меньше говорите в Ваших комментариях о способах борьбы. 99,9% тот, кто организовал атаку читает их. Это как на войне - противник силен тогда, когда знает Ваши действия. Причины и естественно поставленные задачи атаки могут быть разными.

красивый IP 46.4.130.188


Відредаговано: Nicola - Пт, 12.02.2016, 18:54
Jokerz Дата: Пт, 12.02.2016, 19:04 | Повідомлення № 37
Хостер
Повідомлень: 1064
Нагороди: 4
Рейтинг: 63
Вы наверно правы.
Пусть эта тема будет. Продолжать более не будем.

А по поводу IP у нас их много.
Есть и красивее )))) Мы покупаем подсетями.
W-w-W Дата: Пт, 12.02.2016, 21:36 | Повідомлення № 38
Ветеран спілкування
Повідомлень: 2614
Нагороди: 7
Рейтинг: 187
Цитата Jokerz ()
Ну что ж, могу признать свое поражение.Сила атаки сегодня сильно возрасла.
Jokerz а не може бути, що це конкуренти працюють так, одній людині такі речі викидати не по силі
Jokerz Дата: Пт, 12.02.2016, 21:44 | Повідомлення № 39
Хостер
Повідомлень: 1064
Нагороди: 4
Рейтинг: 63
Цитата W-w-W ()
Jokerz а не може бути, що це конкуренти працюють так, одній людині такі речі викидати не по силі
Если человек умен и силен в технологиях, вполне под силу. Сложно нет ничего. Скачать в публичном доступе DDoS ботнет троян. Потом оплатить его шифрование и криптование, затем просто распространять его, к прмиеру спам рассылкой, или с сайтов. Возможности миллион. Собрать пару тис хороших ботов, и создать атаку. Ведь по сути вопрос в кол-ве пакетов за единицу времени. Если пакеты мелкие и много, сетевому оборудовании переварить их трудно.

Так что по сути нужно "крутиться" в мире хакеров и знать тонкости некоторые. на мой взгляд ничего сложного нет.
Но интересно что атаки были разные. сегодня была соверешенно другая, подход к ее реализации и проведению был отличен от тех что были ранее. Складывается впечатление что человек имея ботнет пробовал но не вышло, попросил друга с боле мощным ботнетом, и тот помог.
В первом случае цель была сайт, а в другом уже сервер в целом.

А по поводу конкурентов, то дорогое это удовольствие. Да и мы очень мелко плаваем.
nolk-v Дата: Сб, 13.02.2016, 23:02 | Повідомлення № 40
Прописаний назавжди
Повідомлень: 252
Нагороди: 2
Рейтинг: 26
Цитата Jokerz ()
А по поводу конкурентов, то дорогое это удовольствие. Да и мы очень мелко плаваем.
Все одно складається враження,що хтось відточує свою майстерність... Можливо, ваші сайти є тренувальною площадкою перед більш серйозними нападами... У версію про ображених учнів віриться слабо... А може когось мимоволі взяли на "слабо".... От і намагаються довести, що нічого неможливого немає...
Jokerz Дата: Нд, 18.09.2016, 14:46 | Повідомлення № 41
Хостер
Повідомлень: 1064
Нагороди: 4
Рейтинг: 63
Давно не писал. С момента этого последнего поста много утекло воды.
И так на сегодня мы имеем 2 системы защиты от DDOS. 
1. Это программный фаервол
2. Защита уровня сети в ДЦ. Не так давно мы ее подключили.

Программная защита была у нас и ранее, но как только DDoS мешает пропускной способности маршрутизатора стойки, мы были вынуждены блокировать IP, т.е. по сути была предельная способность отразить атаку очень низка на мой взгляд, сегодня уже все по другому.

И так было уже несколько атак, но дней 5 тому обратился клиент:


Цитата
Меня уже третий хостер просит покинуть их сервис из-за ддос атаки,  я взял виртуальный сервер в надежде что ресурсов хватит, взял 2x3.6 гигагерца, и 4 Gb озу. Но этого было мало, пол дня сайт держит атаку потом падает , взял еще мощнее сервер все равно. А денег уже потратил много.

На вопросы, какая атака и подробности о ней, клиент ответил я не очень разбираюсь какая она там.
Цитата
Мне смотрели люди знающие и сказали ddos.

Вот.
сайт был отключен и что бы просмотреть что за атака, приняли решения перенести к нам. Подключили под фильтрацию стразу и мониторинг сайта.

Как только сайт был перенесен, началась ddos.

Вообщем это был не большой ботнет, но целенаправленный.

На сайт велась атака с различными URL. Еще одна особенность сайт был написан на php 5.2 и самописный движок, очень много статей, дневная посещаемость сайта была за 1000 уников в день. Но как не странно кеширования программисты не делали. Потому при ddos каждое обращение к сайту заставляло генерить страницу и обращаться к базе, что и приводило к огромному потреблению ресурсов.

И так, что было сделано:

Настроены фильтры и лимиты по обращению к сайту, настроен принудительный кеш страниц, и написан парсер логов что бы заносить IP ботов в постоянный бан.

Спустя несколько часов сайт работал без перебоев. Сайт работает и сейчас у нас на хостинге, (не впс).
Клиент доволен, так как уже месяц ему не давали жить и посещаемость сильно упала. Теперь сайт доступен, бизнес идет, и хостинг оказался существенно дешевле виртуального сервера.
Jokerz Дата: Сб, 24.09.2016, 22:29 | Повідомлення № 42
Хостер
Повідомлень: 1064
Нагороди: 4
Рейтинг: 63
Интересный случай. :)

Обратился к нам клиент:
Цитата
"У меня есть ряд сайтов, но после того как сайты взломали, это стало головной болью. Хостер попросил уйти. Сайты перенесли к другому, почистили предварительно. Затем новый хостер так же попросил уйти мотивируя большой нагрузкой. Странно но сайты мало посещаемые. "


Клиент обратился с проблемой не понятной нагрузки и то что много запросов идет к сайтам, так же говорили ему что его ddosят .

И так сайты  перенесли к нам (wishhost.net), это 12 сайтов на Wordpress, тариф взяли самый большой - Эксперт. Так как было подозрение на атаку сразу же подключили фильтрацию  и лимиты.
Затем сами провели проверку на вирусы по просьбе клиента. Найдено было порядка 44 шелл кода и найдены уязвимые плагины. И так сайты чистые, но когда полноценно обновились DNS у клиента начали тормозить сайты, и выскакивать 500 ошибка (заканчивались ресурсы для его аккаунта).
Начали смотреть что за атака идет, и каково было удивление что это google бот сканирует. Конкретно логи:


Решили что бред и гугл такое чудить не может. Но Ip были реально Google . Но суть в том что таких страниц нету на сайте и подобные запросы были по всем сайтам. Т.е. гугл сканировал не существующие страницы. Это странное поведение.

Wordpress у данного клиента имел свою страницу 404 и ее генерировал скриптом, на что тратил ресурсы, по сути если обратиться через браузер ничего страшного, но если обращаться на 12 сайтов часто почти каждую секунду и при этом запрос как видно в логе - рандомный, что не давало шансов для кеширования страницы.

От этого и росла нагрузка, и потребления ресурсов. За что человека и выгоняли. Мы начали лимитировать кол-во запросов, но дошло до того что сайты тормозили и половина контента не грузилась, так что отказались от такого варианта, тем боле толку не давал.

Сперва страницу 404 сделали в Html , что бы не генерировал скрипт. Нагрузка упала в половину.

Дальше нужно было блокировать такие запросы, они и не нужны. Блокировать IP не вариант, это бот которые и сайт смотрит, тем более гугл если один ботом не проходит то другой подключает. Блокировать по user agent так же, это приведет к тому что сайт не будет индексироваться.

Решено было найти слова или выражения в URL запросе, которые можно было запихнуть в условие для фильтра.
Таких слов было порядка 10 и они повторялись.

Поставили фильтр, и отправляли боту 444 ошибку. При этом соединения не создавалось, а обрывалось сразу без ответа. Что существенно снизило потребления ресурсов, и сайты начали работать отлично.

Такое поведение я встречаю второй раз, когда то чистил сайт от вирусов и был там sitemap.xml с такими URL а в htaccess были прописаны ряд правил которые преобразовывали эти URL в страницу с конкретным запросом, таким образом это превращалось в инструмент, боты гугла и яндекса переходили по страницам в sitemap и попадали по правилам реврайтов на нужную страницу хакера, что генерировало много трафика которым можно было управлять тем более что это боты гугла )

Вот такая история.
В итоге клиент был доволен, и мы довольны не меньше.


Відредаговано: Jokerz - Сб, 24.09.2016, 22:39
Jokerz Дата: Нд, 25.09.2016, 05:26 | Повідомлення № 43
Хостер
Повідомлень: 1064
Нагороди: 4
Рейтинг: 63
У одного из клиентов, так же WP обнаружились уже другие запросы. Все очень подобное, sitemap.xml имеет размер 12 Mb текста и там вот такие ссылки:

Код
<?xml version="1.0" encoding="UTF-8"?>
   <urlset xmlns="http://www.sitemaps.org/schemas/sitemap/0.9">
      <url>
         <loc>http://*******/tuhv/ehfxkgt/ssfpkw8517/6285556/37/277.google.que</loc>
         <lastmod>2016-07-06</lastmod>
         <changefreq>daily</changefreq>
         <priority>0.8</priority>
      </url>
      <url>
         <loc>http://*******/tuhv/ehfxkgt/ssfpkw8517/6285556/74/277.google.que</loc>
         <lastmod>2016-07-06</lastmod>
         <changefreq>daily</changefreq>
         <priority>0.8</priority>
      </url>
      <url>
         <loc>http://*******/tuhv/ehfxkgt/ssfpkw8517/6285556/111/277.google.que</loc>
         <lastmod>2016-07-06</lastmod>
         <changefreq>daily</changefreq>
         <priority>0.8</priority>
      </url>
      <url>
         <loc>http://*******/tuhv/ehfxkgt/ssfpkw8517/6285556/148/277.google.que</loc>
         <lastmod>2016-07-06</lastmod>
         <changefreq>daily</changefreq>
         <priority>0.8</priority>
      </url>


******* - закрыл домен, он тут не нужен.

Но таких строк больше чем 60 тис.
Форум інформатиків » РОЗДІЛ V: ПРОГРАМНЕ ЗАБЕЗПЕЧЕННЯ » 5.4 ОС Linux » DDoS атака на сайт, немного фактов
Сторінка 3 з 3«123
Пошук:


© Форум інформатиків України, 2007-2016.