Довольно часто сталкиваюсь к различными DDoS атаками. Их можно разделить на несколько типов, в зависимости от типов пакетов и принципа атаки. Мне лично больше попадаются именно http flood . При данном типе атаки большое количество подключений делаются именно на веб сервер, для того что бы сервер исчерпал ресурсы и не смог обработать легитимные запросы от пользователей.
по сути создает большое кол-во подключений именно бот нет сеть, что же это такое? Это те компьютеры (и даже смартфоны) которые заражены ботвирусом, начинают создавать множество подключений к сайту, что создает нагрузку на сервер.
В пример приведу скрины сделанные во время одной из атак на сервер клиента:
А теперь тот же сервер только в нормально обыденной нагрузке:
я хотел что бы посетите форума увидели какая нагрузка бывает от атаки, то что на первом скрине, нагрузка появилась буквально в первые 10 минут от начала атаки, зафиксировано более 20 000 подключений. после включения фильтрации, нагрузка упала, но сама факт решил показать
Ну что ж, могу признать свое поражение. Сила атаки сегодня сильно возрасла.
Были сперва такие показатели: Direction IN Internal 46.4.130.188 Threshold Packets 150.000 packets/s Sum 483.687.000 packets/300s (1.612.290 packets/s), 469.416 flows/300s (1.564 flows/s), 18,019 GByte/300s (492 MBit/s)
Потом: Direction IN Internal 46.4.130.188 Threshold Packets 150.000 packets/s Sum 761.401.000 packets/300s (2.538.003 packets/s), 739.527 flows/300s (2.465 flows/s), 28,364 GByte/300s (774 MBit/s)
Как видно она более 774 MBit/s и росла. Сетевая нагрузка была сильная и мы вынуждены были отключить этот айпи и сайты вместе с ним. Что бы смогли работать остальные клиенты.
К сожалению на уровне сервера такую атаку не представляется возможным отфильтровать, из-за нагрузки на сетевое оборудование. Внешним фаерволом мы пока не обзавелись.
Зафиксировано было (774 MBit/s) - и почти 2.5 миллиона пакетов в 1 сек. По сути не столько пропускная способность сколько проблема обработки большого кол-ва мелких пакетов, сетевое оборудование не справляется.
Евгений, Вы меньше говорите в Ваших комментариях о способах борьбы. 99,9% тот, кто организовал атаку читает их. Это как на войне - противник силен тогда, когда знает Ваши действия. Причины и естественно поставленные задачи атаки могут быть разными.
Jokerz а не може бути, що це конкуренти працюють так, одній людині такі речі викидати не по силі
Если человек умен и силен в технологиях, вполне под силу. Сложно нет ничего. Скачать в публичном доступе DDoS ботнет троян. Потом оплатить его шифрование и криптование, затем просто распространять его, к прмиеру спам рассылкой, или с сайтов. Возможности миллион. Собрать пару тис хороших ботов, и создать атаку. Ведь по сути вопрос в кол-ве пакетов за единицу времени. Если пакеты мелкие и много, сетевому оборудовании переварить их трудно.
Так что по сути нужно "крутиться" в мире хакеров и знать тонкости некоторые. на мой взгляд ничего сложного нет. Но интересно что атаки были разные. сегодня была соверешенно другая, подход к ее реализации и проведению был отличен от тех что были ранее. Складывается впечатление что человек имея ботнет пробовал но не вышло, попросил друга с боле мощным ботнетом, и тот помог. В первом случае цель была сайт, а в другом уже сервер в целом.
А по поводу конкурентов, то дорогое это удовольствие. Да и мы очень мелко плаваем.
А по поводу конкурентов, то дорогое это удовольствие. Да и мы очень мелко плаваем.
Все одно складається враження,що хтось відточує свою майстерність... Можливо, ваші сайти є тренувальною площадкою перед більш серйозними нападами... У версію про ображених учнів віриться слабо... А може когось мимоволі взяли на "слабо".... От і намагаються довести, що нічого неможливого немає...
Давно не писал. С момента этого последнего поста много утекло воды. И так на сегодня мы имеем 2 системы защиты от DDOS. 1. Это программный фаервол 2. Защита уровня сети в ДЦ. Не так давно мы ее подключили.
Программная защита была у нас и ранее, но как только DDoS мешает пропускной способности маршрутизатора стойки, мы были вынуждены блокировать IP, т.е. по сути была предельная способность отразить атаку очень низка на мой взгляд, сегодня уже все по другому.
И так было уже несколько атак, но дней 5 тому обратился клиент:
Цитата
Меня уже третий хостер просит покинуть их сервис из-за ддос атаки, я взял виртуальный сервер в надежде что ресурсов хватит, взял 2x3.6 гигагерца, и 4 Gb озу. Но этого было мало, пол дня сайт держит атаку потом падает , взял еще мощнее сервер все равно. А денег уже потратил много.
На вопросы, какая атака и подробности о ней, клиент ответил я не очень разбираюсь какая она там.
Цитата
Мне смотрели люди знающие и сказали ddos.
Вот. сайт был отключен и что бы просмотреть что за атака, приняли решения перенести к нам. Подключили под фильтрацию стразу и мониторинг сайта.
Как только сайт был перенесен, началась ddos.
Вообщем это был не большой ботнет, но целенаправленный.
На сайт велась атака с различными URL. Еще одна особенность сайт был написан на php 5.2 и самописный движок, очень много статей, дневная посещаемость сайта была за 1000 уников в день. Но как не странно кеширования программисты не делали. Потому при ddos каждое обращение к сайту заставляло генерить страницу и обращаться к базе, что и приводило к огромному потреблению ресурсов.
И так, что было сделано:
Настроены фильтры и лимиты по обращению к сайту, настроен принудительный кеш страниц, и написан парсер логов что бы заносить IP ботов в постоянный бан.
Спустя несколько часов сайт работал без перебоев. Сайт работает и сейчас у нас на хостинге, (не впс). Клиент доволен, так как уже месяц ему не давали жить и посещаемость сильно упала. Теперь сайт доступен, бизнес идет, и хостинг оказался существенно дешевле виртуального сервера.
"У меня есть ряд сайтов, но после того как сайты взломали, это стало головной болью. Хостер попросил уйти. Сайты перенесли к другому, почистили предварительно. Затем новый хостер так же попросил уйти мотивируя большой нагрузкой. Странно но сайты мало посещаемые. "
Клиент обратился с проблемой не понятной нагрузки и то что много запросов идет к сайтам, так же говорили ему что его ddosят .
И так сайты перенесли к нам (wishhost.net), это 12 сайтов на Wordpress, тариф взяли самый большой - Эксперт. Так как было подозрение на атаку сразу же подключили фильтрацию и лимиты. Затем сами провели проверку на вирусы по просьбе клиента. Найдено было порядка 44 шелл кода и найдены уязвимые плагины. И так сайты чистые, но когда полноценно обновились DNS у клиента начали тормозить сайты, и выскакивать 500 ошибка (заканчивались ресурсы для его аккаунта). Начали смотреть что за атака идет, и каково было удивление что это google бот сканирует. Конкретно логи:
Решили что бред и гугл такое чудить не может. Но Ip были реально Google . Но суть в том что таких страниц нету на сайте и подобные запросы были по всем сайтам. Т.е. гугл сканировал не существующие страницы. Это странное поведение.
Wordpress у данного клиента имел свою страницу 404 и ее генерировал скриптом, на что тратил ресурсы, по сути если обратиться через браузер ничего страшного, но если обращаться на 12 сайтов часто почти каждую секунду и при этом запрос как видно в логе - рандомный, что не давало шансов для кеширования страницы.
От этого и росла нагрузка, и потребления ресурсов. За что человека и выгоняли. Мы начали лимитировать кол-во запросов, но дошло до того что сайты тормозили и половина контента не грузилась, так что отказались от такого варианта, тем боле толку не давал.
Сперва страницу 404 сделали в Html , что бы не генерировал скрипт. Нагрузка упала в половину.
Дальше нужно было блокировать такие запросы, они и не нужны. Блокировать IP не вариант, это бот которые и сайт смотрит, тем более гугл если один ботом не проходит то другой подключает. Блокировать по user agent так же, это приведет к тому что сайт не будет индексироваться.
Решено было найти слова или выражения в URL запросе, которые можно было запихнуть в условие для фильтра. Таких слов было порядка 10 и они повторялись.
Поставили фильтр, и отправляли боту 444 ошибку. При этом соединения не создавалось, а обрывалось сразу без ответа. Что существенно снизило потребления ресурсов, и сайты начали работать отлично.
Такое поведение я встречаю второй раз, когда то чистил сайт от вирусов и был там sitemap.xml с такими URL а в htaccess были прописаны ряд правил которые преобразовывали эти URL в страницу с конкретным запросом, таким образом это превращалось в инструмент, боты гугла и яндекса переходили по страницам в sitemap и попадали по правилам реврайтов на нужную страницу хакера, что генерировало много трафика которым можно было управлять тем более что это боты гугла )
Вот такая история. В итоге клиент был доволен, и мы довольны не меньше.
Давно ничего интересного не было. начиная с 12.12.2016 года наш сервер виртуального хостинга, активно атаковали. Постоянно меня вектор атаки и тип ее. Честно говоря были готовы но не ко всему. 12.12.2016 года где то в 17:00 по Киеву, удалось "положить" сервер DDoS атакой. атака была довольно хитрой и умной, фаерволы ДЦ не отработали должным образом и порядка 20 гигабит трафика полилось на сервер, что привело к тому что 4 часа сервер был не доступен, хоть и периодически были просветы.
После того как атака утихла, мы принялись активно связываться с ДЦ и параллельно продумывать защиту. До 3 ночи того дня активно продумывали защиту и фильтры, переработали и перелопатили порядка 150 настроек ядра Linux, в спорах родилась оптимальная конфигурация.
Дальше уже утром связались с техником в ДЦ который мог поговорить с нами на тему DDoS (так устроена система тикетов дц когда обращение попадает к менеджеру который только ссылки на WIKI кидает, ил просит оформить тикет. Только утром тикет добрался по назначению.)
Уже 13 числа была еще попытка DDoS, но уже мелкая. Скорее всего даже разные люди. Эту мы отразили в условиях сервера без проблем.
Но дальше было интереснее. Все были в ожидании. Сегодня 14.12.2016 года, в 01:00 ночи по Киеву атака пришла в наш дом , снова сервер был почти не доступен, удалось смягчить поток, и оптимизировать в реальных условиях. Сайты работали. но достаточно с большой задержкой. Но они работали! и это была уже почти победа.
Дальше ddos прекратился, и вероятно всего перенастраивали ботнет.
Утром порядка 7:00 повторилась краткосрочно. Дальше большой удар был в 8:00 что привело снова к затруднению доступа к серверу на минут 20
Но начало атаки уже засекли фаерволы (по новым маркерам что мы совместно с техниками ДЦ придумали):
Но атака была смягчена и по результату в 10:00 или чуть погодя, она была подавлена, до 100 мегабит трафика прорывалось к серверу, и там она благополучно блокировалась. Сайты работали как и прежде, но урок был реальный и очень полезный.
Вот такая ситуация.
Технические детали:
Атака была типов: TCP-ACK, VSE, SYN flood, ICMP flood, NTP flood, NTP Amplification, SYN Floods Подключение к серверу 1 гигабит - был забит мусором за 10 минут атаки....
Вчера вечером начали активно атаковать уже другой веб сайт. Тип атаки был: http flood уровень L7 на приложение. Цель ее вызвать отказ в обслуживании из-за нехватки ресурсов сервера.
Несколько интересен там что запросы делались рандомные и редкие. Что в принципе положительно сказывается для пробивания лимитов по запросам, т.е. со стороны атаки она более эффективна. Рандомные запросы по GET заставляют каждый раз генерировать страницу сайта и не использовать кеш, что тратит ресурсы.
И так в логах: 176.98.7.41 - - [14/Dec/2016:22:08:38 +0200] "GET /?0.28880864520581384 HTTP/1.1" 200 4160 "-" "Mozilla/5.0 (Windows NT 5.1) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/49.0.2623.112 Safari/537.36" 46.201.56.140 - - [14/Dec/2016:22:08:38 +0200] "GET /?0.469700787515557 HTTP/1.1" 200 4160 "-" "Mozilla/5.0 (Windows NT 5.1) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/49.0.2623.112 Safari/537.36" 95.134.161.123 - - [14/Dec/2016:22:08:38 +0200] "GET /?0.7518178987384752 HTTP/1.0" 200 11025 "-" "Mozilla/5.0 (Windows NT 5.1) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/49.0.2623.112 Safari/537.36" 91.151.137.71 - - [14/Dec/2016:22:08:38 +0200] "GET /?0.30682369765507933 HTTP/1.1" 200 11038 "-" "Mozilla/5.0 (Windows NT 5.1) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/49.0.2623.112 Safari/537.36" 85.140.6.154 - - [14/Dec/2016:22:08:38 +0200] "GET /?0.13596758465658998 HTTP/1.1" 200 4160 "-" "Mozilla/5.0 (Windows NT 6.1) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/54.0.2840.99 Safari/537.36" 92.47.221.123 - - [14/Dec/2016:22:08:38 +0200] "GET /?0.5041818841134156 HTTP/1.1" 200 4160 "-" "Mozilla/5.0 (Windows NT 10.0; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/50.0.2661.75 Safari/537.36" 46.
User агент, менялся так же рандомно но все были валидные.
По графикам:
График по трафику с роутера:
Атака привела к тому что за 10 минут лог файлы заняли дисковое пространство клиента (3 Gb) и сайт перестал отвечать.
После чего он и сообщил нам. Мы подключили фильтрацию и лимиты, после чего доступ к сайту был восстановлен