Нд, 19.11.2017, 23:31
Форум інформатиків України
Головна Реєстрація Вхід
Вітаю Вас, Гість · RSS
Вітання на форумі
Незнайомець
Вітаємо на форумі,
Незнайомцю!

   
зареєструйтесь
Перед реєстрацією обов’язково прочитайте:
Оновлення Учасники Пошук
Особисті повідомлення
Видавництво ’’Аспект’’ Видавництво

Сторінка 4 з 4«1234
Модератор форуму: НІКОЛЯ, Ktara, Bandalak, volevikt 
Форум інформатиків » РОЗДІЛ V: ПРОГРАМНЕ ЗАБЕЗПЕЧЕННЯ » 5.4 ОС Linux » DDoS атака на сайт, немного фактов
DDoS атака на сайт, немного фактов
Jokerz Дата: Чт, 27.11.2014, 17:12 | Повідомлення № 1
Хостер
Повідомлень: 1198
Нагороди: 4
Рейтинг: 102
Довольно часто сталкиваюсь к различными DDoS атаками. Их можно разделить на несколько типов, в зависимости от типов пакетов и принципа атаки. Мне лично больше попадаются именно http flood . При данном типе атаки большое количество подключений делаются именно на веб сервер, для того что бы сервер исчерпал ресурсы и не смог обработать легитимные запросы от пользователей.


по сути создает большое кол-во подключений именно бот нет сеть, что же это такое? Это те компьютеры (и даже смартфоны) которые заражены ботвирусом, начинают создавать множество подключений к сайту, что создает нагрузку на сервер.

В пример приведу скрины сделанные во время одной из атак на сервер клиента:



А теперь тот же сервер только в нормально обыденной нагрузке:


я хотел что бы посетите форума увидели какая нагрузка бывает от атаки, то что на первом скрине, нагрузка появилась буквально в первые 10 минут от начала атаки, зафиксировано более 20 000 подключений.
после включения фильтрации, нагрузка упала, но сама факт решил показать
Jokerz Дата: Сб, 17.12.2016, 17:31 | Повідомлення № 46
Хостер
Повідомлень: 1198
Нагороди: 4
Рейтинг: 102
Очередная атака flood, атака уровня L3-4
===============================================
Direction IN

Threshold PacketsDiff 200.000 packets/s, Diff: 278.840 packets/s
Sum 83.668.000 packets/300s (278.893 packets/s), 34.229 flows/300s (114 flows/s), 12,491 GByte/300s (341 MBit/s)
External 178.238.230.245, 24.556.000 packets/300s (81.853 packets/s), 12.079 flows/300s (40 flows/s), 0,823 GByte/300s (22 MBit/s)
External 5.196.2.28, 686.000 packets/300s (2.286 packets/s), 12 flows/300s (0 flows/s), 0,299 GByte/300s (8 MBit/s)
External 85.132.123.10, 676.000 packets/300s (2.253 packets/s), 12 flows/300s (0 flows/s), 0,295 GByte/300s (8 MBit/s)
External 62.212.236.10, 648.000 packets/300s (2.160 packets/s), 12 flows/300s (0 flows/s), 0,282 GByte/300s (7 MBit/s)
External 5.104.200.234, 626.000 packets/300s (2.086 packets/s), 12 flows/300s (0 flows/s), 0,273 GByte/300s (7 MBit/s)
External 93.17.133.171, 552.000 packets/300s (1.840 packets/s), 12 flows/300s (0 flows/s), 0,241 GByte/300s (6 MBit/s)
External 117.210.252.156, 544.000 packets/300s (1.813 packets/s), 12 flows/300s (0 flows/s), 0,236 GByte/300s (6 MBit/s)
External 111.23.10.93, 534.000 packets/300s (1.780 packets/s), 12 flows/300s (0 flows/s), 0,232 GByte/300s (6 MBit/s)
External 117.210.252.177, 530.000 packets/300s (1.766 packets/s), 12 flows/300s (0 flows/s), 0,230 GByte/300s (6 MBit/s)
External 41.72.100.246, 526.000 packets/300s (1.753 packets/s), 12 flows/300s (0 flows/s), 0,229 GByte/300s (6 MBit/s)
External 85.132.71.10, 514.000 packets/300s (1.713 packets/s), 11 flows/300s (0 flows/s), 0,224 GByte/300s (6 MBit/s)
External 122.160.220.49, 484.000 packets/300s (1.613 packets/s), 12 flows/300s (0 flows/s), 0,211 GByte/300s (5 MBit/s)
External 80.179.166.7, 436.000 packets/300s (1.453 packets/s), 12 flows/300s (0 flows/s), 0,190 GByte/300s (5 MBit/s)
External 200.68.16.250, 370.000 packets/300s (1.233 packets/s), 12 flows/300s (0 flows/s), 0,160 GByte/300s (4 MBit/s)
External 123.29.68.94, 354.000 packets/300s (1.180 packets/s), 12 flows/300s (0 flows/s), 0,154 GByte/300s (4 MBit/s)
External 120.210.3.6, 330.000 packets/300s (1.100 packets/s), 12 flows/300s (0 flows/s), 0,144 GByte/300s (3 MBit/s)
External 46.234.21.13, 310.000 packets/300s (1.033 packets/s), 12 flows/300s (0 flows/s), 0,135 GByte/300s (3 MBit/s)
External 184.105.163.136, 304.000 packets/300s (1.013 packets/s), 12 flows/300s (0 flows/s), 0,151 GByte/300s (4 MBit/s)
External 200.68.16.251, 288.000 packets/300s (960 packets/s), 12 flows/300s (0 flows/s), 0,125 GByte/300s (3 MBit/s)
External 95.87.45.1, 226.000 packets/300s (753 packets/s), 12 flows/300s (0 flows/s), 0,097 GByte/300s (2 MBit/s)
External 178.18.18.75, 226.000 packets/300s (753 packets/s), 12 flows/300s (0 flows/s), 0,099 GByte/300s (2 MBit/s)
External 122.166.32.203, 222.000 packets/300s (740 packets/s), 12 flows/300s (0 flows/s), 0,097 GByte/300s (2 MBit/s)
External 200.72.74.196, 214.000 packets/300s (713 packets/s), 12 flows/300s (0 flows/s), 0,093 GByte/300s (2 MBit/s)
External 202.75.34.110, 188.000 packets/300s (626 packets/s), 12 flows/300s (0 flows/s), 0,082 GByte/300s (2 MBit/s)
External 217.110.117.229, 186.000 packets/300s (620 packets/s), 12 flows/300s (0 flows/s), 0,081 GByte/300s (2 MBit/s)
External 216.172.141.123, 182.000 packets/300s (606 packets/s), 12 flows/300s (0 flows/s), 0,079 GByte/300s (2 MBit/s)
External 116.254.95.159, 176.000 packets/300s (586 packets/s), 12 flows/300s (0 flows/s), 0,077 GByte/300s (2 MBit/s)
External 202.84.149.126, 174.000 packets/300s (580 packets/s), 12 flows/300s (0 flows/s), 0,076 GByte/300s (2 MBit/s)
External 201.187.109.170, 162.000 packets/300s (540 packets/s), 12 flows/300s (0 flows/s), 0,071 GByte/300s (1 MBit/s)
External 120.196.216.68, 162.000 packets/300s (540 packets/s), 12 flows/300s (0 flows/s), 0,071 GByte/300s (1 MBit/s)
External 183.234.216.12, 158.000 packets/300s (526 packets/s), 12 flows/300s (0 flows/s), 0,069 GByte/300s (1 MBit/s)
External 183.224.65.123, 152.000 packets/300s (506 packets/s), 11 flows/300s (0 flows/s), 0,066 GByte/300s (1 MBit/s)
External 77.238.64.5, 148.000 packets/300s (493 packets/s), 12 flows/300s (0 flows/s), 0,065 GByte/300s (1 MBit/s)
External 194.152.36.70, 140.000 packets/300s (466 packets/s), 12 flows/300s (0 flows/s), 0,061 GByte/300s (1 MBit/s)
External 89.239.16.238, 138.000 packets/300s (460 packets/s), 12 flows/300s (0 flows/s), 0,067 GByte/300s (1 MBit/s)
External 88.3.213.85, 136.000 packets/300s (453 packets/s), 12 flows/300s (0 flows/s), 0,059 GByte/300s (1 MBit/s)
External 200.41.224.83, 132.000 packets/300s (440 packets/s), 12 flows/300s (0 flows/s), 0,058 GByte/300s (1 MBit/s)
External 188.95.249.29, 130.000 packets/300s (433 packets/s), 12 flows/300s (0 flows/s), 0,057 GByte/300s (1 MBit/s)
External 176.124.144.82, 124.000 packets/300s (413 packets/s), 12 flows/300s (0 flows/s), 0,054 GByte/300s (1 MBit/s)
External 176.10.106.142, 124.000 packets/300s (413 packets/s), 12 flows/300s (0 flows/s), 0,057 GByte/300s (1 MBit/s)
External 91.90.148.251, 122.000 packets/300s (406 packets/s), 12 flows/300s (0 flows/s), 0,053 GByte/300s (1 MBit/s)
External 194.152.37.70, 104.000 packets/300s (346 packets/s), 11 flows/300s (0 flows/s), 0,045 GByte/300s (1 MBit/s)
External 113.161.87.44, 102.000 packets/300s (340 packets/s), 10 flows/300s (0 flows/s), 0,044 GByte/300s (1 MBit/s)
External 187.84.80.1, 86.000 packets/300s (286 packets/s), 10 flows/300s (0 flows/s), 0,037 GByte/300s (1 MBit/s)
External 212.146.82.10, 84.000 packets/300s (280 packets/s), 12 flows/300s (0 flows/s), 0,039 GByte/300s (1 MBit/s)
External 199.230.104.78, 78.000 packets/300s (260 packets/s), 11 flows/300s (0 flows/s), 0,034 GByte/300s (0 MBit/s)
External 46.226.55.57, 74.000 packets/300s (246 packets/s), 12 flows/300s (0 flows/s), 0,032 GByte/300s (0 MBit/s)
External 185.87.249.86, 72.000 packets/300s (240 packets/s), 11 flows/300s (0 flows/s), 0,033 GByte/300s (0 MBit/s)
External 120.83.2.14, 70.000 packets/300s (233 packets/s), 8 flows/300s (0 flows/s), 0,032 GByte/300s (0 MBit/s)
External 120.198.127.43, 70.000 packets/300s (233 packets/s), 10 flows/300s (0 flows/s), 0,031 GByte/300s (0 MBit/s)
=====================================================================================
Фильтруем

Будет больше интересных данные, напишем.
Jokerz Дата: Вт, 20.12.2016, 20:24 | Повідомлення № 47
Хостер
Повідомлень: 1198
Нагороди: 4
Рейтинг: 102
Хотелось бы написать некоторые новости. Практически неделю наше оборудование находилось под постоянными атаками. Честно говоря, не все так красиво и гладко. Нанесли значительный ущерб компании, поскольку ddos был не рядовым и прилично большим, трафика за неделю ушло очень много который мы оплатили.

В связи с этим DDoS защита будет разделена на 2 категории это до 500 мегабит - бесплатно, и все что выше 500 мегабит и включая туда L7 уровень атаки, будет платным, начиная с 25$ в мес.

Поскольку веб, сайт который платит 2-3$ в месяц за хостинг услуги, и который атакуют ddos атакой силой в 20 гигабит, не выгодно отражать.
Для отражения у нас подключаются внешние фаерволы, которые стоят в дата центре, кроме того практически под каждую атаку правила фильтрации приходиться немного править, но в любом случае при массивной атаке есть потери трафика легитимного, в результате когда это сервер хостинга и там не только этот клиент, проблемы начинаются у всех. Если атака уровня L7 (по модели OSI) то и несет кроме нагрузки канала, еще и нагрузки на вычислительную мощность. В моменты атаки в дежурном режиме работает персонал, контролируя фильтрацию.

В результате мы атаку подавляем, но цена ее подавления далеко не 3$ в мес. Если это "школьный"  ddos то он отражается без подключения внешнего фильтрующего звена, такая атака "дешевая в отражении" но если это массивный флуд + атака на приложение ботнетом - это уже другой уровень.

Как говорится мы вынуждены ввести оплату по разным уровням атаки. Эта практика применяема многими компаниями. Лучше клиенту сказать реальность, чем обещать за один доллар отразить атаку в 100 гигабит. Мы можем ее отразить, но стоимость этой процедуры будет далека от 1 доллара.

Вот такие дела.
mul44 Дата: Вт, 20.12.2016, 22:32 | Повідомлення № 48
Наполегливий учасник
Повідомлень: 959
Нагороди: 3
Рейтинг: 43
<Сарказм><Юмор>Вот зря вы так, Хатико ждал, учителя ждут (денег), а вы за бесплатно (как Хатико, и учителя))) немного "добровольних" работ сделайте</Юмор></Сарказм>

Відредаговано: mul44 - Вт, 20.12.2016, 22:32
Jokerz Дата: Вт, 20.12.2016, 23:24 | Повідомлення № 49
Хостер
Повідомлень: 1198
Нагороди: 4
Рейтинг: 102
:) честно сказать вообще ничего не понял что вы написали.
mul44 Дата: Ср, 21.12.2016, 18:23 | Повідомлення № 50
Наполегливий учасник
Повідомлень: 959
Нагороди: 3
Рейтинг: 43
Цитата Jokerz ()
:) честно сказать вообще ничего не понял что вы написали.
ну вы пишете что мол дорого отражать атаки у тех сайтов что тариф дешевый, а я как бы намекаю: Хатико мол бесплатно сидел ждал, учителя за бесплатно много чего делают, и вы так же немного за бесплатно немного делайте, хихи
Jokerz Дата: Ср, 21.12.2016, 23:49 | Повідомлення № 51
Хостер
Повідомлень: 1198
Нагороди: 4
Рейтинг: 102
Цитата mul44 ()
и вы так же немного за бесплатно немного делайте, хихи
Мы и так многие атаки отражаем за спасибо. Суть была именно в массивных атаках, где мы несем существенные затраты времени и денег.
Если это udp флуд гигабитный или 5 гигабитный то его отфильтруем в автоматическом режиме еще до сервера, это будет бесплатно. Если это http флуд с ботнета и пару гигабит то тут будет только за дополнительную оплату. Разные атаки и разных подход для их отражения.

По сути я поделился информацией или своими мыслями.

Будут интересные моменты в атаках - буду выкладывать. Просто сейчас работы очень много, загруженность большая, писать времени нет
Jokerz Дата: Чт, 19.01.2017, 15:51 | Повідомлення № 52
Хостер
Повідомлень: 1198
Нагороди: 4
Рейтинг: 102
Порядка месяц как пришел к нам один клиент, проблема в том что меняет хостеров из-за ddos. Даже думал просто напросто закрыть проект.
Проект очень популярный в своих кругах (тематика аниме), так вот мы не привыкли отступать. Ему удалось даже связаться с тем кто атакует, человек ответил ему что его не спасет никакой сервис и облако и его сайт будут постоянно досить.

Перенесли к нам, пошли атаки, первые мы без труда отразили. Но каждая следующая была уже хитрее, умнее и сильнее.

Хотелось бы немного фактов о вчерашней атаке. Суть ее в том что она хитро спроектирвана со стороны сети, и ее пропустили несколько фильтрующих звеньев.
Если кто не знает, если такая контора cloudflare, занимается облачной фильтрацией трафика и защитой, так вот клиент разместился у нас и 5 дней тому подключил cloudflare для защиты.  Пришел ddos не жданно, и причем прошел защиту cloudflare, дальше фаерволы дц и попал прямо к нам на сервер, где так же и наша защита могла смягчить но не была готова.

В результате сервер за 10 минут показал огромные значения LoadOverage


Дальше пришло уведомление всем администраторам:


И сама атака имела вот таков вот вид в логах:


Код
172.68.10.59 - - [18/Jan/2017:20:07:42 +0200] "GET /?0.9604348504673073 HTTP/1.1" 200 1901 "-" "Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/55.0.2883.87 Safari/537.36"
141.101.81.42 - - [18/Jan/2017:20:07:42 +0200] "GET /?0.8837841490080027 HTTP/1.1" 503 620 "-" "Mozilla/5.0 (Windows NT 6.1) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/55.0.2883.87 Safari/537.36"
162.158.102.125 - - [18/Jan/2017:20:07:42 +0200] "GET /?0.7098788096474495 HTTP/1.1" 200 1901 "-" "Mozilla/5.0 (Windows NT 5.1) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/49.0.2623.112 Safari/537.36"
141.101.81.96 - - [18/Jan/2017:20:07:42 +0200] "GET /?0.9941151486248285 HTTP/1.1" 200 1901 "-" "Mozilla/5.0 (Windows NT 6.1) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/55.0.2883.87 Safari/537.36"
172.68.11.12 - - [18/Jan/2017:20:07:42 +0200] "GET /?0.40128807478857875 HTTP/1.1" 200 1901 "-" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/55.0.2883.87 Safari/537.36"
141.101.81.42 - - [18/Jan/2017:20:07:42 +0200] "GET /?0.8754117398796102 HTTP/1.0" 403 202 "-" "Mozilla/5.0 (Windows NT 6.1) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/55.0.2883.87 Safari/537.36"
141.101.81.42 - - [18/Jan/2017:20:07:42 +0200] "GET /?0.8754117398796102 HTTP/1.1" 403 190 "-" "Mozilla/5.0 (Windows NT 6.1) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/55.0.2883.87 Safari/537.36"
172.68.10.53 - - [18/Jan/2017:20:07:42 +0200] "GET /?0.7134511412173674 HTTP/1.1" 200 1901 "-" "Mozilla/5.0 (Windows NT 6.1; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/55.0.2883.87 Safari/537.36"
172.68.10.239 - - [18/Jan/2017:20:07:42 +0200] "GET /?0.525476850810356 HTTP/1.1" 200 1901 "-" "Mozilla/5.0 (Windows NT 6.1; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/55.0.2883.87 Safari/537.36"
141.101.80.83 - - [18/Jan/2017:20:07:42 +0200] "GET /?0.2279931246663338 HTTP/1.0" 403 202 "-" "Mozilla/5.0 (Windows NT 10.0; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/55.0.2883.87 Safari/537.36"
141.101.80.83 - - [18/Jan/2017:20:07:42 +0200] "GET /?0.2279931246663338 HTTP/1.1" 403 190 "-" "Mozilla/5.0 (Windows NT 10.0; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/55.0.2883.87 Safari/537.36"
141.101.80.245 - - [18/Jan/2017:20:07:42 +0200] "GET /?0.7222685727494877 HTTP/1.1" 200 1901 "-" "Mozilla/5.0 (Windows NT 10.0) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/55.0.2883.87 Safari/537.36"
172.68.10.89 - - [18/Jan/2017:20:07:42 +0200] "GET /?0.7393985296115455 HTTP/1.1" 200 1901 "-" "Mozilla/5.0 (Windows NT 10.0; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/55.0.2883.87 Safari/537.36"
172.68.11.60 - - [18/Jan/2017:20:07:42 +0200] "GET /?0.08646238070020562 HTTP/1.1" 200 1901 "-" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/55.0.2883.87 Safari/537.36"
172.68.10.167 - - [18/Jan/2017:20:07:42 +0200] "GET /?0.657491673760263 HTTP/1.1" 200 1901 "-" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/55.0.2883.87 Safari/537.36"
172.68.11.12 - - [18/Jan/2017:20:07:42 +0200] "GET /?0.27674639595598927 HTTP/1.1" 200 1901 "-" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/55.0.2883.87 Safari/537.36"
172.68.10.221 - - [18/Jan/2017:20:07:42 +0200] "GET /?0.4635935330523173 HTTP/1.1" 200 1901 "-" "Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/52.0.2743.116 Safari/537.36"
141.101.81.30 - - [18/Jan/2017:20:07:42 +0200] "GET /?0.7261710148299978 HTTP/1.0" 403 202 "-" "Mozilla/5.0 (Windows NT 6.1; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/55.0.2883.87 Safari/537.36"
141.101.81.30 - - [18/Jan/2017:20:07:42 +0200] "GET /?0.7261710148299978 HTTP/1.1" 403 190 "-" "Mozilla/5.0 (Windows NT 6.1; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/55.0.2883.87 Safari/537.36"
172.68.10.29 - - [18/Jan/2017:20:07:42 +0200] "GET /?0.02040128026131094 HTTP/1.1" 200 1901 "-" "Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/55.0.2883.87 Safari/537.36"
162.158.102.35 - - [18/Jan/2017:20:07:42 +0200] "GET /?0.10001465261924425 HTTP/1.0" 403 202 "-" "Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/55.0.2883.87 Safari/537.36"
162.158.102.35 - - [18/Jan/2017:20:07:42 +0200] "GET /?0.10001465261924425 HTTP/1.1" 403 190 "-" "Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/55.0.2883.87 Safari/537.36"
172.68.11.12 - - [18/Jan/2017:20:07:42 +0200] "GET /?0.5077306024078323 HTTP/1.1" 200 1901 "-" "Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/55.0.2883.87 Safari/537.36"
172.68.10.179 - - [18/Jan/2017:20:07:42 +0200] "GET /?0.5262548424834395 HTTP/1.1" 200 1901 "-" "Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/55.0.2883.87 Safari/537.36"
141.101.81.42 - - [18/Jan/2017:20:07:42 +0200] "GET /?0.3061250825864592 HTTP/1.1" 503 620 "-" "Mozilla/5.0 (Windows NT 6.1) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/55.0.2883.87 Safari/537.36"
141


Запросы совершенно рандомные и хитрые, рефер пустой. Впринципе по этим критериям уже можно писать правило фильтрации. Замечу что число подключений на картинке выше это уже после того как прошло фильтры по лимитам на кол-во подключений. Т.е. реально количество ботов переваливало за 100 тис.

Дальше уже начали крутить фаерволы в ДЦ, и на мы свои. Атаку подавили. Но сам смысл в том что как оказалось (причем не впервые уже ) cloudflare бесполезен при нормальной атаке.
Прикріплення: 6468333.png(26Kb)
Jokerz Дата: Чт, 19.01.2017, 15:52 | Повідомлення № 53
Хостер
Повідомлень: 1198
Нагороди: 4
Рейтинг: 102
Тип атаки: http flood уровень L7
Jokerz Дата: Вт, 25.04.2017, 09:44 | Повідомлення № 54
Хостер
Повідомлень: 1198
Нагороди: 4
Рейтинг: 102
Давно я не писал ничего. Вот не так давно, была атака на сервер клиента. (VDS сервер). На сервере стоит всего один чат. Суть интереса к атаке в том, что она была L7 уровня. Боты были написаны на базе движка браузера, и умели многое, java и флеш они кушали на ура. ( В отличии от других ботов и http flood).

К такой атаке, честно говоря, готов никто не был. :) Характеристики VDS клиента:
1 ядро 3.6 гигагерца
1 Gb озу.
Порт входящий порезан на 200 мегабит. Порт к ноде у нас 1 гигабит.
--------------------------------------------------------------------------------
На всд установлен nginx+phpfpm без использования apache, т.е. веб сервер быстрый и рассчитан на большую посещаемость. Суть в том что к ddos мы готовы всегда, и опыт уже довольно приличный. Но в большинстве случаем боты отсекаются по этапно. Уровни атаки L3-4 на уровне сети - фаерволами дата центра, туда относятся различные атаки вида Syn Flood, UDP/TCP Flood, Http flood
последний, при прохождении через фильтр все равно часть трафика идет на сервера, дальше режем уже программно, всякими лимитами и прочим.

Но вот атаки уровня L7 на приложение, да еще и когда бот эмулирует работу обычного браузера - очень сложно. Такой и нам попался, кроме того что досер довольно умный и знал все методы борьбы и как их обойти.
Он с лихвой обходил все защиты, проверку куками и прочим.
В результате VDS просто был не доступен.
Для фильтрации и что бы можно было как то работать с потоком ботов, мощностью VDS существенно расширили:
12 ядер
8 Gb озу
такой сервер уже больше на физический похож, но это виртуальный.
Теперь сервер хотя бы мог что то переваривать, начали для начала оптимизировать настройки ядра (так как виртуализация KVM и ядро у каждого вдс свое, мы это можем). Дальше iptables, оптимизация веб сервера и php fpm .
Сервер уже смог часть запросов ботов отработать но все равно создавалась очень запросов.
По логам и да и просто на внешне, запросы были легитимными и как их отсеять. 
На маршрутизаторе нагрузка была в пределах 100 мегабит, кто то скажет это не ddos, да нет ребятки, L7 это не тупой флуд где нужно закидать запросами, это тот уровень атаки когда боты заставляют расходовать ресурсы, и при правильном понимании этого дела, можно с 100 ботов положить физический сервер.

По факту атака была 5 суток, постоянно меняли вектор атаки, ботов обучали что бы обходить придуманные условки систем фильтрации.
В конечном итоге была выстроена цепочка:
фильтры дц
фильтры iptables+ipset
фильтры на базе парсеров
фильтр ограничений по веб запросам в несколько ступеней на базе nginx
фильтр на базе nginx с использованием проксирования, по логике:
принимаем запрос, проверяем есть ли кука если нет, выдаем через редирект явой страницу с кнопкой, которая о средством подгруженного со стороны js выдает куку, дальше это все шифровалось и java обрабатывалась обфуркатором.
т.е .человек видел просто страницу с кнопкой войти на сайт, дальше в борьбе начали применять кеши это страници, кто запросил страницу больше 3 раз отдавали 444 ответ, т.е. обрывали соединение. Кроме того меняли куку по крону.
Всех кому отдавался код 444 заносили в списки через ipset.

Это схема в кратце, но смогли снизить LA с 100-300 до 20-30 единиц. Сайт стал работать, пусть медленнее но хотя бы можно было работать, затем пошел поток еще и запросов рандомных, которые пришлось именно отсеять по фильтру.

Борьба длилась 5 суток, но по концовке сервер VDS был блокирован. Так как отражение атаки уровня L7 требует работы системного администратора, и существенное повышение ресурсов сервера.
К сожалению, у нас еще нет сети серверов которые будут фильтровать и потом прокисровать по белому списку на ресурс.

Но в любом случае что то мы сделать смогли. К слову, блокирование атаки L7 мало кто берется из-за сложности блокирования и фильтрования.
Форум інформатиків » РОЗДІЛ V: ПРОГРАМНЕ ЗАБЕЗПЕЧЕННЯ » 5.4 ОС Linux » DDoS атака на сайт, немного фактов
Сторінка 4 з 4«1234
Пошук:


© Форум інформатиків України, 2007-2017.