Как защититься от ddos-атаки?

#31 22 октября 2011 в 03:36
Поцыки, гоните… DDoS еще заслужить нужно. А покажте прожекты, которые якобы ддосят.
#32 15 апреля 2012 в 09:59
DDoS и Dos атаку отбить можно!

Если хост заблокирует ваш сайт по этой причине во первых вам нужно добраться до лог файлов, сделать это можно по протоколу SFTP-SSH ничего сложного здесь нет например в FileZilla создаете "Новый сайт" в поле хост: Ваш_домен.ru, Порт: 22, Протокол: SFTP-SSH, далее пользователь и пароль как обычно, затем Соединиться.

Всё вы на месте. Затем ищете папку с лог файлами на одном хосте у меня называется logs на другом access-logs вообщем понятно. Заходите в эту папку скачиваете лог файл на комп.
Открываем файл (у меня Notepad++) — запрос паразит выглядит так: 83.149.9.113 — - [12/Apr/2012:00:22:19 +0400] "GET /SXIJRO HTTP/1.0" 200 276 "-" "Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 6.0)" — это реальный запрос и таких будет тысячи, они все одинаковые их сразу видно.
Естественно здесь нас интересует IP — копируем его и смотрим в Яндексе от куда он, в данном случае это сервер gprs Мегафона — у них динамические ip 83.149.9. и 83.149.8. меня досили с них...
> 83.149.9.170
> 83.149.8.144
> 83.149.9.113
> 83.149.9.9
> 83.149.8.203
Если на хосте есть черный список по IP то блокируем всю ветку 83.149 (без точки)
Если на хосте нет черного списка то в файл .htaccess в корне вашего сайта вносим это: #/отключение по ip адресу
<Limit GET POST>
order allow,deny
deny from 83.149
allow from all
</Limit>
Сложнее будет если атака идет через прокси сервер но всё равно можно, тяжело, но можно потягаться… — шаг за шагом "отрезать" вредные IP. Ну а если будет статический IP значит школьник балуется… В первую очередь когда вас досят это тяжело морально НО когда вы знаете как это происходит и можете бороться становится легче… Как-то досили мой сайт и я не спал 2 суток, устал естественно, было не приятно но — не поверите — интересно)))
#33 15 апреля 2012 в 11:02
Tirpits — полезно, спасибо за информацию+
#34 15 апреля 2012 в 11:18
Хочу добавить: у gprs любого оператора есть свои сервера (2-3 или больше), если атака по ним то это вообще не беда, это уже проблема того кто вас достает (придется симки операторов менять), тупо блокируйте все gprs ветки этих операторов, правда владельцы девайсов тоже не зайдут к вам на сайт но потом можно убрать защиту… а чаще досят именно по ним.
#35 15 апреля 2012 в 11:55
Tirpits не в обиду поверьте, но не путайте людей. Это не защита от DDoS, так даже от школоты не защититься, это просто блочим ипы самым примитивным образом, для доступа на сайт. Как бы написать по проще, они уже достучались до вашего сервера, забили канал и все вытекающие отсюда. DDoS если идет, то его такой фигней не закроешь ну никак.
Даже хостеры с обещаниями антидоса далеко не все могут обеспечить хотя бы на маленькую атаку защиту.
Это технологически не простой процесс, в нем задействованы и аппаратные программные части, не хилые мощности.

А вообще я бы глянул на ддос через сотовых операторов, вы наверно Абрамовичу насолили rofl
#36 15 апреля 2012 в 11:57
У меня сейчас папка «access-logs» пустая.
Так и должно быть когда нет атаки?
#37 15 апреля 2012 в 11:59

У меня сейчас папка «access-logs» пустая.

Man
А логирование вообще включено, например в панели на хосте?
#38 15 апреля 2012 в 12:16

Tirpits не в обиду поверьте, но не путайте людей. Это не защита от DDoS, так даже от школоты не защититься, это просто блочим ипы самым примитивным образом, для доступа на сайт. Как бы написать по проще, они уже достучались до вашего сервера, забили канал и все вытекающие отсюда. DDoS если идет, то его такой фигней не закроешь ну никак.
Даже хостеры с обещаниями антидоса далеко не все могут обеспечить хотя бы на маленькую атаку защиту.
Это технологически не простой процесс, в нем задействованы и аппаратные программные части, не хилые мощности.

А вообще я бы глянул на ддос через сотовых операторов, вы наверно Абрамовичу насолили

garry
Конечно результата они своего добьются, они же вас не предупредят о атаке) вам остается слушать оператора хоста что пока атака не прекратится сайт будет заблокирован, а у вас даже доступа по ftp к нему не будет (у меня не было). В большей степени вы правы, — когда идет массированная атака из многих городов и стран тут уж… но такие атаки организовывает большое количество людей да еще компьютеров-зомби и направлены они как правило на сайты больших компаний или правительственные сайты где только таким количеством их можно положить, в моем случае я думаю конкуренты побаловались и я конкретно их остановил, каждый день они включали эту карусель, сидеть и ждать когда им надоест? я пошел таким путем и все прекратилось…
#39 15 апреля 2012 в 12:19
Да кстати: лог могу выслать, это gprs Мегафона. Приведенные выше IP реальные.
#40 15 апреля 2012 в 12:26
Атака возможна и происходит на любые сайты, даже на самый маленький одностраничный сайт. Стоит денег, но положить не подготовленный сайт/админа/сервер, дело 20 минут(условно), даже без затрат. И отсечь атаку не фильтруя пакеты не удастся.
То что у вас было это не ддос в полном смысле, атмазки хостеров не новинка. Им проще отключить акк, чем разбираться.
Да вариантов атак хватает.
Вам помогло и это гут, главное что бы сайт работал!!!
#41 15 апреля 2012 в 14:33
— Да, этот вариант рабочий, вот я приведу отрывки переписки с хостом:

> > > > > > > > > > Здравствуйте.
> > > > > > > > > >
> > > > > > > > > > На серверах компании "Хостинг-Центр" размещается Ваш сайт ......ru. Уведомляем
> > > > > > > > > > Вас, что с 20:30 11.04.2012 на Ваш сайт ведется DDoS-атака.
> > > > > > > > > >
> > > > > > > > > > Атака повлекла за собой резкое ухудшение качества обслуживания сайтов,
> > > > > > > > > > размещенных на одном сервере с ......ru. К сожалению, в соответствии с
> > > > > > > > > > договором, мы вынуждены ограничить доступ к Вашему сайту во избежание сбоев в
> > > > > > > > > > работе сервера.
> > > > > > > > > >
> > > > > > > > > > Доступ к сайту будет восстановлен после окончания DDoS-атаки.
> > > > > > > > > >
> > > > > > > > > > Что такое DDoS-атака, Вы можете прочитать на нашем портале помощи:
> > > > > > > > > > help.hc.ru/entry/1055
> > > > > > > > > >
> > > > > > > > > > Вредоносные запросы к Вашему сайту:
> > > > > > > > > >
> > > > > > > > > > 83.149.8.144 — - [11/Apr/2012:00:57:01 +0400] "GET /LHLBRB HTTP/1.0" 200 61768
> > > > > > > > > > "-" "Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 6.0)"… здесь далее идет фрагмент лога с частотой 1620(я посчитал))) запросов в минуту (это еще мало).

Вот и весь сказ хостинга, отключили рубильник и все, разбираться ни кто не стал — ну вот я и полез самостоятельно все выяснять, — я не говорю что мой вариант был супер сложный но лучше знать и про такой вариант блокировки ддоса. — Ну как говорится — не дай бог ни кому!)))
Вы не можете отвечать в этой теме.
Войдите или зарегистрируйтесь, чтобы писать на форуме.
Используя этот сайт, вы соглашаетесь с тем, что мы используем файлы cookie.