Новости сайта

DDoS

 
Изображение пользователя Евгений Викторович Арбатский
DDoS
от Евгений Викторович Арбатский - Понедельник, 20 Апрель 2009, 10:49
 
Один из сайтов, когда-то сделанных мною, усиленно атакуют уже несколько месяцев, и единственный результат, которого добились атакующие - это отказ в обслуживании за счет DDoS. Так как эта проблема пока, на мой взгляд, корректно не решаема (увеличение мощностей, оптимизация сайтов, фильтрация трафика - это не решение проблемы с DDoS). Следовательно надо решать вопрос с ботнетами. Думаю что в этом случае надо использовать анализ передаваемых данных в Интернет. Но так как сеть распределена, объемы очень большие, то возникает проблема свести все это воедино. Думаю, что следует создать тему дипломной работы "Организация защиты от DDoS", либо "Методика выявления ботнетов". За 2-3 года можно набрать необходимый материал и продумать основные положения. Может быть выясним за это время то, что эта проблема уже решена.
Изображение пользователя Евгений Викторович Арбатский
Re: DDoS
от Евгений Викторович Арбатский - Четверг, 23 Апрель 2009, 09:19
 
Статистика с данным атаки за период 19-20 апреля:
14.6 млн. запросов
2.5Гб журнал обращений
2.5Гб журнал ошибок

В среднем выходит 84 запросов в секунду за 48 часов. Но на самом деле атака была не 48часов, а где-то 30,то есть на самом деле было примерно 135 запросов в секунду.

По-моему мнению, сайты рассчитанные на 1000 и более активных пользователей должны разрабатываться на технологиях, ориентированных на производительность. И уровень затрат на разработку там совсем другой. Что значит 1000 активных пользователей? Это 1000 пользователей, которые обратились к сайту в течение 1 минуты. То есть 1000-5000 запросов в минуту (с учетом графики, стилей, кеширования) к сайту. Это выходит 83 запроса в секунду. И я считаю, что это уже пороговые значения, которые заставляют сайт работать на пределе физических ограничений и возможностей. Обычные решения, которые базируются на LAMP-технологии, тут не подходят. Надо менять механизм сайта, перераспределять нагрузку.

Сама оценка в 1000 пользователей лишь приблизительная, более точная требует дополнительных исследований, которые буду проводить позже.


Изображение пользователя Евгений Викторович Арбатский
Re: DDoS
от Евгений Викторович Арбатский - Четверг, 30 Апрель 2009, 08:52
 
Сегодня сайт положили уже у третьего хостера. Сайт стал недоступен по HTTP при 12-18 запросах в секунду. Причем недоступность проявилась буквально через 10-15 минут атаки.
Изображение пользователя Евгений Викторович Арбатский
Re: DDoS
от Евгений Викторович Арбатский - Вторник, 12 Май 2009, 19:44
 
Первоначально третий хостинг (после перенастройки) справился с нагрузкой и атакой. Примерно с одного адреса делалось по 3 запроса в секунду. В среднем было до 320 запросов в секунду.

12 мая атака активизировался снова - стало атаковать около 1300 компьютеров. Хостинг не справился с такой атакой.

На снимке приведена статистика на 30 апреля.

Изображение пользователя Евгений Викторович Арбатский
Re: DDoS
от Евгений Викторович Арбатский - Вторник, 12 Май 2009, 23:33
 
Провел анализ атаки от 12-го числа. Итог: при атаке генерируется от 60 до 160 запросов в секунду. Цифра в 1300 компьютеров оказалась не совсем верна. В первый час атаки было получено чуть более 0.5млн запросов к серверу, эти запросы созданы 2922 различными IP (К примеру, до атаки за час к сайту обратилось 193 разных IP). На следующий час было 2555 различных IP.

Изображение пользователя Евгений Викторович Арбатский
Re: DDoS
от Евгений Викторович Арбатский - Среда, 13 Май 2009, 10:54
 
Со мной поделились таким опытом борьбы с DDOS:

Одновременно долбят примерно со 150-200 разных IP-адресов
Их вычисляешь, фильтруешь.
Потом постепенно по одному новому в минуту добавляется.
С каждого адреса летит около 30-50 запросов в сек

Решение проблемы мы придумали такое
nginx на вход, потом iptables -m string со строкой запроса на веб сервер

И вообщем до апача уже не долетает
железо справляется,nginx

Но в этом случае конкретно ложатся каналы
так как nginx, не может добраться до апача и начинает на каждый запрос слать ответ типа 550 Internal Server error

Если к тебе летит скажем 2-4 мегабита в сек
то в этом случае от тебя полетит мегабит 300
Изображение пользователя Евгений Викторович Арбатский
Re: DDoS
от Евгений Викторович Арбатский - Вторник, 26 Май 2009, 08:42
 
Запустили сайт уже на новом (4-м за эти полгода) хостинге, но уже с позиционируемой защитой от DDOS. Буду ждать атаку в течение месяца.
Изображение пользователя Евгений Викторович Арбатский
Re: DDoS
от Евгений Викторович Арбатский - Четверг, 28 Май 2009, 16:27
 
Сегодня начали атаку и положили и этот хостинг. Правда провайдер еще пытается решить проблему поднятием уровня защиты - буду смотреть на результат.

P.S. Результат уже виден - показываются "клик"-страницы - то есть автоматически создается страница с картинкой, если пользователь нажал на нее - значит человек, ну, а если не нажал, то скорей всего робот. Правда на работе в Firefox картинку не видно вообще, а в Opera видно бордюр. Поэтому в Firefox-е на сайт не зайти, а в Opera заходит нормально.
Изображение пользователя Евгений Викторович Арбатский
Re: DDoS
от Евгений Викторович Арбатский - Суббота, 30 Май 2009, 11:10
 
Об атаке на сайт 27-28 мая. Атака началась как обычно - через пару дней после запуска сайта на новом хостинге. Первоначально она негативно сказалась на сайте и сайт стал недоступен. После ряда мер, которые предпринял хостинг, сайт снова заработал, но атака продолжилась. Небольшая статистика (частично из пред. поста про прошлую атаку):
Кол-во запросов в секунду при нормальной работе = 0,2-2
Кол-во запросов в секунду в позапрошлую атаку = 143,5
Кол-во запросов в секунду в прошлую атаку дошло до 314.73 запросов в секунду.

На новом месте при последней атаке количество запросов в секунда дошло до 1186.

На текущий момент сайт продолжает работать дальше.

График атаки

По иркутскому времени атака была 28-го числа, по времени хостинга - 27-го.
Изображение пользователя Гость проекта
Re: DDoS
от Гость проекта - Суббота, 12 Май 2012, 13:31
 

Добрый день, Евгений Викторович!

 А Вы бы не могли, пожалуйста, написать контакты хостер-провайдера, который смог справиться в ddos атакой.

 Заранее спасибо! 

Изображение пользователя Евгений Викторович Арбатский
Re: DDoS
от Евгений Викторович Арбатский - Вторник, 15 Май 2012, 23:46
 

Если верно помню, то был http://www.secureservertech.ru/ - но там цены были не слишком приятные, поэтому через полгода-год сменили провайдера. Актуальность атаки к тому времени пропала.