DDoS
by Евгений Викторович Арбатский - Один из сайтов, когда-то сделанных мною, усиленно атакуют уже несколько месяцев, и единственный результат, которого добились атакующие - это отказ в обслуживании за счет DDoS. Так как эта проблема пока, на мой взгляд, корректно не решаема (увеличение мощностей, оптимизация сайтов, фильтрация трафика - это не решение проблемы с DDoS). Следовательно надо решать вопрос с ботнетами. Думаю что в этом случае надо использовать анализ передаваемых данных в Интернет. Но так как сеть распределена, объемы очень большие, то возникает проблема свести все это воедино. Думаю, что следует создать тему дипломной работы "Организация защиты от DDoS", либо "Методика выявления ботнетов". За 2-3 года можно набрать необходимый материал и продумать основные положения. Может быть выясним за это время то, что эта проблема уже решена.
Re: DDoS
by Евгений Викторович Арбатский - Статистика с данным атаки за период 19-20 апреля:
14.6 млн. запросов
2.5Гб журнал обращений
2.5Гб журнал ошибок
В среднем выходит 84 запросов в секунду за 48 часов. Но на самом деле атака была не 48часов, а где-то 30,то есть на самом деле было примерно 135 запросов в секунду.
По-моему мнению, сайты рассчитанные на 1000 и более активных пользователей должны разрабатываться на технологиях, ориентированных на производительность. И уровень затрат на разработку там совсем другой. Что значит 1000 активных пользователей? Это 1000 пользователей, которые обратились к сайту в течение 1 минуты. То есть 1000-5000 запросов в минуту (с учетом графики, стилей, кеширования) к сайту. Это выходит 83 запроса в секунду. И я считаю, что это уже пороговые значения, которые заставляют сайт работать на пределе физических ограничений и возможностей. Обычные решения, которые базируются на LAMP-технологии, тут не подходят. Надо менять механизм сайта, перераспределять нагрузку.
Сама оценка в 1000 пользователей лишь приблизительная, более точная требует дополнительных исследований, которые буду проводить позже.
14.6 млн. запросов
2.5Гб журнал обращений
2.5Гб журнал ошибок
В среднем выходит 84 запросов в секунду за 48 часов. Но на самом деле атака была не 48часов, а где-то 30,то есть на самом деле было примерно 135 запросов в секунду.
По-моему мнению, сайты рассчитанные на 1000 и более активных пользователей должны разрабатываться на технологиях, ориентированных на производительность. И уровень затрат на разработку там совсем другой. Что значит 1000 активных пользователей? Это 1000 пользователей, которые обратились к сайту в течение 1 минуты. То есть 1000-5000 запросов в минуту (с учетом графики, стилей, кеширования) к сайту. Это выходит 83 запроса в секунду. И я считаю, что это уже пороговые значения, которые заставляют сайт работать на пределе физических ограничений и возможностей. Обычные решения, которые базируются на LAMP-технологии, тут не подходят. Надо менять механизм сайта, перераспределять нагрузку.
Сама оценка в 1000 пользователей лишь приблизительная, более точная требует дополнительных исследований, которые буду проводить позже.
Re: DDoS
by Евгений Викторович Арбатский - Сегодня сайт положили уже у третьего хостера. Сайт стал недоступен по HTTP при 12-18 запросах в секунду. Причем недоступность проявилась буквально через 10-15 минут атаки.
Re: DDoS
by Евгений Викторович Арбатский - Первоначально третий хостинг (после перенастройки) справился с нагрузкой и атакой. Примерно с одного адреса делалось по 3 запроса в секунду. В среднем было до 320 запросов в секунду.
12 мая атака активизировался снова - стало атаковать около 1300 компьютеров. Хостинг не справился с такой атакой.
На снимке приведена статистика на 30 апреля.
12 мая атака активизировался снова - стало атаковать около 1300 компьютеров. Хостинг не справился с такой атакой.
На снимке приведена статистика на 30 апреля.
Re: DDoS
by Евгений Викторович Арбатский - Провел анализ атаки от 12-го числа. Итог: при атаке генерируется от 60 до 160 запросов в секунду. Цифра в 1300 компьютеров оказалась не совсем верна. В первый час атаки было получено чуть более 0.5млн запросов к серверу, эти запросы созданы 2922 различными IP (К примеру, до атаки за час к сайту обратилось 193 разных IP). На следующий час было 2555 различных IP.
Re: DDoS
by Евгений Викторович Арбатский - Со мной поделились таким опытом борьбы с DDOS:
Одновременно долбят примерно со 150-200 разных IP-адресов
Их вычисляешь, фильтруешь.
Потом постепенно по одному новому в минуту добавляется.
С каждого адреса летит около 30-50 запросов в сек
Решение проблемы мы придумали такое
nginx на вход, потом iptables -m string со строкой запроса на веб сервер
И вообщем до апача уже не долетает
железо справляется,nginx
Но в этом случае конкретно ложатся каналы
так как nginx, не может добраться до апача и начинает на каждый запрос слать ответ типа 550 Internal Server error
Если к тебе летит скажем 2-4 мегабита в сек
то в этом случае от тебя полетит мегабит 300
Их вычисляешь, фильтруешь.
Потом постепенно по одному новому в минуту добавляется.
С каждого адреса летит около 30-50 запросов в сек
Решение проблемы мы придумали такое
nginx на вход, потом iptables -m string со строкой запроса на веб сервер
И вообщем до апача уже не долетает
железо справляется,nginx
Но в этом случае конкретно ложатся каналы
так как nginx, не может добраться до апача и начинает на каждый запрос слать ответ типа 550 Internal Server error
Если к тебе летит скажем 2-4 мегабита в сек
то в этом случае от тебя полетит мегабит 300
Re: DDoS
by Евгений Викторович Арбатский - Запустили сайт уже на новом (4-м за эти полгода) хостинге, но уже с позиционируемой защитой от DDOS. Буду ждать атаку в течение месяца.
Re: DDoS
by Евгений Викторович Арбатский - Сегодня начали атаку и положили и этот хостинг. Правда провайдер еще пытается решить проблему поднятием уровня защиты - буду смотреть на результат.
P.S. Результат уже виден - показываются "клик"-страницы - то есть автоматически создается страница с картинкой, если пользователь нажал на нее - значит человек, ну, а если не нажал, то скорей всего робот. Правда на работе в Firefox картинку не видно вообще, а в Opera видно бордюр. Поэтому в Firefox-е на сайт не зайти, а в Opera заходит нормально.
P.S. Результат уже виден - показываются "клик"-страницы - то есть автоматически создается страница с картинкой, если пользователь нажал на нее - значит человек, ну, а если не нажал, то скорей всего робот. Правда на работе в Firefox картинку не видно вообще, а в Opera видно бордюр. Поэтому в Firefox-е на сайт не зайти, а в Opera заходит нормально.
Re: DDoS
by Евгений Викторович Арбатский - Об атаке на сайт 27-28 мая. Атака началась как обычно - через пару дней после запуска сайта на новом хостинге. Первоначально она негативно сказалась на сайте и сайт стал недоступен. После ряда мер, которые предпринял хостинг, сайт снова заработал, но атака продолжилась. Небольшая статистика (частично из пред. поста про прошлую атаку):
Кол-во запросов в секунду при нормальной работе = 0,2-2
Кол-во запросов в секунду в позапрошлую атаку = 143,5
Кол-во запросов в секунду в прошлую атаку дошло до 314.73 запросов в секунду.
На новом месте при последней атаке количество запросов в секунда дошло до 1186.
На текущий момент сайт продолжает работать дальше.
По иркутскому времени атака была 28-го числа, по времени хостинга - 27-го.
Кол-во запросов в секунду при нормальной работе = 0,2-2
Кол-во запросов в секунду в позапрошлую атаку = 143,5
Кол-во запросов в секунду в прошлую атаку дошло до 314.73 запросов в секунду.
На новом месте при последней атаке количество запросов в секунда дошло до 1186.
На текущий момент сайт продолжает работать дальше.
По иркутскому времени атака была 28-го числа, по времени хостинга - 27-го.
Re: DDoS
by Гость проекта - Добрый день, Евгений Викторович!
А Вы бы не могли, пожалуйста, написать контакты хостер-провайдера, который смог справиться в ddos атакой.
Заранее спасибо!
Re: DDoS
by Евгений Викторович Арбатский - Если верно помню, то был http://www.secureservertech.ru/ - но там цены были не слишком приятные, поэтому через полгода-год сменили провайдера. Актуальность атаки к тому времени пропала.