ДДОС пошел в массы.

BFG-9000 · 20.11.2009

ДДОС пошел в массы.

Давеча столкнула меня судьба с DDOSом. Точнее судьба столкнула моего хорошего знакомого, у которого мелкий бизнес - ставим колокол и хостим на нем кучу сайтов. Он попросил помочь.
А мне чего, мне интересно же - ддос на реальный живой сервак под нагрузкой, на котором ты рутом

Раньше ДДОСили кого? Какое-нить онлайновое казино, букмекерскую контору и т.д., для которой час проеба - десятки нефти, подмоченная репутация, уход клиентов и т.д. И просили за спокойствие соответственно 50-100 нефти.
В описываемом случае попросили единичку зелени - детям на молоко наверное не хватает

Несмотря на интересность темы, был занят и ковырялся между делом. Между тем кто-то написал товарищу для борьбы с ддосом скрипт, который работал по принципу "давайте отрежем удаву хвост. по самые уши". Т.е. за 5 запросов в логе тупо заносил в бан. Хорошо, что на УТ можно легко менять ИП - меня это сильно выручало

В конечном итоге было найдено полчаса времени и путем написания своего скрипта теперь достаточно статистически 2.5 секунды для попадания в баню пациента, у которого невосторженный образ мыслей.
Вот сижу и смотрю в расстройстве на медленно пополняющийся список из 3-х сотен наловленных ИП-шников - а я так надеялся, что их будет хотя бы 10К

Собсно к чему это я. А к тому, что как и написано в сабже - ддос пошел в массы. Похоже стали доступны быдло-ботнеты. Из достаточно закрытых сообществ работников невидимого ботнет-фронта стали утекать трафик, загрузки, сырцы, технологии и приемы.
И похоже нас ждет волна школотских бессмысленных и беспощадных псевдоатак на мелкий хостинг. Побороть их будет более чем просто, но головную боль они владельцам принесут. А денег никто толком не заплатит - ибо нет их в этом бизе в том кл-ве, которое может оправдать стоимость загрузок в ботнет, хостинга командного сервака с антиабузными аплинками плюс дать возможность владельцу ботнета отрежиссерить перформанс с блекджеком и шлюхами в свободное время.

Будем посмотреть...

Reset · 20.11.2009

А чё ты удивляешься? Тут с полгода назад ХФ ДДОСила школота с форума flyback.org.ru за то, что мы ихего идеота идеотом назвали...
Так форум упал, блин. Уже в массах, с полгода как... просто ещё младшекласники не добрались, только старшекласники

Orshansky · 20.11.2009

BFG-9000 сказав(ла):
Давеча столкнула меня судьба с DDOSом. Точнее судьба столкнула моего хорошего знакомого, у которого мелкий бизнес - ставим колокол и хостим на нем кучу сайтов. Он попросил помочь.
А мне чего, мне интересно же - ддос на реальный живой сервак под нагрузкой, на котором ты рутом

Раньше ДДОСили кого? Какое-нить онлайновое казино, букмекерскую контору и т.д., для которой час проеба - десятки нефти, подмоченная репутация, уход клиентов и т.д. И просили за спокойствие соответственно 50-100 нефти.
В описываемом случае попросили единичку зелени - детям на молоко наверное не хватает

Несмотря на интересность темы, был занят и ковырялся между делом. Между тем кто-то написал товарищу для борьбы с ддосом скрипт, который работал по принципу "давайте отрежем удаву хвост. по самые уши". Т.е. за 5 запросов в логе тупо заносил в бан. Хорошо, что на УТ можно легко менять ИП - меня это сильно выручало

В конечном итоге было найдено полчаса времени и путем написания своего скрипта теперь достаточно статистически 2.5 секунды для попадания в баню пациента, у которого невосторженный образ мыслей.
Вот сижу и смотрю в расстройстве на медленно пополняющийся список из 3-х сотен наловленных ИП-шников - а я так надеялся, что их будет хотя бы 10К

Собсно к чему это я. А к тому, что как и написано в сабже - ддос пошел в массы. Похоже стали доступны быдло-ботнеты. Из достаточно закрытых сообществ работников невидимого ботнет-фронта стали утекать трафик, загрузки, сырцы, технологии и приемы.
И похоже нас ждет волна школотских бессмысленных и беспощадных псевдоатак на мелкий хостинг. Побороть их будет более чем просто, но головную боль они владельцам принесут. А денег никто толком не заплатит - ибо нет их в этом бизе в том кл-ве, которое может оправдать стоимость загрузок в ботнет, хостинга командного сервака с антиабузными аплинками плюс дать возможность владельцу ботнета отрежиссерить перформанс с блекджеком и шлюхами в свободное время.

Будем посмотреть...

Опять изобрели велосипед

Тільки зареєстровані користувачі бачать весь контент у цьому розділі

Ну это для самых маленьких.

В серьезных ДЦ стоят специальные программно-аппаратные комплексы анализирующие в реальном времени! траффик на потоках вплоть до 10G и предотвращающие такие атаки за время <100мс.

P.S. Основная причина роста бот-сетей - отсутствие покрывающего тестирования при написании кода ОС и их приложений, нерадивость администраторов и халатность пользователей... Каждый второй администратор не знает, что пароль должен быть буквенно-циферным, но при этом может очень долго может философствовать на тему DDOS атак и непременно считает необходимым владеть утилитой rkhunter

cyber2 · 20.11.2009

а в не серьезных приходиться докупать защиту от ддос на стороне...

BFG-9000 · 21.11.2009

Orshansky сказав(ла):
Опять изобрели велосипед

Тільки зареєстровані користувачі бачать весь контент у цьому розділі

Ну это для самых маленьких.

В серьезных ДЦ стоят специальные программно-аппаратные комплексы анализирующие в реальном времени! траффик на потоках вплоть до 10G и предотвращающие такие атаки за время <100мс.

Какой ты умный. Если бы ты еще был и внимательный :іржач:

Какой в песду "серьезный ДЦ" - ясно же написано, стоит у человека колокол, обычный сервак, на котором куча сайтов, в составе которых куча чужих далеко не самых оптимальных скриптов, которые можно позадрачивать снаружи.
А еще не надо херню нести про время "<100mc" если само развитие атаки занимает 3-5 секунд минимум

Такой большой, а в сказки веришь.

Кстати мой скрипт занимает 25 строчек с отладочным выводом. Плюс имеет функционал уничтожения активных процессов, связанных с блокируемым IP - очень знаешь ли полезная фича не ждать их ессесной смерти. Написан и отлажен за полчаса.
Вместо этого я должен скачать какую-то хрень, разбираться в том как она работает, прикручивать и допиливать ее? Или может мне надо взять хостинг с 50-ю сайтами и левой пяткой перенести его из-под апача на энгинкс? Или к каждому сайту (чужому прошу заметить) прикрутить редирект с кукизами? Или еще какой умный метод посоветуешь использовать? Там даже ПХП собран без шаредмемори... А ну да, я конечно же должен его был пересобрать

И вообще для самых внимательных цод-оводов: пост был не про круто написанный скрипт, а про мое видение ситуации с быдло-ботнетами.

Ferox · 21.11.2009

У меня бывали атаки с использование быдло-ботнетов, но в моем случае, сервер хотя и грузился под 100%, успевал все-таки это кушать... и быдло само отваливало.

С тех пор я в свою ЦМС для сайтов, включил аналогичный скрипт на ПХП - 6 запросов за 1 секунду - ИП в баню на час.

Orshansky · 21.11.2009

BFG-9000 сказав(ла):
А еще не надо херню нести про время "<100mc" если само развитие атаки занимает 3-5 секунд минимум Такой большой, а в сказки веришь.

Ну я же говорю, что детский лепет на лужайке. Ваш скрипт на самом деле это фиговый листик

Максимум может прикрыть от атаки 1-5Мбит... Я конечно понимаю что для мега-хостера со криптиком для канала 5Мбит в Харькове комплексная защита не по карману (а разобраться в существующих комплексах защиты - ума не хватает)... Но каков смысл пользования услугами таких шарашкиных контор не понимаю, это типа для тех кто не умеет пользоваться кредитной карточкой

Я речь веду об атаках 100-1000Мбит. При массированной атаке в 1Гбит (где нибудь в ДЦ во Франкфурте, например Детекс) время за которое атака достигает 100Мбит ~100мс

От таких атак за такое время способны защитить исключительно программно-аппаратные комплексы принцип работы которых - анализ пакетов в реальном времени. На таком потоке данных ваш скриптик сам заберет под себя все ресурсы сервера

От каких видов атак ваш "скриптик" сможет защитить оператора?
-SYN Flood
-DRDoS
-ICMP Flood
-ACK Flood
-UDP Flood
-Tribe Flood Network
-HTTP Flood
-Trinoo
...

BFG-9000 · 21.11.2009

Orshansky сказав(ла):
Ну я же говорю, что детский лепет на лужайке. Ваш скрипт на самом деле это фиговый листик Максимум может прикрыть от атаки 1-5Мбит... Я конечно понимаю что для мега-хостера со криптиком для канала 5Мбит в Харькове комплексная защита не по карману (а разобраться в существующих комплексах защиты - ума не хватает)... Но каков смысл пользования услугами таких шарашкиных контор не понимаю, это типа для тех кто не умеет пользоваться кредитной карточкой

Я речь веду об атаках 100-1000Мбит. При массированной атаке в 1Гбит (где нибудь в ДЦ во Франкфурте, например Детекс) время за которое атака достигает 100Мбит ~100мс

Может пора перестать мерять все шириной канала и включить моск?

Вообще-то гораздо эффективнее валить сервер на отказ по вычислительным ресурсам. Что кстати большинство нижеуказанных атак и делает

Например син-флуду для укладки покрученного сервера достаточно сотни килобит. Конечно тебе это невдомек - ведь это так унизительно когда любимый ЦОД можно положить через жопорез

Для тупых придется повторить дважды: добиться синхронности атаки в пределах 100 мс от ботнета просто НЕРЕАЛЬНО

Даже простой разброс в прохождении команды на атаку по сети будет порядка 500 мс, а теперь приложи специфику прикладного уровня командного канала, время реакции бота на разном железе и в разной вычислительной среде и т.д. Впрочем зачем это тебе - гораздо приятнее фапать на цифры "10G", "100мс" и ценник программно-аппаратного комплекса

Orshansky сказав(ла):
На таком потоке данных ваш скриптик сам заберет под себя все ресурсы сервера

Если это будет сервер, который в одиночку разруливает 10 гигабит - ты не поверишь. не заберет :іржач:

Ибо там вычислительных ресурсов будет дохрена и больше. Или ты 10 гигабит будешь на целероне разруливать?

Orshansky сказав(ла):
От каких видов атак ваш "скриптик" сможет защитить оператора?...

не оператора, а конкретный сервер. -SYN Flood, -ACK Flood, -HTTP Flood. Согласись, нехуевый результат в 25-ти строчках?

Ресурсы вообще не жрет практически. Плюс это мой скрипт - я могу его в любой момент подпилить, поправить, учесть любые новые заморочки атакующего и т.д.

Пора уже отрешиться от дрочерства на большие циферки и просто применять асиметричные ответы на конкретные атаки в конкретных условиях.

Ferox · 21.11.2009

Я вот задал своему админу вопрос, когда нам приходилось последний раз отражать ДДос атаку, и какими методами он это делает, на что услышал неожиданный ответ: "Мы никогда не отражали ДДос, и я вообще этого делать не умею". В ответ на мое недоумение: "а как же вот те случаи", он сказал, что это не ДДос, а "сверхнормативная нагрузка на сервер", а ДДос, это когда забивают входящий канал. Бороться с этим он не умеет, и бороться с этим должны админы датацентра.

А когда сверхнормативная нагрузка, то никакой особой сложности с ней бороться нету, т.к. у нас на сервере канал 100МБит, и такой канал легко может обрабатывать и защищаться от перегрузок в этих рамках "даже такой хилый сервер как наш".

R.I.F. · 21.11.2009

поручик сказав(ла):
ассиметричный ответ -- как правило, слишком дорого.

Нужно держать специалиста on-line и хорошего специалиста.

Значительно дешевле (в смысле ddos и нагрузки канала) - купить циску и активировать в ней этот блок.

Затраты единоразовые и сравнимые с месячной зарплатой думающего специалиста.

в датацентрах так и делают.

BFG-9000 · 21.11.2009

Ferox сказав(ла):
он сказал, что это не ДДос, а "сверхнормативная нагрузка на сервер", а ДДос, это когда забивают входящий канал. Бороться с этим он не умеет, и бороться с этим должны админы датацентра.

Есть мысль, что тебе пора сменить сисадмина

https://ru.wikipedia.org/wiki/DoS-атака
ДОС - это атака на отказ в обслуживании. Каким путем будет отказ - канал забьем или ЦПУ загоним в 100% - дело вторичное.

ДЦ за борьбу с ДДОСом или хочет денег (кстати как было и в описанном мною случае, типа "хотите порезку синфлуда - дайте денег", причем столько, что можно было бы полгода кормить атакующего

) или тупо пинком под зад выгонит тебя из ДЦ если увидит, что твои проблемы стали отражаться на других юзерах. Это надо платить ДЦ приличные деньги, чтобы оно бесплатно о тебе заботилось.
Например если для твоего Апача тысяча-другая одновременных коннектов - практически полный писец, то для ДЦ эти 1-2 тысячи коннектов - легкое колебание в трафике, на которое ему плевать и героически бросаться на борьбу с этим он не будет пока не пнешь или не подмажешь.

поручик сказав(ла):
ассиметричный ответ -- как правило, слишком дорого.

Я бы например за 50 баксов разово и потом 3 бакса в день для контроля ситуации такие проблемы решал бы в промышленных масштабах

И это при том, что я считаю себя зажравшимся спецом...

поручик сказав(ла):
Значительно дешевле (в смысле ddos и нагрузки канала) - купить циску и активировать в ней этот блок.

Ага. Потом поставить эту циску рядом со своим колоколом. Потом еще взять думающего специалиста, чтобы этой циской поруливал время от времени

Логично.

поручик сказав(ла):
Затраты единоразовые и сравнимые с месячной зарплатой думающего специалиста.

Тебя значит школота попробовала "на зуб" быдлоботнетом - а ты сразу выкатил им навстречу циску. Тоже неплохо. (однако возьму свои слова назад, если будешь делиться откатами от циски

)

Kompot · 21.11.2009

То что вы в баню отправляете это хорошо. А обратно из бани выпускаете?

cyber2 · 21.11.2009

с нетерпением жду поста ТСа где он предлогает свой чудесный скрипт за мильен баксов

Kompot · 21.11.2009

cyber2 сказав(ла):
с нетерпением жду поста ТСа где он предлогает свой чудесный скрипт за мильен баксов

может у него Open Source

cyber2 · 21.11.2009

решение в одну строку (вместо 25

)

pf - pass in log quick on $ext_if0 proto tcp from any to $ext_if0 port 80 flags S/SA synproxy state (max-src-conn 100(количество соединений с одного ip), max-src-conn-rate 30/5(количество соединений в за 5 секунд), overload <blocking_ip> flush)

где blocking_ip таблица неугодных, а также через pfctl добавлять ip неугодных

gameover · 21.11.2009

прошу ТСа поделиться скриптом.

Orshansky · 21.11.2009

BFG-9000 сказав(ла):
не оператора, а конкретный сервер. -SYN Flood, -ACK Flood, -HTTP Flood. Согласись, нехуевый результат в 25-ти строчках? Ресурсы вообще не жрет практически. Плюс это мой скрипт - я могу его в любой момент подпилить, поправить, учесть любые новые заморочки атакующего и т.д.

Вы вообще не имеете себе представления о DDOS атаках и методах защиты.

От атак -SYN Flood, -ACK Flood, -HTTP Flood - защищает firewall ограничивая количество соединений в единицу времени.

$IPTABLES -N http-in
$IPTABLES -F http-in
$IPTABLES -A http-in -p tcp --dport http -j ACCEPT
$IPTABLES -A http-in -m limit --limit 200/second --limit-burst 400 -p tcp --tcp-flags ALL RST --dport http -j ACCEPT
$IPTABLES -A http-in -m limit --limit 200/second --limit-burst 400 -p tcp --tcp-flags ALL FIN --dport http -j ACCEPT
$IPTABLES -A http-in -m limit --limit 200/second --limit-burst 400 -p tcp --tcp-flags ALL SYN --dport http -j ACCEPT
$IPTABLES -A http-in -m state --state RELATED,ESTABLISHED -p tcp --dport http -j ACCEPT

$IPTABLES -N http-out
$IPTABLES -F http-out
$IPTABLES -A http-out -m state --state NEW -p tcp --dport http -j ACCEPT

Еще более простой вариант - правильно настроить Apache

Ferox · 21.11.2009

BFG-9000 сказав(ла):
Есть мысль, что тебе пора сменить сисадмина

...

Например если для твоего Апача тысяча-другая одновременных коннектов - практически полный писец,

Мой админ сказал, что наш сервер может обработать столько запросов, сколько сможет вложиться в 100Мбит (ясно не все они пойдут на Апач. Он говорит такие ужасные слова как ipfw и ngnix). Я его лучше не буду его пока менять. Тем более он сам из хакеров. У него если что тоже можно SYN-флуд заказать. Причем как говорят наши израильские коллеги "дискретно", и со скидкой

BFG-9000 · 21.11.2009

Ferox сказав(ла):
Мой админ сказал, что наш сервер может обработать столько запросов, сколько сможет вложиться в 100Мбит (ясно не все они пойдут на Апач. Он говорит такие ужасные слова как ipfw и ngnix). Я его лучше не буду его пока менять. Тем более он сам из хакеров. У него если что тоже можно SYN-флуд заказать. Причем как говорят наши израильские коллеги "дискретно", и со скидкой

Ой, есть мнение, что не разрулит беспроблемно одна машинка 100 мегабит канала, ой не разрулит

Ессесно имеет ввиду честных 100 мегабит. Например в режиме файлового хостинга

И дело не в канале - дисковый массив ляжет, как показывает опыт

Ну и конечно энгинкс - это вещь по сравнению с упомянутым мною апачем. Кстати не очень-то подъемная с точки зрения настройки для среднестатистического колокольщика да и зачастую ему не нужная.
Впрочем если мы договоримся о законности моих действий - я могу этого хахера в лице твоего сервера пощупать

Чисто из любопытства

Orshansky сказав(ла):
Вы вообще не имеете себе представления о DDOS атаках и методах защиты.
От атак -SYN Flood, -ACK Flood, -HTTP Flood - защищает firewall ограничивая количество соединений в единицу времени.

Я с тебя извини меня просто прусь. Ты действительно живешь в каком-то своем мире. В котором главное не результат, а процесс.
Ну ограничил ты кл-во запросов 200 в секунду. Отлично. Ботнет генерирует например в секунду 250, 200 обрабатываются, 50 отбрасываются. А еще ПЛЯТЬ отбрасываются 99% "добропорядочных" соединений, так как лимит исчерпан ботнетом. Что собсно и требуется атакующему - сервер не обслуживает добропорядочных юзеров.
Это просто фейерическая защита о ДДОСа, ога.

Orshansky · 21.11.2009

BFG-9000 сказав(ла):
Я с тебя извини меня просто прусь. Ты действительно живешь в каком-то своем мире. В котором главное не результат, а процесс.
Ну ограничил ты кл-во запросов 200 в секунду. Отлично. Ботнет генерирует например в секунду 250, 200 обрабатываются, 50 отбрасываются. А еще ПЛЯТЬ отбрасываются 99% "добропорядочных" соединений, так как лимит исчерпан ботнетом. Что собсно и требуется атакующему - сервер не обслуживает добропорядочных юзеров.
Это просто фейерическая защита о ДДОСа, ога.

Да вариантов организации защиты масса. Я привел такой пример, только потому, что вариант для ограничения количества соединения для каждого хоста уже был приведен. Вам уже приводили правило для файервола pf для ограничения числа соединений TCP для каждого хоста в единицу времения независимо. Аналогичным функционалом обладает и iptables.

Вариант для ограничения количества параллелльных соединений для каждого хоста:
$IPTABLES -A INPUT -p tcp --syn --dport http -m iplimit --iplimit-above 8 -j REJECT

Вариант для ограничения количества соединения для каждого хоста в единицу времени:
$IPTABLES -A INPUT --protocol tcp --match state --state NEW --dport 22 --match recent --update --seconds 30 --name SSHT --jump DROP
$IPTABLES -A INPUT --protocol tcp --match state --state NEW --dport 22 --match recent --set --name SSHT --jump ACCEPT
...

Как можно видеть из этого топика, вариантов решения этих элементарных задач стандартными административными средствами - масса. А писать для решения таких задач левые скриптики не имея ни малейшего представления о возможностях стандартных административных средств - вот это БРЕД. Изобретаете велосипеды....

BFG-9000 сказав(ла):
Ой, есть мнение, что не разрулит беспроблемно одна машинка 100 мегабит канала, ой не разрулит Ессесно имеет ввиду честных 100 мегабит. Например в режиме файлового хостинга И дело не в канале - дисковый массив ляжет, как показывает опыт

Бред... Вы что то слышали о дисковых массивах RAID5, SAS интерфейсе, 15 000 rpm жестких дисках?

Такие дисковые массивы в режиме файлового хостинга "разруливают" 2-3Гбит/с