Змінюй хід війни! Допомагай ЗСУ!

ДДОС пошел в массы.

  • Автор теми Автор теми BFG-9000
  • Дата створення Дата створення
Да вариантов организации защиты масса. Я привел такой пример, только потому, что вариант для ограничения количества соединения для каждого хоста уже был приведен. Вам уже приводили правило для файервола pf для ограничения числа соединений TCP для каждого хоста в единицу времения независимо. ****огичным функционалом обладает и iptables.

Вариант для ограничения количества параллелльных соединений для каждого хоста:
$IPTABLES -A INPUT -p tcp --syn --dport http -m iplimit --iplimit-above 8 -j REJECT

Вариант для ограничения количества соединения для каждого хоста в единицу времени:
$IPTABLES -A INPUT --protocol tcp --match state --state NEW --dport 22 --match recent --update --seconds 30 --name SSHT --jump DROP
$IPTABLES -A INPUT --protocol tcp --match state --state NEW --dport 22 --match recent --set --name SSHT --jump ACCEPT
...

Как можно видеть из этого топика, вариантов решения этих элементарных задач стандартными административными средствами - масса. А писать для решения таких задач левые скриптики не имея ни малейшего представления о возможностях стандартных административных средств - вот это БРЕД. Изобретаете велосипеды....
Я ж тобой в реале встречался - вроде как вменяемый человек. Ну как можно демонстрировать такую глупость? Стандартный ослик, которого бот поднимает активиксом или та же либа ВинХТТП либо перловый ЛВП больше 1-2-х коннектов одновременно не делают - так уж они устроены. Так что эти ограничения актуальны только если атака идет из-за одного НАТа с оверлоадом, типа наших ГС. Другими словами эти ограничения просто бессмысленны. Ну разве что как демонстрация классического примера зубрежки - отличное знание наизусть опций ИПТаблез (я вот не знаю почти ни одной - каждый раз в МАН лезу) при полном непонимании жизненных реалий.
Даже простой подсчет показывает, что апач больше 1К коннектов нормально не разруливает, и чтобы создать такую нагрузку не вылезая из-за ограничений - достаточно 700-800 ботов. При выживаемости 10% и цене 60 баксов за 1000 загрузок - убожество предложенного метода становится понятным при использовании ботнета ценой 400-450 баксов. Это собственно косвенная оценка уровня продемонстрированных тобой знаний.
Ну а тот факт, что эта методика не ведет к отлову и блокировке списка атакующих ИП - тебе вообще похоже непонятен. Зато ты такой весь стандартный в средствах... :D

Еще раз утверждаю: численными ограничениями на кл-во коннектов по любым критериям можно отбить ДОС, но не ДДОС. В общем случае невозможно численными методами фаерволов отличить ДДОС-бота от добропорядочного юзера. Необходимы статистический ****из запросов и ведение списков блокировок. Стандартные средства этого не позволяют.


Вы что то слышали о дисковых массивах RAID5, SAS интерфейсе, 15 000 rpm жестких дисках?
Такие дисковые массивы в режиме файлового хостинга "разруливают" 2-3Гбит/с :D
На каждом колоколе конечно же стоит такой массив. Дедики давно комплектуются таким железом по умолчанию. И вообще это же стандарт дефакто, скоро в десктопах уже будет. Ферокс конечно же купил себе такой. Правда, Ферокс, ведь купил, сознавайся :D Ты же богатый, тебя цена 1.5-2 бакса за гигабайт не остановит :іржач:
Плять. Может перестанешь рассказывать про достижения конструкторской мысли и спустишься на землю?
Я теперь понял почему на файлопомойках до сих пор кластера - они же тебя не пригласили в качестве консультанта. Тебя послушать, так достаточно 2 юнита серверов, пяток корзинок винтов - и готова очередная рапидшара :іржач:
 
Ферокс конечно же купил себе такой. Правда, Ферокс, ведь купил, сознавайся Ты же богатый, тебя цена 1.5-2 бакса за гигабайт не остановит
У меня не файловый массив.

Я не говорю о том, что 100 Мбит штатной нагрузки сервер выдержит. Я говорю о том, что сервер сможет спокойно работать в том режиме, когда на него идет 100Мбитный "ддос", при условии если не затыкается входящий канал.
 
Даже простой подсчет показывает, что апач больше 1К коннектов нормально не разруливает, и чтобы создать такую нагрузку не вылезая из-за ограничений - достаточно 700-800 ботов. При :

Защита от DDoS атак - это комплекс мероприятий. Я вполне себе предвидел ваш вопрос, еще раз убеждаюсь что вы не читаете, и не осмысливаете то что вам пишут.

1. Вам уже тут писали про nginx. Подумайте на досуге зачем. (даю подсказку - это позволит выдержать нагрузку на порядок большую чем Apache, >10к запросов без фатальной нагрузки на сервер.

2. А вот ести запросов будет многим больше 10к, тогда у вас утилизируется пропускная способность канала на 100% и тогда уже ни "скриптик" ни файервол ни ngnix уже не спасут :) И опять возвращаемся к прогарммно аппаратным комплексам которые обнаруживают атаку путем ****иза траффика по направлениям в реальном масштабе времени на потоках 10G (дабы иметь возможность отсечь атаки 100Мбит...1Гбит без потери SLA) применяемые в приличных! ДЦ или же операторами связи предоставляющие гарантированные каналы в таких приличных! ДЦ:)

Я теперь понял почему на файлопомойках до сих пор кластера - они же тебя не пригласили в качестве консультанта. Тебя послушать, так достаточно 2 юнита серверов, пяток корзинок винтов - и готова очередная рапидшара :іржач:

Да, кластера, из серверов с дисковыми массивами Raid 5. И если вы в курсе, то там экономят не на конфигурации серверов, а на потребляемой электроэнергии, количестве юнитов. Поэтому один сервер 2U с Raid5 предпочтут 10-ти одноюнитовым серверам с 1 жестким диском.
 
Останнє редагування:
То что вы в баню отправляете это хорошо. А обратно из бани выпускаете?
Э-э-э... а зачем? :) Когда там будет 10-20К ИП - будем думать, а пока что на объемах меньше 1К - не вижу особого смысла возиться, даже если бы они были все из ридной неньки. А так как половина наловленного вообще желтые узкоглазые братья разных модификаций - выпуск из бани вообще теряет смысл.
 
А так как половина наловленного вообще желтые узкоглазые братья разных модификаций - выпуск из бани вообще теряет смысл.

Я бы вообще китайцев отрубил бы нафик


iptables -A INPUT -p tcp --dport 80 -m geoip --src-cc CN -j REJECT

или вогнал бы списки разных гондурасов и иранов в блок перманентный
⚠ Тільки зареєстровані користувачі бачать весь контент та не бачать рекламу.
 
BFG маладец што написал скрипт, правда "ддосы" до 10 мегабит руляца штатными правилами фаера как cyber2 написал, а вот чёто в районе 40-ка мегабит уже вообще ***** не радует и сервак грузит
 
Защита от DDoS атак - это комплекс мероприятий. Я вполне себе предвидел ваш вопрос, еще раз убеждаюсь что вы не читаете, и не осмысливаете то что вам пишут.

1. Вам уже тут писали про nginx. Подумайте на досуге зачем. (даю подсказку - это позволит выдержать нагрузку на порядок большую чем Apache, >10к запросов без фатальной нагрузки на сервер.
Это если бы ты читал для разнообразия и не просто читал а еще и думал иногда - ты бы прочел в самом первом посте мысль, что есть конкретный сервер, на котором УЖЕ хостится туча мелких сайтов. На котором стоит реселлинг. На котором настроена у самого владельца и у его клиентов куча разной мелкой херни, подвязанной под Апач. И теперь прихожу я и так легким движением руки все перевожу на энгинкс. За 20 минут, ога.
И даже допустим я это сделаю, опять же из интереса - я в конечном итоге откланяюсь, а владелец останется один на один с энгинксом, в котором он никуя не рубит. И будет для проведение даже мелких работ платить деньги наемным работникам. Надо головой думать хоть на один шаг вперед.
Твое теоретизирование просто заипало. На практике когда ты предложишь среднестатистическому колокольщику подобные экзотические решения проблем - он просто пошлет тебя найух и будет абсолютно прав.

Да, кластера, из серверов с дисковыми массивами Raid 5. И если вы в курсе, то там экономят не на конфигурации серверов, а на потребляемой электроэнергии, количестве юнитов. Поэтому один сервер 2U с Raid5 предпочтут 10-ти одноюнитовым серверам с 1 жестким диском.
Да, Ферокс, вот мы и услышали подтверждение: оказывается ты редкостный ******, живешь без корзинки винтов, ценой 500 баксов за 300 гигабайт и тратишь лишнее бабло на электричество.
Кстати по электричеству, для теоретиков: примем мощность одноюнитового сервера 200 Вт. В сутки он жрет 4.8КВт*ч. В год это 1750 КВт*ч. Цена киловатт-часа у нас если не ошибаюсь 0,71 гривна для промышленных предприятий. Итого цена электричества в год составит 1250 гривен. Т.е. 150 баксов. Итого покупка 1-го (ОДНОГО) супервинта 15000рпм на 300 гигабайт - это как минимум 3 (ТРИ) года обеспечения электричеством одноюнитового сервера с винтом без выебосов только за счет разницы в цене одного винта.
Это просто неописуемый *****ц как можно не уметь считать простые вещи. А потом рассказывать разную хуиту с умным видом.
 
Это если бы ты читал для разнообразия и не просто читал а еще и думал иногда - ты бы прочел в самом первом посте мысль, что есть конкретный сервер, на котором УЖЕ хостится туча мелких сайтов. На котором стоит реселлинг. На котором настроена у самого владельца и у его клиентов куча разной мелкой херни, подвязанной под Апач. И теперь прихожу я и так легким движением руки все перевожу на энгинкс. За 20 минут, ога.
И даже допустим я это сделаю, опять же из интереса - я в конечном итоге откланяюсь, а владелец останется один на один с энгинксом, в котором он никуя не рубит. И будет для проведение даже мелких работ платить деньги наемным работникам. Надо головой думать хоть на один шаг вперед.
Твое теоретизирование просто заипало. На практике когда ты предложишь среднестатистическому колокольщику подобные экзотические решения проблем - он просто пошлет тебя найух и будет абсолютно прав.

Не обязательно полностью переходить на ngnix. Не стоит все так прямолинейно воспринимать. Перед веб-сервером apache устанавливается быстрый nginx и который отдает статичные файлы. Создается статичный файл index.html в котором делается переход на другую страницу и устанавливается редирект с помощью метатега html. Когда начнется DDOS атака, то nginx сможет выдержать намного больше запросов к статичному файлу по сравнению с apache.

Это стандартный прием. Он позволит защитить главную страницу сайта, отфильтровав все запросы от бот-сети, так как боты не выполняют заход при редиректе и будут продолжать выполнять "GET / HTTP/...."


Да, Ферокс, вот мы и услышали подтверждение: оказывается ты редкостный ******, живешь без корзинки винтов, ценой 500 баксов за 300 гигабайт и тратишь лишнее бабло на электричество.
Кстати по электричеству, для теоретиков: примем мощность одноюнитового сервера 200 Вт. В сутки он жрет 4.8КВт*ч. В год это 1750 КВт*ч. Цена киловатт-часа у нас если не ошибаюсь 0,71 гривна для промышленных предприятий. Итого цена электричества в год составит 1250 гривен. Т.е. 150 баксов. Итого покупка 1-го (ОДНОГО) супервинта 15000рпм на 300 гигабайт - это как минимум 3 (ТРИ) года обеспечения электричеством одноюнитового сервера с винтом без выебосов только за счет разницы в цене одного винта.
Это просто неописуемый *****ц как можно не уметь считать простые вещи. А потом рассказывать разную хуиту с умным видом.

Какие грн... Вы сами завели речь о файлообменных системах типа rapidshare. Вы вообще в кусре сколько стоит аренда 1U с электропитанием в ДЦ например в Германии ?!!
 
Я бы вообще китайцев отрубил бы нафик
Спасибо, но это не мой сервер, не мой бизнес. Нельзя для клиентов менять правила игры "на лету". Самым простым было бы вообще изгнать с хостинга атакуемый сайт - но это просто непорядочно, репутации не добавляет и т.д.

Перед веб-сервером apache устанавливается быстрый nginx и который отдает статичные файлы. Создается статичный файл index.html в котором делается переход на другую страницу и устанавливается редирект с помощью метатега html. Когда начнется DDOS атака, то nginx сможет выдержать намного больше запросов к статичному файлу по сравнению с apache.
Ты такой умный. Такой мудрый... Вот объясни мне, чем мне поможет это чудо-решение, если атакующий херачит напрямую по динамическому например скрипту /page.php? Какой в пизду мне тут index.html? А даже если и индекс - у 95% сайтов индексная страничка динамическая, все равно дергать Апач и с ним еще и пехапе.

Херня это, а не стандартный прием. Я уж не говорю о том, что 80% ботов выполняют и редирект и кукизы подсовывают и т.д. - по сути в быдлокоде сложнее НЕ выполнить редирект и НЕ подсунуть кукизы :)

Какие грн... Вы сами завели речь о файлообменных системах типа rapidshare. Вы вообще в кусре сколько стоит аренда 1U с электропитанием в ДЦ например в Германии ?!!
Склифасофский, если ты хочешь обсудить рапиду - догадайся с трех раз, что у них наверняка свой ДЦ :) И цена размещения еще одного юнита - это 95% цена липестричества.
А если ты хочешь обсудить обычный колокол... на тебе первую ссылку из гугля
⚠ Тільки зареєстровані користувачі бачать весь контент та не бачать рекламу.

42 юнита за 550 баксов.
Примем в юните всего один простенький мелкий винт на 500 гигабайт. Итого 40 юнитов дают объем в 20 терабайт. Твои мегапупер винты на такой объем стоят дороже примерно на 30 (ТРИДЦАТЬ) килобаксов. На эту разницу в 30 килобаксов я могу арендовать стойку с юнитами 50 месяцев. ЧЕТЫРЕ с лишним года. Это в самом примитивном случае.

Может перестанешь нести наконец пургу? Заипал если честно, тебя тыкаешь носом в цифры - а ты нудишь и нудишь...
 
Останнє редагування:
Э-э-э... а зачем? :) Когда там будет 10-20К ИП - будем думать, а пока что на объемах меньше 1К - не вижу особого смысла возиться, даже если бы они были все из ридной неньки. А так как половина наловленного вообще желтые узкоглазые братья разных модификаций - выпуск из бани вообще теряет смысл.

ну если узкоглазые то понятно, а если я перегружу свой модем и получу адрес несчастной жертвы ставшей частью ботнета которая сидит у вас в бане?
 
Спасибо, но это не мой сервер, не мой бизнес. Нельзя для клиентов менять правила игры "на лету". Самым простым было бы вообще изгнать с хостинга атакуемый сайт - но это просто непорядочно, репутации не добавляет и т.д.

Ты такой умный. Такой мудрый... Вот объясни мне, чем мне поможет это чудо-решение, если атакующий херачит напрямую по динамическому например скрипту /page.php? Какой в пизду мне тут index.html? А даже если и индекс - у 95% сайтов индексная страничка динамическая, все равно дергать Апач и с ним еще и пехапе.

Херня это, а не стандартный прием. Я уж не говорю о том, что 80% ботов выполняют и редирект и кукизы подсовывают и т.д. - по сути в быдлокоде сложнее НЕ выполнить редирект и НЕ подсунуть кукизы :)

Слишком много ЕСЛИ. "А если бот обладает искуственным интелектом - то вы вообще не отличите его от обычногопользователя :D"
Вам привели массу бесплатных решений защиты от примитивных атак. А вы как ****** с писаной торбой носитесь со своим скриптиком. Причем, то что я вам пытаюсь доказать - серьезной атаки (утилизирующей на 100% пропускную способность вашего канала) - не спасет вас ничто, ни скриптик ни файервол ни nginx..., за исключением оператора связи при условии, что он обладает достаточным набором средств и желание это делать :) А с детскими DDOS порядка 10Мбит справляются штатные средства ОС и используемого ПО.

Склифасофский, если ты хочешь обсудить рапиду - догадайся с трех раз, что у них наверняка свой ДЦ :)

Адрес такого ДЦ сообщите пожалуйста. Этим вопросом в последнее время очень интересуются в ООН :)

А если ты хочешь обсудить обычный колокол... на тебе первую ссылку из гугля
⚠ Тільки зареєстровані користувачі бачать весь контент та не бачать рекламу.

42 юнита за 550 баксов.
Примем в юните всего один простенький мелкий винт на 500 гигабайт. Итого 40 юнитов дают объем в 20 терабайт. Твои мегапупер винты на такой объем стоят дороже примерно на 30 (ТРИДЦАТЬ) килобаксов. На эту разницу в 30 килобаксов я могу арендовать стойку с юнитами 50 месяцев. ЧЕТЫРЕ с лишним года. Это в самом примитивном случае.

Может перестанешь нести наконец пургу? Заипал если честно, тебя тыкаешь носом в цифры - а ты нудишь и нудишь...

40 Юнитов = 40 серверов. Из расчета 250Вт на сервер. БП импульсные, cos фи ~ 1, пренебрегаем.
40х250ВА=10КВА. В этом случае вам необходимо будет обеспечить на каждую стойку не менее 10КВА что соответствует току порядка 45A в сети 220В. В вашем случае на стойку заложено не более 20А (цитирую: Full Rack w/ 20A Power) :D Причем выбранный вами ДЦ - так называемый low-cost, тоесть реальная цена такой услуги в случае обеспечения гарантированного питания будет в два-три раза выше. Поинтересуйтесь стоимостью услуг Датекс, Анкотель... Я уже не будут тут говорить о такой мелочи, как в случае замыкания одного БП в стойке - автомат на вводе в стойку отключит питание всей стойки :D... Посетите, хотя бы в качестве экскурсии сколько нибудь приличный ДЦ для общего развития.
 
Останнє редагування:
сегодня на
⚠ Тільки зареєстровані користувачі бачать весь контент та не бачать рекламу.
 
Ой *****ц. БФГ изобрел велосипед? ггг...
 
Назад
Зверху Знизу