DDos и закрытие пользователей

[sphimik]

Добрый день!
Понимаю, что всвязи со сложившейся ситуёвиной надо что-то делать. Однако, закрытие пользователей по динамическим IP сурово зело. Мало того, что закрываются вполне активные пользователи, с которыми есть о чём побеседовать (ведь у большинства динамические IP), так закрываются еще и подсети конкретных провайдеров.
Не так это и гуд. Тогда уж проще разрешить только зарегистрированным.
IMHO, как водится.

[asdfg2]

Тогда уж проще разрешить только зарегистрированным.

эффекта не получится. для ддос атаки это по барабану. а простые незареганые посетители имхо не дают особой нагрузки.

[sphimik]

Тогда я логики не понимаю. Ведь на уровне шлюза нагрузка такая же? Пакеты приходят? Просто отфутболиваются потом в /dev/null? Так что канал на стойке атакуется все равно? Значит все-таки apache?

[nnfog]

доступ к форуму сейчас разрешен только для ip, которые были в его базе (~38 тысяч адресов). для всех остальных - "форум лежит". в ближайшие дни проблему решим. крепитесь.

[asdfg2]

Тогда я логики не понимаю. Ведь на уровне шлюза нагрузка такая же? Пакеты приходят? Просто отфутболиваются потом в /dev/null? Так что канал на стойке атакуется все равно? Значит все-таки apache?

на шлюзе нагрузка меньше, т.к. ответные пакеты меньше.
ддос атака кладет не канал, а сервер, когда не хватает проца, мозгов. а узкий канал щас уже у редкого хостера найдешь. и шлюзы справляются хорошо. плохо, когда на одном хосте висит до 500 вебсайтов.

[MrFatCat]

логики не понимаю. Ведь на уровне шлюза нагрузка такая же?

Как я понимаю сказанное nnfog:
Рекорд форума больше 7 000 одновременных. Предположим, что 1000 нормальных пользователей, и с 6 000 айпишников запросы страниц. Запросы с частотой даже 5 в секунду - это запрос генерации 30 000 страниц в секунду. Ни один сервер не потянет такую нагрузку.
Пока разрабатываются меры быстрого вычисления "вражеских" айпишников для их блокировки черным списком, временно включен белый список: 38000 айпишников в Allov и Deny from all.

[asdfg2]

Пока разрабатываются меры быстрого вычисления

вычисление или пережидание?

[MrFatCat]

вычисление или пережидание?

Не знаю что это будет.
У меня есть мой самопальный алгоритм вычисления ботов, опробованный на нескольких форумах; вчера такая же ДоС-атака была на один из моих форумов, и всё время атаки форум работал в штатном режиме, лишь изредка время ответа сервера увеличивалось и составляло не доли секунды, а 3-5 секунд.
Алгоритмом поделился с nnfog; но алгоритм писался под другой движок, и не знаю, удастся ли его портировать под воблу или будет выбран другой алгоритм. Мой алгоритм использует особенности сессий в ipb; как создаются и хранятся сессии в вобле я не знаю.

[bear]

в ближайшие дни проблему решим. крепитесь

Крепимся
Но так как без форума жить тяжко, приходиться заходить сюда через различные анонимные и не очень прокси сервера.

[Holmes]

Сижу на 5 форумах-у всех подобные проблемы в последние дни
возможно это подготовка к чему то?
Ну типа предвыборная суета начинаеся?

[Ace_am]

Адмиы! Я знаю, вы на "посту" ! Пожалуйста (я знаю, вы можете) восстановите нашу жизнь!

[asdfg2]

возможно это подготовка к чему то?

3я мировая

[MrFatCat]

типа предвыборная суета начинаеся?

ИМХО, это участь любого крупного ресурса.
Админю несколько форумов с нуля, как только выходишь на посещаемость тысячи в полторы юников в день, начинаются налеты гопников.
Я уже привык. vesvalo.net в среднем пару раз в неделю долбают, но как правило через час-другой, увидев тщетность атаки, отваливают. phpforum.ru так же по часу-два, но чуть ли не каждый день. pharm-forum.ru тупо досят практически 24 часа в сутки по несколько дней в неделю уже который год. Сейчас еще 2 форума в развитии, пока спокойно, атаки редкие; но там и посещаемость меньше 1000 в день.

[mlnay]

приходиться заходить сюда через различные анонимные и не очень прокси сервера.

Мне сейчас попасть сюда помогло включение opera turbo (ессно, браузер понятно какой), т.к. дома ip динамический.
а сервера оперы турбо - в allow.
Yes!

[sphimik]

У них же тоже платные каналы. Надеюсь, что скоро кончится сей онанизм.

[kva]

У них же тоже платные каналы. Надеюсь, что скоро кончится сей онанизм.

Так ddos'ят же с ботнета.
Платят не хозяева ботнета, а рядовые юзера заражённых компов...

[MrFatCat]

ddos'ят же с ботнета

Сильно сомневаюсь. Ботнетовским ДДоС-ом валят дата-центры, а не отдельные сайты, и цена такой атаки на 2 порядка выше.
Когда хотят ударить по конкретному сайту, валят запросами с сервера через рулетку проксишников.

[kva]

Валят запросами с сервера через рулетку проксишников.

По косвеным данным - думаю это не так, и всё таки ботнет. Доказательств нет, на уровне интуиции и опыта...
Надеюсь потом админы расскажут как это было. Хотя бы нам c Вами в личку ;-)

[MrFatCat]

на уровне интуиции и опыта

Я попросил nnfog скинуть в личку сотенку айпишников для исследования, но пока не получил ответ. По айпишникам можно посмотреть: ботнетовские атаки идут с конечных айпишников провайдерских сетей, а проси чаще стоят по датацентрам, чем в тазиках на балконе.

Почему думаю, что не ботнет: ни разу не видел ботнетовской атаки низкоприоритетными http-запросами, и тем более SMTP-запросами; ботнет пингует, чтобы наверняка по верхнему приоритету.

[prizrak]

ни разу не видел ботнетовской атаки низкоприоритетными http-запросами

дело в том, что бот может организовать атаку любого типа, и http/get flood - явление не редкое. мало того в отличие от icmp/syn и прочих атак - целью является конкретный сайт. ввиду отсутсвия сильных оптимизаций на hiload у большинства - бороться с такой атакой сложнее, чем с традиционными, то есть не работают готовые методы борьбы с атакой.


думаю помочь в борьбе с этим видом ddos мог бы хитро настроенный nginx с кешированием, но тут надо знать - цель атаки ( get /) ? тип атаки конкретный, смотреть на error/access.log и тд.