DDoS
 

Сразу же прошу прощения если не там разместил тему
Ситуация в следующем состоит: у меня есть форум,живем никого не трогаем,общаемся
Уже в течении 3х недель идут распределенные DDoS атаки на мой сайт.
Собственно вопрос,как с этим бороться и что делать в этом деле я новичок и мало что знаю.Большая просьба помогите,в долгу не останусь.
Компания-хостер Агава
Тип хостинга-виртуальный хостинг
Зараннее благодарен

Brian
1. Какая ОС?
2. Что говорят хостеры, когда вы задаете им вопрос про DDoS?

1.FreeBSD
2.Говорят что идет распределенная атака DDoS
закрыли потому что создаем большую нагрузку.
Люди помогите,в долгу не останусь

1. Узнайте, активирована ли опция ядра (options TCP_DROP_SYNFIN).
2. Пошлите письмо хостерам. Потребуйте логи tcpdump, netstat, sockstat.
3. Необходимо узнать из какой сети ведется атака. Возможно это всего лишь ошибка в программном обеспечении одного или нескольких узлов данной сети, а возможно это целенаправленная атака.
4. Вы скорее всего заключали договор с хостерами. Почитайте его еще раз. Узнайте как описаны такие случаи в договоре.
5. Возможно придется сменить IP, а возможно и хостера.

Вот что мне ответил хостер по тому вопросу который я задал после поста Negativ:
Здравствуйте.
Опция активирована, тут атака другого плана. Идет распределенная атака
запросами к серверу apache. Просто запрашивают одну и ту же страничку.
Атака идет из всевозможных сетей она распределенная, я вам выкладывал
файл IP.txt в котором они были отображены (те кто атаковал на тот
момент). Из него было видно что там никаких сетей нет, атака идет
отовсюду, скорее всего атакуют через вирусы, те кто атакуют и не
подозревают о проблеме. Данные логи выслать невозможно, да и смысла это
не имеет.

Brian
Ну видимо кому-то ты не понравился и тебя "наказывают". Видимо задействована сеть зомби-машин (АКА ботнет), а предотвращение подобных угроз пока является только значительное увеличение ресурсов обрабатывающего запросы сервера (как это сделал MS), на что хостеру идти не выгодно, ему проще отказаться от тебя, как от клиента. Ты можешь конечно переходить к другим хостерам и менять доменные имена, но ботнеты ведь тоже управляются, поэтому это будет тока временным решением и при этом твой ресурс будет малоизвестен (из-за смены имени). Предположений о источнике нет? Может кто чего присылал с угрозами или обещаниями? Если да, то можно попробовать договориться. А иначе - тока ждать пока им надоест ресурсы на тебя тратить, а не на что-то более интересное...

предположения ест.человек,кому этот сайт крайне невыгоден но на переговоры он пойдёт,под статью идти не хочу лучше его отправлю.
просто я не хочу забрасывать этот перспективный даже вплане общения проект

атака скорее идет с одних и тех же IP адресов, а заблокировать ты их не пробовал?

Я бы поступил обратным образом:
1) Известил общественность о проблеме и что предварительно закрываешь ВСЕ адреса, оставил бы в инете контактный mail куда присылать заявки на открытие сетей.
2) Открыл в фильтре явно лояльные группы адресов
3) Получал бы письма и тихо открывал адреса. Зомби-машины, к счастью, письма писать не умеют.

Господа всем большое за помощь!
Проблема почти решена,знакомый пустил на свой сервер,дальше будем бороться административным путём

babkiА ты внимательно читал хотя бы то, что цитировал сам?
Атакующий ботнет можно действительно вычислить и заблакировать. Правда будет какой-то % попавших в блокировку валидных пользователей, но от общего числа это не должно быть существенно. Просто если это объявление войны, то это игра на тему - кому первому надоест...

запустил сайт,сейчас если будут продолжаться то уже все будет гораздо проще:)