Компьютерный форум OSzone.net  

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)
-   Защита компьютерных систем (http://forum.oszone.net/forumdisplay.php?f=20)
-   -   DDoS (http://forum.oszone.net/showthread.php?t=84232)

Brian 18-05-2007 17:06 588402

DDoS
 
Сразу же прошу прощения если не там разместил тему
Ситуация в следующем состоит: у меня есть форум,живем никого не трогаем,общаемся
Уже в течении 3х недель идут распределенные DDoS атаки на мой сайт.
Собственно вопрос,как с этим бороться и что делать в этом деле я новичок и мало что знаю.Большая просьба помогите,в долгу не останусь.
Компания-хостер Агава
Тип хостинга-виртуальный хостинг
Зараннее благодарен

Negativ 18-05-2007 17:57 588419

Brian
1. Какая ОС?
2. Что говорят хостеры, когда вы задаете им вопрос про DDoS?

Brian 18-05-2007 18:02 588422

1.FreeBSD
2.Говорят что идет распределенная атака DDoS
закрыли потому что создаем большую нагрузку.
Люди помогите,в долгу не останусь

Negativ 21-05-2007 17:40 589367

1. Узнайте, активирована ли опция ядра (options TCP_DROP_SYNFIN).
2. Пошлите письмо хостерам. Потребуйте логи tcpdump, netstat, sockstat.
3. Необходимо узнать из какой сети ведется атака. Возможно это всего лишь ошибка в программном обеспечении одного или нескольких узлов данной сети, а возможно это целенаправленная атака.
4. Вы скорее всего заключали договор с хостерами. Почитайте его еще раз. Узнайте как описаны такие случаи в договоре.
5. Возможно придется сменить IP, а возможно и хостера.

Brian 22-05-2007 13:28 589647

Вот что мне ответил хостер по тому вопросу который я задал после поста Negativ:
Здравствуйте.
Опция активирована, тут атака другого плана. Идет распределенная атака
запросами к серверу apache. Просто запрашивают одну и ту же страничку.
Атака идет из всевозможных сетей она распределенная, я вам выкладывал
файл IP.txt в котором они были отображены (те кто атаковал на тот
момент). Из него было видно что там никаких сетей нет, атака идет
отовсюду, скорее всего атакуют через вирусы, те кто атакуют и не
подозревают о проблеме. Данные логи выслать невозможно, да и смысла это
не имеет.

Greyman 22-05-2007 14:05 589664

Brian
Ну видимо кому-то ты не понравился и тебя "наказывают". Видимо задействована сеть зомби-машин (АКА ботнет), а предотвращение подобных угроз пока является только значительное увеличение ресурсов обрабатывающего запросы сервера (как это сделал MS), на что хостеру идти не выгодно, ему проще отказаться от тебя, как от клиента. Ты можешь конечно переходить к другим хостерам и менять доменные имена, но ботнеты ведь тоже управляются, поэтому это будет тока временным решением и при этом твой ресурс будет малоизвестен (из-за смены имени). Предположений о источнике нет? Может кто чего присылал с угрозами или обещаниями? Если да, то можно попробовать договориться. А иначе - тока ждать пока им надоест ресурсы на тебя тратить, а не на что-то более интересное...

Brian 22-05-2007 14:16 589667

предположения ест.человек,кому этот сайт крайне невыгоден но на переговоры он пойдёт,под статью идти не хочу лучше его отправлю.
просто я не хочу забрасывать этот перспективный даже вплане общения проект

babki 28-05-2007 15:30 591985

Цитата:

Опция активирована, тут атака другого плана. Идет распределенная атака
запросами к серверу apache. Просто запрашивают одну и ту же страничку.
Атака идет из всевозможных сетей она распределенная, я вам выкладывал
файл IP.txt в котором они были отображены (те кто атаковал на тот
момент). Из него было видно что там никаких сетей нет, атака идет
отовсюду, скорее всего атакуют через вирусы, те кто атакуют и не
подозревают о проблеме. Данные логи выслать невозможно, да и смысла это
не имеет.
атака скорее идет с одних и тех же IP адресов, а заблокировать ты их не пробовал?

kim-aa 28-05-2007 17:34 592035

Я бы поступил обратным образом:
1) Известил общественность о проблеме и что предварительно закрываешь ВСЕ адреса, оставил бы в инете контактный mail куда присылать заявки на открытие сетей.
2) Открыл в фильтре явно лояльные группы адресов
3) Получал бы письма и тихо открывал адреса. Зомби-машины, к счастью, письма писать не умеют.

Brian 28-05-2007 17:39 592040

Господа всем большое за помощь!
Проблема почти решена,знакомый пустил на свой сервер,дальше будем бороться административным путём

Greyman 28-05-2007 17:42 592043

babki
Цитата:

атака скорее идет с одних и тех же IP адресов,
А ты внимательно читал хотя бы то, что цитировал сам?
Цитата:

Атака идет из всевозможных сетей она распределенная, я вам выкладывал
файл IP.txt в котором они были отображены (те кто атаковал на тот
момент)
Атакующий ботнет можно действительно вычислить и заблакировать. Правда будет какой-то % попавших в блокировку валидных пользователей, но от общего числа это не должно быть существенно. Просто если это объявление войны, то это игра на тему - кому первому надоест...

Brian 28-05-2007 17:54 592048

запустил сайт,сейчас если будут продолжаться то уже все будет гораздо проще:)


Время: 20:14.

Время: 20:14.
© OSzone.net 2001-