Тут с 10 часов странная фигня творилась. На IP-шник сервера валился всякий шлак, который в итоге забил весь канал. Что-то не верится, что кому-то надо было портить именно мой сайт и у этого кого-то было достаточно денег на подобные вещи.
График, для любопытных:
В 2 дня я syncookies включил, оно временно прочухалось, а потом кончился канал 😃 . Причем по графику видно, что траффик именно входящий. В итоге просто сменил адрес. Посмотрим, перетечет на новый или нет. Не поможет - рассширим канал до гигабита. Пока склоняюсь к мысли, что адрес достался по наследству от “странных” хозяев.
Спасибо akirill и lelik за советы и моральную поддержку 😃
У нас тоже тормозило не то что не по децки, а вааще на форум не заходило, максимум Кабинет…
Мерзкая штука X(
Возможно такой вариант поможет в будущем, iptables во время DDoS можно настроить следующим образом.
*filter
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
:fire - [0:0]
:guard - [0:0]
-A FORWARD -j REJECT - на всякий случай
-A INPUT -j fire
-A fire -i lo -j ACCEPT - локалка
-A fire -s -j ACCEPT - доступ к серверу для вашего IP
.... необходимые правила и доступы
-A fire -p icmp -m icmp --icmp-type any -j ACCEPT - разрешить пинги
-A fire -m state --state RELATED,ESTABLISHED -j ACCEPT - разрешить уже установленные соединения
-A fire -p tcp -m tcp --dport 22 -j ACCEPT - разрешить соединение по ssh
-A fire -p tcp -m tcp --dport 80 -j guard
-A guard -p tcp -m tcp --dport 80 -m hashlimit --hashlimit 10/sec --hashlimit-burst 100 --hashlimit-mode srcip --hashlimit-name DDOS --hashlimit-htable-size 32768 --hashlimit-htable-max 32768 --hashlimit-htable-expire 3000000 -j ACCEPT
# разрешить соединятся на порт 80 с одного IP - 100(burst) раз без ограничения, а после не более чем 10 раз в секунду
-A guard -j REJECT --reject-with icmp-host-prohibited - превысил лимит, до свидание
-A fire -j REJECT --reject-with icmp-host-prohibited - все остальные кто не попал под правила, тоже.
Опять чтоли, продолжаеться?
Доооо… для входящего синфлуда, который забивает весь канал, айпитейбл особенно актуален.
Попробуйте а потом говорите…
Опять чтоли, продолжаеться?
Не, это суппорт, блять, как добрая фея - махнул палочкой и у танка отвалилась башня. Попросил их окончательно убрать от меня тухлый IP, с которого сквозило 60 мегабит. А они умудрились сначала ни хрена не сделать, а потом без разрешения перегрузить сервер в рекаверии и так оставить.
Попробуйте а потом говорите…
У меня нет дурной привычки пробовать что попало. Когда мне понадобится узнать настройки айпитейблов, я у вас обязательно поинтересуюсь.
Не сервисы ложатся, но канал забивается.
Так что треба провайдера просить на своем железе перекрыть кислород источнику ддос.
Ага, вижу, что уже просили. Ну еще разок, попросить 😃
У меня нет дурной привычки пробовать что попало. Когда мне понадобится узнать настройки айпитейблов, я у вас обязательно поинтересуюсь.
Хозяин барин, я просто хотел помочь.
Так что треба провайдера просить на своем железе перекрыть кислород источнику ддос.
Хы. DoS был весьма и весьма Distributed 😃 Ни одного повторяющегося адреса в src, причем все из каких-то левых “диалапных” пулов.
Хы. DoS был весьма и весьма Distributed 😃 Ни одного повторяющегося адреса в src, причем все из каких-то левых “диалапных” пулов.
Лелик, если ты не лох, то обязан уметь защищаться от ддоса транспортиром и штангенциркулем. В крайнем случае настройкой iptables.
Лелик, если ты не лох, то обязан уметь защищаться от ддоса транспортиром и штангенциркулем. В крайнем случае настройкой iptables.
Я писал вам письмо на почту с предложением помочь, но вы наверное не увидели, я админ и разработчик достаточно крупного ресурса, намного большего чем ваш, DDoS моего ресурса достаточно частое явление.
Уж поверьте моему опыту что iptables часто очень хорошо справляется с DDoS атаками, а вообще к слову говоря я уверен что это был совершенно не флуд а запрос странички с апача, вы просто получали запрос на соединение syn, а другое не приходило, потому что отваливалось по таймауту.
iptables сам по себе не решает проблему, он увеличивает накладные расходы на ресурсы атакующего что сильно снижает атаку.
недружелюбные вы какие то :)
x
прокатит для наездов на сервисы.
для синфлуда - фиг.
а канал можно вообще произвольной фигнёй ухрюкать…
впрочем, я для отпинывания скрипт-киддиз, которые мне в 22 порт лезут вообще самопальную приблуду юзаю, которая их автоматически блеклистит через те же iptables…
Товагесч, вы можете быть хоть главным администраторов блога президента. У меня вполне конкретная ситуация, а не шарообразная лошать в вакууме. И отличить забитый канал от перегруженного сервера я пока в состоянии. И на картинках красное с синим тоже не путаю.
Щас начнем меряться кисками 😃)
Если атака не распределенная, то да, нагрузить атакующего можно, пусть ждет пока отвалится по тайм-ауту.
А вот если распределенная, да еще и спуфинг, то провайдер (в данном случае хостинга) закроет проблему. У него должны стоять соответствующие решения, ну … по идее 😃
Лелик, если ты не лох, то обязан уметь защищаться от ддоса транспортиром и штангенциркулем. В крайнем случае настройкой iptables.
Штангенциркуль пользую активно, про транспортир не знал, спасибо.
прокатит для наездов на сервисы.
для синфлуда - фиг.
а канал можно вообще произвольной фигнёй ухрюкать…
впрочем, я для отпинывания скрипт-киддиз, которые мне в 22 порт лезут вообще самопальную приблуду юзаю, которая их автоматически блеклистит через те же iptables…
ну у меня также, есть 2 входящих сервера, там на питоне демон работает с iptables, а в демон подается статистика, я почти на 100% уверен что это только казалось как флуд, т.к. пинги шли отлично, причем с разных стран, такого при флуде не бывает, пинг должен был вырасти до 1000 как минимум.
Товагесч, вы можете быть хоть главным администраторов блога президента. У меня вполне конкретная ситуация, а не шарообразная лошать в вакууме. И отличить забитый канал от перегруженного сервера я пока в состоянии. И на картинках красное с синим тоже не путаю.
ок как скажите, пишите если что, я постоянный пользователь вашего сайта и удручает когда он пол дня в дауне :(, хорошо бы если атака не на вас, а то завтра в 10 опять %(
Судя по всему, атакуют именно вас и именно по dns имени или что-то другое подглючивает ?
Судя по всему, атакуют именно вас и именно по dns имени или что-то другое подглючивает ?
Угу. Теперь на новом адресе. Пошел гигабит покупать.
Млять… 😦
а мне интересно, это враги, или кто то балуется?
Кого-то обидели?
Да, дела. Сильный натиск.
Вроде все ожило… а так кошмар, конечно. 😦
А я колхозник, у меня на 22 порту ничего не слушает 😦
С 03.12 по 07.12 косяками регистрировались какие-то “трехбуквенниые”. Имя, фамилия, место жительства - по одной букве.
Проба пера перед атакой?
Поменьше паранойи. Тогда сервер переезжал из рашши в дойчлянд, и был неправильно настроен mbstring в php. Поэтому при преобразовании строк, чтобы все буквы, кроме первой, были строчными, они отрезались.
Мне тут сказали , что там у них типа шабаш-конкурс- вот и валят активных…
Приз неизвестен… но скайп сегодня завис намертво.
Правда про конкурс- неправда- не знаю…
Виталику респект- справился.
Опять какая то хрень. Опера на дизайн ругается типо он опасен, еле зашел чере Гугльхром, через эксплорер тоже никак. Мож это все предновогодний перегруз?
Это наверное в раздел отзывов, а не в мой блог. У меня все работает, и в опере тоже, если чего.
{"assets_hash":"a8b26fa7f6e768b07a72c8c9aadb9422","page_data":{"users":{"39c21abc3df9550077797d18":{"_id":"39c21abc3df9550077797d18","hid":349,"name":"Vitaly","nick":"Vitaly","avatar_id":null,"css":""},"39db840c3df9550077797eea":{"_id":"39db840c3df9550077797eea","hid":277,"name":"rrteam","nick":"rrteam","avatar_id":null,"css":""},"3aafb0b03df9550077797f18":{"_id":"3aafb0b03df9550077797f18","hid":270,"name":"Андрей_Курылев","nick":"Андрей_Курылев","avatar_id":null,"css":""},"42e515a43df955007778fec5":{"_id":"42e515a43df955007778fec5","hid":8334,"name":"akirill","nick":"akirill","avatar_id":null,"css":""},"443ea1e23df955007778bb57":{"_id":"443ea1e23df955007778bb57","hid":13398,"name":"John63","nick":"John63","avatar_id":null,"css":""},"446370603df955007778b24d":{"_id":"446370603df955007778b24d","hid":14032,"name":"Piranha","nick":"Piranha","avatar_id":null,"css":""},"44ca77103df9550077789cf1":{"_id":"44ca77103df9550077789cf1","hid":15771,"name":"ugh","nick":"ugh","avatar_id":null,"css":""},"44e896f03df95500777897b0":{"_id":"44e896f03df95500777897b0","hid":16248,"name":"lelik","nick":"lelik","avatar_id":null,"css":""},"482e9a943df955007777ad45":{"_id":"482e9a943df955007777ad45","hid":34591,"name":"Udjin","nick":"Udjin","avatar_id":null,"css":""},"4968a5a83df95500777737ba":{"_id":"4968a5a83df95500777737ba","hid":42644,"name":"RuslanG","nick":"RuslanG","avatar_id":null,"css":""},"49c50dd23df9550077770492":{"_id":"49c50dd23df9550077770492","hid":45716,"name":"Maximus43","nick":"Maximus43","avatar_id":null,"css":""},"4a09c7303df955007776e466":{"_id":"4a09c7303df955007776e466","hid":48047,"name":"Vасилич","nick":"Vасилич","avatar_id":null,"css":""},"4b34d76c3df95500777668d6":{"_id":"4b34d76c3df95500777668d6","hid":58491,"name":"Женьчик","nick":"Женьчик","avatar_id":null,"css":""},"4b9603423df95500777637a7":{"_id":"4b9603423df95500777637a7","hid":62450,"name":"evgenyl","nick":"evgenyl","avatar_id":null,"css":""}},"settings":{"blogs_can_create":false,"blogs_mod_can_delete":false,"blogs_mod_can_hard_delete":false,"blogs_mod_can_add_infractions":false,"can_report_abuse":false,"can_vote":false,"can_see_ip":false,"blogs_edit_comments_max_time":30,"blogs_show_ignored":false,"blogs_reply_old_comment_threshold":30,"votes_add_max_time":168},"entry":{"_id":"4d0ffd479970730077100cc2","hid":10725,"title":"DoS что ли?","html":"<p>Тут с 10 часов странная фигня творилась. На IP-шник сервера валился всякий шлак, который в итоге забил весь канал. Что-то не верится, что кому-то надо было портить именно мой сайт и у этого кого-то было достаточно денег на подобные вещи.</p>\n<p>График, для любопытных:</p>\n<p><a class=\"attach attach-img attach__m-sm\" href=\"https://rcopen.com/member349/media/4d10007199707300774671e3\" target=\"_blank\" data-nd-media-id=\"4d10007199707300774671e3\" data-nd-image-orig=\"https://rcopen.com/member349/media/4d10007199707300774671e3\" data-nd-image-size=\"sm\"><img class=\"attach__image\" src=\"https://rcopen.com/files/4d10007199707300774671e3_sm\" alt width=\"170\" height=\"150\"></a></p>\n<!--cut-->\n<p>В 2 дня я syncookies включил, оно временно прочухалось, а потом кончился канал <span class=\"emoji emoji-smiley\" data-nd-emoji-src=\":smiley:\">😃</span> . Причем по графику видно, что траффик именно входящий. В итоге просто сменил адрес. Посмотрим, перетечет на новый или нет. Не поможет - рассширим канал до гигабита. Пока склоняюсь к мысли, что адрес достался по наследству от “странных” хозяев.</p>\n<p>Спасибо akirill и lelik за советы и моральную поддержку <span class=\"emoji emoji-smiley\" data-nd-emoji-src=\":smiley:\">😃</span></p>\n","user":"39c21abc3df9550077797d18","ts":"2010-12-21T01:05:11.000Z","st":1,"cache":{"comment_count":32,"last_comment":"4d17bf96997073007716d8b4","last_comment_hid":32,"last_ts":"2010-12-26T22:20:06.000Z","last_user":"39c21abc3df9550077797d18"},"views":2090,"bookmarks":0,"votes":0},"subscription":null},"locale":"en-US","user_id":"000000000000000000000000","user_hid":0,"user_name":"","user_nick":"","user_avatar":null,"is_member":false,"settings":{"can_access_acp":false,"can_use_dialogs":false,"hide_heavy_content":false},"unread_dialogs":false,"footer":{"rules":{"to":"common.rules"},"contacts":{"to":"rco-nodeca.contacts"}},"navbar":{"tracker":{"to":"users.tracker","autoselect":false,"priority":10},"forum":{"to":"forum.index"},"blogs":{"to":"blogs.index"},"clubs":{"to":"clubs.index"},"market":{"to":"market.index.buy"}},"recaptcha":{"public_key":"6LcyTs0dAAAAADW_1wxPfl0IHuXxBG7vMSSX26Z4"},"layout":"common.layout"}
