Материал просмотрен 753 раз(а)

Здравствуйте, товарищи. Приношу свои извинения за то, что сайт не был доступен некоторое время. За этот короткий промежуток времени до нас по предварительным расчётом не достучались около 80 человек. Чтож, будем надеяться, что эта неприятность впредь будет обходить нас стороной.

DDOS

DDOS

Первая мысль, которая у меня возникает, когда я вижу, что сайт не отвечает “- Оп-па…”. Если не так давно мы лежали под небольшим DDoS – брутили админку, то в этот раз всё было куда серьёзнее. Даже ping-запросы проходили очень нестабильно. На сотню пакетов примерно 4 ответа. То есть 4%.

Речи не было о том, чтобы войти под SSH. Хотя такие атаки в наше время стали распространяться с пугающей скоростью. Я не жалею, что перешёл на виртуальный хостинг vps. Обычный хостинг лежал бы точно так же.

Обращался в службу поддержки хостера, предоставившего мне VPS:

На хостинговые сервера производилась кратковременная, но массированная ddos-атака. В настоящее время все сервера доступны и работают в штатном режиме. Пожалуйста, уточните актуальность проблемы.

Вроде отпустило.

Что это было? Происки конкурентов или опять Китайцы развлекаются? Этого я не знаю. Но возникла мысль все-таки сделать перед Apache frontend в виде nginx-а. На днях займусь. И ещё мысль, когда проект наберет ещё большую аудиторию – возможно придется организовывать новый сервер у совершенно другого хостера, который будет дублировать основной (настроить репликацию). В общем виде будет примерно так:

Другой сервер, другой домен.

Как только %загрузки основного сервера доходит до критического значения в течении продолжительного времени, веб-сервер перезапускается с новой конфигурацией, в которой нет виртуальных хостов, только страница со статикой типа “на нас напали!. Вы будете перенаправлены на резервную версию сайта” и редирект через 10 секунд.

Конечно, пока ещё всё это только мысли, придётся из допиливать напильником.

Вообще, универсальных решений сейчас не очень много. Атаки тоже не стоят на месте. Если раньше это был просто icmp-флуд, который легко блокировался на уровне файрволла, то сейчас это уже tcp syn атака, либо вполне легитимные запросы какого-либо ресурса с сервера, например GET index.php HTTP/1.1 и прочее.. Ну как такое отсеять? Как точнее отличить нормального пользователя от программы-бота?

Учитывая, что под ботами чаще всего выступают жертвы какого либо ботнета, то есть пострадавшие пользователи, компьютерами которых руководит некое ядро.

Были мысли насчет анализа активности обычного человека (по логам веб-сервера) и выявление ключевых моментов. С каким интервалом запрашивает ресурсы, какие ресурсы. Можно конечно ещё и кукис давать.. И в целом формировать список правил, которые смещают вероятность того, что это живой человек в одну или другую сторону. Как только по совокупности конкретный IP наберет слишком много баллов в пользу того, что это атака – IP добавляется в блэк-лист файрволла на короткий промежуток времени.

Вообще, нужно почитать наработки на эту тему, есть же какие-то поведенческие факторы, которые могут быть присущи только живым людям?

Но даже в случае добавления IP в блэк-лист, можно просто захлебнуться пакетами.