Чтобы добавлять сообщения и комментарии, .

@Hawat:
Hawat

#2845044

@datacompboy:
datacompboy

Буду валить с FastVPS.
Они блочат на SYNFLOOD уже с 50мбит (несмотря на 100mbit канал обещаный), после чего делать уже нечего.

А если SYNFLOOD приходит на IPv6 (спасибо, CF, за любезно форвардную IPv4 атаку на IPv6), то просят свалить подобру-здорову.

И за "смену IP" требуют больше, чем просто купить еще одну VPS.
Проблемную VPS мигрировал на OVH, пока подержу её позади Cloudflare, потом CF наверное уберу вообще.

@Melhior:
Melhior

Интересно. Существует куча коммерческих контор которые предоставляют ddos защиту за немаленькие деньги. В то же время существуют хостеры у которых уже "все включено" и антиддос работает на всех их абонентов (они просто размазали цену решения на всех абонентов и получили +1$ например на каждый арендованный сервер) и он действительно работает.

Но проблема заключается еще и в том что в россии таких хостеров просто нету. Печально.

@n3lab:
n3lab

давайте о серьезном. как защититься от ддоса и прочего такого говна? вот пример — просто от одной машины с очень толстым каналом фигачим разные пакеты с миллиона проксей. ваши предложения, мега хеккеры :)

@begonur:
begonur

Пара полезных команд, которые могут пригодиться при DDoS и не только
habrahabr.ru

@begonur:
begonur

DDoS с помощью веб-сайта на WordPress.
cert.gov.ua

@killy:
killy

Сервера онлайн-игры легли под DDoS в четверг. Атака не прекращается до сих пор.
Заодно положили старейший и крупнейший фанатский форум.
Пытались положить популярный блог — но он оказался под адекватной защитой. Похоже, теперь атаку с него перенаправили на оффициальный сайт игры, не придумав ничего лучше.

Меня в этом вот что удивляет: два года (пока существует игра) всё тихо-мирно, и вдруг у кого-то оказалось столько ненависти к японским разработчикам и англоязычному коммьюнити одновременно?

Был ещё инцидент в Reddit, направленный против известного участника коммьюнити, но вряд ли это хоть как-то связано с DDoS.

@ulitkovod:
ulitkovod

Тулза для проверки dns сервера на устойчивость к DDoS атакам.
github.com
Хоть она и simple и может лишь stupid load testing, но настолько хороша что заставила умереть пару моих DNS-ов.

@stanislavv:
stanislavv

# conntrack -L | grep -c SYN_RECV
conntrack v0.9.14 (conntrack-tools): 2554268 flow entries have been shown.
2531069

Во время обычной работы — на полтора десятичных порядка меньше, если не на два...

@skobkin-ru:
skobkin-ru

Жуйку повезло, что он не в том же дата-центре, что и наш сервер:
Currently we're successfully filtering the malicious traffic, the attack is still running at about 60 Gbit/sСейчас даже исходящие соединения дропаются.

@stanislavv:
stanislavv

У родственной компании слегка заддосили один из сайтов.
Вначале — POST /, потом — "ET $hostname", потом тупо длинная строка символов. Итого — до 600Мбит в пике третьей атаки.
Теперь продолжаются атаки типа POST /, и, вдобавок, на тот прокси, через который пустили трафик для сайта, зачем-то запустили синфлуд на 22-й порт.
На работе прокси это никак не отразилось, в том числе и по ssh.
Что они хотели? И чего добились?

@Gem:
Gem

DDoS в 100 Гбит/с — репортаж с линии фронта от очевидца
blogerator.ru

@zweipluse:
zweipluse

Кажется DDOS собирается...

@Commaster:
Commaster

Нынче сервер ддосят уже 4-ый день: pastie.org

@gothicsquash:
gothicsquash

Замечательное видео: youtube.com о том, как выглядит результат работы инструмента для визуализации подключений к серверу — Logstalgia. securitylab.ru немного комментариев.
На мой взгляд идея совершенно прекрасна и имеет мощнейший потенциал, ведь нет ничего более информативного о процессе, чем его визуализация в режиме real-time. Нужно будет поглядеть на проект более пристально. Разработчики code.google.com заявляют инструмент как визуализатор подключений конкретно к web-серверам. Однако инструмент занимается тем, что смотрит на лог-файл, парсит его и по идее ничто не мешает допилить регулярные выражения под логи любого другого формата. Представляете, как было бы чудесно подружить его, например, с форматом выдачи syslog от сетевого оборудования, или даже с netflow коллектором?

@Balancer:
Balancer

Это уже скучной традицией становится. 3-й заход. Вот в упор не понимаю, какой смысл делать DDoS ночью(!) перед праздниками(!!). Итак, ведь, на сайте никого.

На этот раз не просто DDoS, а ещё и управляемый DDoS. Я затыкаю объект атаки — объект атаки меняется на новый...
~~~

@Balancer:
Balancer

Сегодня — вторая серия: balancer.ru

На этот раз отбился удивительно легко. Хотя во многом благодаря вчерашней работе над ошибками. Иначе бы лёг даже круче, чем вчера :)
~~~

@Balancer:
Balancer

Клёво. Первый достоверный удачный DDoS на Авиабазу :)
home.balancer.ru
В основном с серверов Белоруссии и Украины.
~~~

@gothicsquash:
gothicsquash

В кои-то веки меня подосили :D Хосты из *.localstrike.com.ar (Аргентина) решили заклевать мои NS. Развеяли скуку и предсонную аппатию, ништяк!

@stanislavv:
stanislavv

Нагрузка на сервере (вернее, спецвиртуалке) нормальная, но вот то, что error.log nginx растёт на полгига за 10 минут — несколько напрягает...
Плюнул, решил банить через ipset

@stanislavv:
stanislavv

cat error.log | grep 14:35:12 | wc -l
3119

В error.log пишутся строки вида:
2013/04/17 14:35:12 [error] 30514#0: *293933080 limiting requests, excess: 1600.900 by zone "hostreqlimit", client: 178.92.50.47, server: citysexy.ru, request: "POST /?s=EghgtdfyhfgdsTYuyrt7uioyukYRTiukgfj%2B%2B%2B%2B%2B%2B%2B%2B%2B%2B HTTP/1.1", host: "конкретный-домен.ru", referrer: "http://всякая-рандомная-херь/"

Таки всё-таки это ддос. Пока что отключили домен до прояснения.

@stanislavv:
stanislavv

Интересно, 8к запросов в минуту — это достаточно похоже на ddos или надо дальше тюнить?

@stanislavv:
stanislavv

error.log у nginx растёт на ~1Мб/сек

@gabas:
gabas

Прошел боевое крещение: первая ddos атака на мой сервачок, видимо ботнет. Интересно, есть смысл писать заяву в отдел К и прикладывать список атакующих IP адресов?

@Proxy-M:
Proxy-M

новый продвинутый тулкит для ddos, вредители бушуют. гулите: itsoknoproblembro ddos

@trapdoor:
trapdoor

Кому бесплатный ботнет? github.com

@NokitaKaze:
NokitaKaze

«Надеюсь вы согласитесь, что:
1) Сервер отдающий статические веб-страницы "шуршит" быстрее, чем тот который их собирает динамически;
2) Если фреймворк использует базу, например MySQL, то далеко не факт, что тормозит логика фреймворка а не база;
3) Если у клиента страничка открывается длительное время, это не показатель "тормозов" фреймворка;
4) Очень плохо когда веб-серверу не хватает ресурсов, но так-же "ни есть гуд" когда часть ресурсов не используется;
5) Если мы не тестируем свои программы, сервера, базы данных, тогда грош цена нам как специалистам;
6) Не все "велосипеды" еще изобретены»

@HeX:
HeX

prostopleer.com О как, кому ет он не угодил?

@wwarlock:
wwarlock

Что-то с #dzone сегодня какие-то проблемы? #ddos-ят их что ли?
Но кому это может понадобится?

@zoonman:
zoonman

Бездельники анонимусы вывели из строя DNS-ки fastvps.ru Руки бы поотбивал.

@NokitaKaze:
NokitaKaze

Господа из Квипа, у вашего клиента ровно никакая защита от DDOSа. Меня вчера и сегодня ДДоСили тупо на переполнение траффика. В клиенте не предусмотрено:
1. Включение защиты одной кнопкой (а ведь в qip2005 такое было), либо эта кнопка отсутствует по умолчанию
2. Когда тебе в течение 10 секунд присылают 100 сообщений/запросов об авторизации, значит что-то случилось, почему бы не включить превентивную защиту, а потом спросить у пользователя не ддосят ли вас?
2а. Соответственно, должна быть функция автозанесения людей в бан. В первом сообщении ( /1 ) я напишу жиды ботов. По ним сразу видно, что это боты и их можно банить.
3. При большой нагрузке входящих клиент падает только в путь. Вчера раза 3 рухнул
4. Если мне присылают 100 сообщений, это не значит, что я хочу видеть 100 балунов. Как ни посмотри, это баг.
5. Я вчера вообще не ожидал DDoS'а и не понял сначала почему клиент тупо повис. А когда уже включил его снова, увидел мириады пришедших в оффлайн сообщений, не выдержав которых, клиент снова падал. Это тоже надо предусмотреть.

Пока всё. И, как видите, я пишу с веба, потому что клиент не в силах пережевать все входящие, как я уже говорил, сообщени

@DKlassik:
DKlassik

Лостфильм тоже заддосили, или он у меня одного не открывается?

@nixon89:
nixon89

1. MegaUpload.com закрыт ФБР, основатели и еще несколько сотрудников арестованы — habrahabr.ru
2. Anonymous начали мстить за Megaupload — habrahabr.ru
Что тут сказать? Красавчики!

@Dimez:
Dimez

motto.livejournal.com
А ведь и действительно :)

@NokitaKaze:
NokitaKaze

Купил VDS на FirstVDS. Начали ддосить. Закономерный результат:

От: Nikita Mironov — 2012-01-06 13:53:35
На Ваш сервер идет много паразитного трафика, это нарушает работу сети и мешает вашим "соседям" по услуге. Скорее всего на Ваш сервер осуществляется DDos атака. Ваш ip адресс 127.0.0.1 зафильтрован на сутки. Фильтр снимется автоматически.

===
Ну вы поняли, да? Вас ддосят, вас же и банят. Бизнес по-русски. (Само собой, IP я изменил)

@proton:
proton

bkmz.org

@rumaniac:
rumaniac

Ленту задидосили.

@skobkin-ru:
skobkin-ru

habrahabr.ru

@avagin:
avagin

Жуйк, а дай ссылку на какой-нибудь документ, где популярно объясняется как бороться с дос атаками на веб серверах.

@avagin:
avagin

for i in `tail -n 1000000 /var/log/nginx/access.log | awk '{print $1;}' | sort | uniq -c | awk '{ if ($1 > 20) print $2}'`; do iptables -A INPUT --source $i/32 -j DROP; done