Буду валить с FastVPS.
Они блочат на SYNFLOOD уже с 50мбит (несмотря на 100mbit канал обещаный), после чего делать уже нечего.
А если SYNFLOOD приходит на IPv6 (спасибо, CF, за любезно форвардную IPv4 атаку на IPv6), то просят свалить подобру-здорову.
И за "смену IP" требуют больше, чем просто купить еще одну VPS.
Проблемную VPS мигрировал на OVH, пока подержу её позади Cloudflare, потом CF наверное уберу вообще.
Они блочат на SYNFLOOD уже с 50мбит (несмотря на 100mbit канал обещаный), после чего делать уже нечего.
А если SYNFLOOD приходит на IPv6 (спасибо, CF, за любезно форвардную IPv4 атаку на IPv6), то просят свалить подобру-здорову.
И за "смену IP" требуют больше, чем просто купить еще одну VPS.
Проблемную VPS мигрировал на OVH, пока подержу её позади Cloudflare, потом CF наверное уберу вообще.
Интересно. Существует куча коммерческих контор которые предоставляют ddos защиту за немаленькие деньги. В то же время существуют хостеры у которых уже "все включено" и антиддос работает на всех их абонентов (они просто размазали цену решения на всех абонентов и получили +1$ например на каждый арендованный сервер) и он действительно работает.
Но проблема заключается еще и в том что в россии таких хостеров просто нету. Печально.
Но проблема заключается еще и в том что в россии таких хостеров просто нету. Печально.
давайте о серьезном. как защититься от ддоса и прочего такого говна? вот пример — просто от одной машины с очень толстым каналом фигачим разные пакеты с миллиона проксей. ваши предложения, мега хеккеры :)
Пара полезных команд, которые могут пригодиться при DDoS и не только
habrahabr.ru
habrahabr.ru
DDoS с помощью веб-сайта на WordPress.
cert.gov.ua
cert.gov.ua
Сервера онлайн-игры легли под DDoS в четверг. Атака не прекращается до сих пор.
Заодно положили старейший и крупнейший фанатский форум.
Пытались положить популярный блог — но он оказался под адекватной защитой. Похоже, теперь атаку с него перенаправили на оффициальный сайт игры, не придумав ничего лучше.
Меня в этом вот что удивляет: два года (пока существует игра) всё тихо-мирно, и вдруг у кого-то оказалось столько ненависти к японским разработчикам и англоязычному коммьюнити одновременно?
Был ещё инцидент в Reddit, направленный против известного участника коммьюнити, но вряд ли это хоть как-то связано с DDoS.
Заодно положили старейший и крупнейший фанатский форум.
Пытались положить популярный блог — но он оказался под адекватной защитой. Похоже, теперь атаку с него перенаправили на оффициальный сайт игры, не придумав ничего лучше.
Меня в этом вот что удивляет: два года (пока существует игра) всё тихо-мирно, и вдруг у кого-то оказалось столько ненависти к японским разработчикам и англоязычному коммьюнити одновременно?
Был ещё инцидент в Reddit, направленный против известного участника коммьюнити, но вряд ли это хоть как-то связано с DDoS.
# conntrack -L | grep -c SYN_RECV
conntrack v0.9.14 (conntrack-tools): 2554268 flow entries have been shown.
2531069
Во время обычной работы — на полтора десятичных порядка меньше, если не на два...
conntrack v0.9.14 (conntrack-tools): 2554268 flow entries have been shown.
2531069
Во время обычной работы — на полтора десятичных порядка меньше, если не на два...
Жуйку повезло, что он не в том же дата-центре, что и наш сервер:
Currently we're successfully filtering the malicious traffic, the attack is still running at about 60 Gbit/sСейчас даже исходящие соединения дропаются.
У родственной компании слегка заддосили один из сайтов.
Вначале — POST /, потом — "ET $hostname", потом тупо длинная строка символов. Итого — до 600Мбит в пике третьей атаки.
Теперь продолжаются атаки типа POST /, и, вдобавок, на тот прокси, через который пустили трафик для сайта, зачем-то запустили синфлуд на 22-й порт.
На работе прокси это никак не отразилось, в том числе и по ssh.
Что они хотели? И чего добились?
Вначале — POST /, потом — "ET $hostname", потом тупо длинная строка символов. Итого — до 600Мбит в пике третьей атаки.
Теперь продолжаются атаки типа POST /, и, вдобавок, на тот прокси, через который пустили трафик для сайта, зачем-то запустили синфлуд на 22-й порт.
На работе прокси это никак не отразилось, в том числе и по ssh.
Что они хотели? И чего добились?
DDoS в 100 Гбит/с — репортаж с линии фронта от очевидца
blogerator.ru
blogerator.ru
Кажется DDOS собирается...
Нынче сервер ддосят уже 4-ый день: pastie.org
Замечательное видео: youtube.com о том, как выглядит результат работы инструмента для визуализации подключений к серверу — Logstalgia. securitylab.ru немного комментариев.
На мой взгляд идея совершенно прекрасна и имеет мощнейший потенциал, ведь нет ничего более информативного о процессе, чем его визуализация в режиме real-time. Нужно будет поглядеть на проект более пристально. Разработчики code.google.com заявляют инструмент как визуализатор подключений конкретно к web-серверам. Однако инструмент занимается тем, что смотрит на лог-файл, парсит его и по идее ничто не мешает допилить регулярные выражения под логи любого другого формата. Представляете, как было бы чудесно подружить его, например, с форматом выдачи syslog от сетевого оборудования, или даже с netflow коллектором?
На мой взгляд идея совершенно прекрасна и имеет мощнейший потенциал, ведь нет ничего более информативного о процессе, чем его визуализация в режиме real-time. Нужно будет поглядеть на проект более пристально. Разработчики code.google.com заявляют инструмент как визуализатор подключений конкретно к web-серверам. Однако инструмент занимается тем, что смотрит на лог-файл, парсит его и по идее ничто не мешает допилить регулярные выражения под логи любого другого формата. Представляете, как было бы чудесно подружить его, например, с форматом выдачи syslog от сетевого оборудования, или даже с netflow коллектором?
Это уже скучной традицией становится. 3-й заход. Вот в упор не понимаю, какой смысл делать DDoS ночью(!) перед праздниками(!!). Итак, ведь, на сайте никого.
На этот раз не просто DDoS, а ещё и управляемый DDoS. Я затыкаю объект атаки — объект атаки меняется на новый...
~~~
На этот раз не просто DDoS, а ещё и управляемый DDoS. Я затыкаю объект атаки — объект атаки меняется на новый...
~~~
Сегодня — вторая серия: balancer.ru
На этот раз отбился удивительно легко. Хотя во многом благодаря вчерашней работе над ошибками. Иначе бы лёг даже круче, чем вчера :)
~~~
На этот раз отбился удивительно легко. Хотя во многом благодаря вчерашней работе над ошибками. Иначе бы лёг даже круче, чем вчера :)
~~~
Клёво. Первый достоверный удачный DDoS на Авиабазу :)
home.balancer.ru
В основном с серверов Белоруссии и Украины.
~~~
home.balancer.ru
В основном с серверов Белоруссии и Украины.
~~~
В кои-то веки меня подосили :D Хосты из *.localstrike.com.ar (Аргентина) решили заклевать мои NS. Развеяли скуку и предсонную аппатию, ништяк!
Нагрузка на сервере (вернее, спецвиртуалке) нормальная, но вот то, что error.log nginx растёт на полгига за 10 минут — несколько напрягает...
Плюнул, решил банить через ipset
Плюнул, решил банить через ipset
cat error.log | grep 14:35:12 | wc -l
3119
В error.log пишутся строки вида:
2013/04/17 14:35:12 [error] 30514#0: *293933080 limiting requests, excess: 1600.900 by zone "hostreqlimit", client: 178.92.50.47, server: citysexy.ru, request: "POST /?s=EghgtdfyhfgdsTYuyrt7uioyukYRTiukgfj%2B%2B%2B%2B%2B%2B%2B%2B%2B%2B HTTP/1.1", host: "конкретный-домен.ru", referrer: "http://всякая-рандомная-херь/"
Таки всё-таки это ддос. Пока что отключили домен до прояснения.
3119
В error.log пишутся строки вида:
2013/04/17 14:35:12 [error] 30514#0: *293933080 limiting requests, excess: 1600.900 by zone "hostreqlimit", client: 178.92.50.47, server: citysexy.ru, request: "POST /?s=EghgtdfyhfgdsTYuyrt7uioyukYRTiukgfj%2B%2B%2B%2B%2B%2B%2B%2B%2B%2B HTTP/1.1", host: "конкретный-домен.ru", referrer: "http://всякая-рандомная-херь/"
Таки всё-таки это ддос. Пока что отключили домен до прояснения.
Интересно, 8к запросов в минуту — это достаточно похоже на ddos или надо дальше тюнить?
error.log у nginx растёт на ~1Мб/сек
Прошел боевое крещение: первая ddos атака на мой сервачок, видимо ботнет. Интересно, есть смысл писать заяву в отдел К и прикладывать список атакующих IP адресов?
новый продвинутый тулкит для ddos, вредители бушуют. гулите: itsoknoproblembro ddos
Кому бесплатный ботнет? github.com
«Надеюсь вы согласитесь, что:
1) Сервер отдающий статические веб-страницы "шуршит" быстрее, чем тот который их собирает динамически;
2) Если фреймворк использует базу, например MySQL, то далеко не факт, что тормозит логика фреймворка а не база;
3) Если у клиента страничка открывается длительное время, это не показатель "тормозов" фреймворка;
4) Очень плохо когда веб-серверу не хватает ресурсов, но так-же "ни есть гуд" когда часть ресурсов не используется;
5) Если мы не тестируем свои программы, сервера, базы данных, тогда грош цена нам как специалистам;
6) Не все "велосипеды" еще изобретены»
1) Сервер отдающий статические веб-страницы "шуршит" быстрее, чем тот который их собирает динамически;
2) Если фреймворк использует базу, например MySQL, то далеко не факт, что тормозит логика фреймворка а не база;
3) Если у клиента страничка открывается длительное время, это не показатель "тормозов" фреймворка;
4) Очень плохо когда веб-серверу не хватает ресурсов, но так-же "ни есть гуд" когда часть ресурсов не используется;
5) Если мы не тестируем свои программы, сервера, базы данных, тогда грош цена нам как специалистам;
6) Не все "велосипеды" еще изобретены»
prostopleer.com О как, кому ет он не угодил?
Что-то с #dzone сегодня какие-то проблемы? #ddos-ят их что ли?
Но кому это может понадобится?
Но кому это может понадобится?
Бездельники анонимусы вывели из строя DNS-ки fastvps.ru Руки бы поотбивал.
Господа из Квипа, у вашего клиента ровно никакая защита от DDOSа. Меня вчера и сегодня ДДоСили тупо на переполнение траффика. В клиенте не предусмотрено:
1. Включение защиты одной кнопкой (а ведь в qip2005 такое было), либо эта кнопка отсутствует по умолчанию
2. Когда тебе в течение 10 секунд присылают 100 сообщений/запросов об авторизации, значит что-то случилось, почему бы не включить превентивную защиту, а потом спросить у пользователя не ддосят ли вас?
2а. Соответственно, должна быть функция автозанесения людей в бан. В первом сообщении ( /1 ) я напишу жиды ботов. По ним сразу видно, что это боты и их можно банить.
3. При большой нагрузке входящих клиент падает только в путь. Вчера раза 3 рухнул
4. Если мне присылают 100 сообщений, это не значит, что я хочу видеть 100 балунов. Как ни посмотри, это баг.
5. Я вчера вообще не ожидал DDoS'а и не понял сначала почему клиент тупо повис. А когда уже включил его снова, увидел мириады пришедших в оффлайн сообщений, не выдержав которых, клиент снова падал. Это тоже надо предусмотреть.
Пока всё. И, как видите, я пишу с веба, потому что клиент не в силах пережевать все входящие, как я уже говорил, сообщени
1. Включение защиты одной кнопкой (а ведь в qip2005 такое было), либо эта кнопка отсутствует по умолчанию
2. Когда тебе в течение 10 секунд присылают 100 сообщений/запросов об авторизации, значит что-то случилось, почему бы не включить превентивную защиту, а потом спросить у пользователя не ддосят ли вас?
2а. Соответственно, должна быть функция автозанесения людей в бан. В первом сообщении ( /1 ) я напишу жиды ботов. По ним сразу видно, что это боты и их можно банить.
3. При большой нагрузке входящих клиент падает только в путь. Вчера раза 3 рухнул
4. Если мне присылают 100 сообщений, это не значит, что я хочу видеть 100 балунов. Как ни посмотри, это баг.
5. Я вчера вообще не ожидал DDoS'а и не понял сначала почему клиент тупо повис. А когда уже включил его снова, увидел мириады пришедших в оффлайн сообщений, не выдержав которых, клиент снова падал. Это тоже надо предусмотреть.
Пока всё. И, как видите, я пишу с веба, потому что клиент не в силах пережевать все входящие, как я уже говорил, сообщени
Лостфильм тоже заддосили, или он у меня одного не открывается?
1. MegaUpload.com закрыт ФБР, основатели и еще несколько сотрудников арестованы — habrahabr.ru
2. Anonymous начали мстить за Megaupload — habrahabr.ru
Что тут сказать? Красавчики!
2. Anonymous начали мстить за Megaupload — habrahabr.ru
Что тут сказать? Красавчики!
motto.livejournal.com
А ведь и действительно :)
А ведь и действительно :)
Купил VDS на FirstVDS. Начали ддосить. Закономерный результат:
От: Nikita Mironov — 2012-01-06 13:53:35
На Ваш сервер идет много паразитного трафика, это нарушает работу сети и мешает вашим "соседям" по услуге. Скорее всего на Ваш сервер осуществляется DDos атака. Ваш ip адресс 127.0.0.1 зафильтрован на сутки. Фильтр снимется автоматически.
===
Ну вы поняли, да? Вас ддосят, вас же и банят. Бизнес по-русски. (Само собой, IP я изменил)
От: Nikita Mironov — 2012-01-06 13:53:35
На Ваш сервер идет много паразитного трафика, это нарушает работу сети и мешает вашим "соседям" по услуге. Скорее всего на Ваш сервер осуществляется DDos атака. Ваш ip адресс 127.0.0.1 зафильтрован на сутки. Фильтр снимется автоматически.
===
Ну вы поняли, да? Вас ддосят, вас же и банят. Бизнес по-русски. (Само собой, IP я изменил)
Ленту задидосили.
Жуйк, а дай ссылку на какой-нибудь документ, где популярно объясняется как бороться с дос атаками на веб серверах.
for i in `tail -n 1000000 /var/log/nginx/access.log | awk '{print $1;}' | sort | uniq -c | awk '{ if ($1 > 20) print $2}'`; do iptables -A INPUT --source $i/32 -j DROP; done