Они блочат на SYNFLOOD уже с 50мбит (несмотря на 100mbit канал обещаный), после чего делать уже нечего.
А если SYNFLOOD приходит на IPv6 (спасибо, CF, за любезно форвардную IPv4 атаку на IPv6), то просят свалить подобру-здорову.
И за "смену IP" требуют больше, чем просто купить еще одну VPS.
Проблемную VPS мигрировал на OVH, пока подержу её позади Cloudflare, потом CF наверное уберу вообще.
Но проблема заключается еще и в том что в россии таких хостеров просто нету. Печально.
Заодно положили старейший и крупнейший фанатский форум.
Пытались положить популярный блог — но он оказался под адекватной защитой. Похоже, теперь атаку с него перенаправили на оффициальный сайт игры, не придумав ничего лучше.
Меня в этом вот что удивляет: два года (пока существует игра) всё тихо-мирно, и вдруг у кого-то оказалось столько ненависти к японским разработчикам и англоязычному коммьюнити одновременно?
Был ещё инцидент в Reddit, направленный против известного участника коммьюнити, но вряд ли это хоть как-то связано с DDoS.
conntrack v0.9.14 (conntrack-tools): 2554268 flow entries have been shown.
2531069
Во время обычной работы — на полтора десятичных порядка меньше, если не на два...
Currently we're successfully filtering the malicious traffic, the attack is still running at about 60 Gbit/sСейчас даже исходящие соединения дропаются.
Вначале — POST /, потом — "ET $hostname", потом тупо длинная строка символов. Итого — до 600Мбит в пике третьей атаки.
Теперь продолжаются атаки типа POST /, и, вдобавок, на тот прокси, через который пустили трафик для сайта, зачем-то запустили синфлуд на 22-й порт.
На работе прокси это никак не отразилось, в том числе и по ssh.
Что они хотели? И чего добились?
youtube.com о том, как выглядит результат работы инструмента для визуализации подключений к серверу — Logstalgia. securitylab.ru немного комментариев.
На мой взгляд идея совершенно прекрасна и имеет мощнейший потенциал, ведь нет ничего более информативного о процессе, чем его визуализация в режиме real-time. Нужно будет поглядеть на проект более пристально. Разработчики code.google.com заявляют инструмент как визуализатор подключений конкретно к web-серверам. Однако инструмент занимается тем, что смотрит на лог-файл, парсит его и по идее ничто не мешает допилить регулярные выражения под логи любого другого формата. Представляете, как было бы чудесно подружить его, например, с форматом выдачи syslog от сетевого оборудования, или даже с netflow коллектором?
Замечательное видео:
На мой взгляд идея совершенно прекрасна и имеет мощнейший потенциал, ведь нет ничего более информативного о процессе, чем его визуализация в режиме real-time. Нужно будет поглядеть на проект более пристально. Разработчики code.google.com заявляют инструмент как визуализатор подключений конкретно к web-серверам. Однако инструмент занимается тем, что смотрит на лог-файл, парсит его и по идее ничто не мешает допилить регулярные выражения под логи любого другого формата. Представляете, как было бы чудесно подружить его, например, с форматом выдачи syslog от сетевого оборудования, или даже с netflow коллектором?
На этот раз не просто DDoS, а ещё и управляемый DDoS. Я затыкаю объект атаки — объект атаки меняется на новый...
~~~
balancer.ru
На этот раз отбился удивительно легко. Хотя во многом благодаря вчерашней работе над ошибками. Иначе бы лёг даже круче, чем вчера :)
~~~
Сегодня — вторая серия: На этот раз отбился удивительно легко. Хотя во многом благодаря вчерашней работе над ошибками. Иначе бы лёг даже круче, чем вчера :)
~~~
Плюнул, решил банить через ipset
3119
В error.log пишутся строки вида:
2013/04/17 14:35:12 [error] 30514#0: *293933080 limiting requests, excess: 1600.900 by zone "hostreqlimit", client: 178.92.50.47, server: citysexy.ru, request: "POST /?s=EghgtdfyhfgdsTYuyrt7uioyukYRTiukgfj%2B%2B%2B%2B%2B%2B%2B%2B%2B%2B HTTP/1.1", host: "конкретный-домен.ru", referrer: "http://всякая-рандомная-херь/"
Таки всё-таки это ддос. Пока что отключили домен до прояснения.
1) Сервер отдающий статические веб-страницы "шуршит" быстрее, чем тот который их собирает динамически;
2) Если фреймворк использует базу, например MySQL, то далеко не факт, что тормозит логика фреймворка а не база;
3) Если у клиента страничка открывается длительное время, это не показатель "тормозов" фреймворка;
4) Очень плохо когда веб-серверу не хватает ресурсов, но так-же "ни есть гуд" когда часть ресурсов не используется;
5) Если мы не тестируем свои программы, сервера, базы данных, тогда грош цена нам как специалистам;
6) Не все "велосипеды" еще изобретены»
prostopleer.com О как, кому ет он не угодил?
Но кому это может понадобится?
1. Включение защиты одной кнопкой (а ведь в qip2005 такое было), либо эта кнопка отсутствует по умолчанию
2. Когда тебе в течение 10 секунд присылают 100 сообщений/запросов об авторизации, значит что-то случилось, почему бы не включить превентивную защиту, а потом спросить у пользователя не ддосят ли вас?
2а. Соответственно, должна быть функция автозанесения людей в бан. В первом сообщении ( /1 ) я напишу жиды ботов. По ним сразу видно, что это боты и их можно банить.
3. При большой нагрузке входящих клиент падает только в путь. Вчера раза 3 рухнул
4. Если мне присылают 100 сообщений, это не значит, что я хочу видеть 100 балунов. Как ни посмотри, это баг.
5. Я вчера вообще не ожидал DDoS'а и не понял сначала почему клиент тупо повис. А когда уже включил его снова, увидел мириады пришедших в оффлайн сообщений, не выдержав которых, клиент снова падал. Это тоже надо предусмотреть.
Пока всё. И, как видите, я пишу с веба, потому что клиент не в силах пережевать все входящие, как я уже говорил, сообщени
motto.livejournal.com
А ведь и действительно :)
А ведь и действительно :)
От: Nikita Mironov — 2012-01-06 13:53:35
На Ваш сервер идет много паразитного трафика, это нарушает работу сети и мешает вашим "соседям" по услуге. Скорее всего на Ваш сервер осуществляется DDos атака. Ваш ip адресс 127.0.0.1 зафильтрован на сутки. Фильтр снимется автоматически.
===
Ну вы поняли, да? Вас ддосят, вас же и банят. Бизнес по-русски. (Само собой, IP я изменил)