t.me
🤡 Маск заявил о наличии украинских IP-адресов, причастных к массированной кибератаке на социальную сеть Х
🤡 Маск заявил о наличии украинских IP-адресов, причастных к массированной кибератаке на социальную сеть Х
Буду валить с FastVPS.
Они блочат на SYNFLOOD уже с 50мбит (несмотря на 100mbit канал обещаный), после чего делать уже нечего.
А если SYNFLOOD приходит на IPv6 (спасибо, CF, за любезно форвардную IPv4 атаку на IPv6), то просят свалить подобру-здорову.
И за "смену IP" требуют больше, чем просто купить еще одну VPS.
Проблемную VPS мигрировал на OVH, пока подержу её позади Cloudflare, потом CF наверное уберу вообще.
Они блочат на SYNFLOOD уже с 50мбит (несмотря на 100mbit канал обещаный), после чего делать уже нечего.
А если SYNFLOOD приходит на IPv6 (спасибо, CF, за любезно форвардную IPv4 атаку на IPv6), то просят свалить подобру-здорову.
И за "смену IP" требуют больше, чем просто купить еще одну VPS.
Проблемную VPS мигрировал на OVH, пока подержу её позади Cloudflare, потом CF наверное уберу вообще.
vesti.ru
Ага-ага. "Дестабилизация". Бугагашенька.
Тупое вымогательство. К нам (совсем не фин.сектор) пришли с той же вымогалкой, кинули что-то типа двух гигабит кашицу траффика. Судя по общению — дитя купило/украло ботнет, и решило подзаработать.
Атаку пустили в девнулл, через 10 часов после восстановления полной работоспособности всего — атака молча прекратилась.
А я-то думал, что еще попробуют разок хотя бы траффик в 10 раз увеличить, даже подготовился успел...
Надеюсь, что товарищи из банк.сектора обладают достаточными ресурсами, чтобы постараться найти заказчика.
Ага-ага. "Дестабилизация". Бугагашенька.
Тупое вымогательство. К нам (совсем не фин.сектор) пришли с той же вымогалкой, кинули что-то типа двух гигабит кашицу траффика. Судя по общению — дитя купило/украло ботнет, и решило подзаработать.
Атаку пустили в девнулл, через 10 часов после восстановления полной работоспособности всего — атака молча прекратилась.
А я-то думал, что еще попробуют разок хотя бы траффик в 10 раз увеличить, даже подготовился успел...
Надеюсь, что товарищи из банк.сектора обладают достаточными ресурсами, чтобы постараться найти заказчика.
Интересно. Существует куча коммерческих контор которые предоставляют ddos защиту за немаленькие деньги. В то же время существуют хостеры у которых уже "все включено" и антиддос работает на всех их абонентов (они просто размазали цену решения на всех абонентов и получили +1$ например на каждый арендованный сервер) и он действительно работает.
Но проблема заключается еще и в том что в россии таких хостеров просто нету. Печально.
Но проблема заключается еще и в том что в россии таких хостеров просто нету. Печально.
давайте о серьезном. как защититься от ддоса и прочего такого говна? вот пример — просто от одной машины с очень толстым каналом фигачим разные пакеты с миллиона проксей. ваши предложения, мега хеккеры :)
Пара полезных команд, которые могут пригодиться при DDoS и не только
habrahabr.ru
habrahabr.ru
DDoS с помощью веб-сайта на WordPress.
cert.gov.ua
cert.gov.ua
Сервера онлайн-игры легли под DDoS в четверг. Атака не прекращается до сих пор.
Заодно положили старейший и крупнейший фанатский форум.
Пытались положить популярный блог — но он оказался под адекватной защитой. Похоже, теперь атаку с него перенаправили на оффициальный сайт игры, не придумав ничего лучше.
Меня в этом вот что удивляет: два года (пока существует игра) всё тихо-мирно, и вдруг у кого-то оказалось столько ненависти к японским разработчикам и англоязычному коммьюнити одновременно?
Был ещё инцидент в Reddit, направленный против известного участника коммьюнити, но вряд ли это хоть как-то связано с DDoS.
Заодно положили старейший и крупнейший фанатский форум.
Пытались положить популярный блог — но он оказался под адекватной защитой. Похоже, теперь атаку с него перенаправили на оффициальный сайт игры, не придумав ничего лучше.
Меня в этом вот что удивляет: два года (пока существует игра) всё тихо-мирно, и вдруг у кого-то оказалось столько ненависти к японским разработчикам и англоязычному коммьюнити одновременно?
Был ещё инцидент в Reddit, направленный против известного участника коммьюнити, но вряд ли это хоть как-то связано с DDoS.
# conntrack -L | grep -c SYN_RECV
conntrack v0.9.14 (conntrack-tools): 2554268 flow entries have been shown.
2531069
Во время обычной работы — на полтора десятичных порядка меньше, если не на два...
conntrack v0.9.14 (conntrack-tools): 2554268 flow entries have been shown.
2531069
Во время обычной работы — на полтора десятичных порядка меньше, если не на два...
Жуйку повезло, что он не в том же дата-центре, что и наш сервер:
Currently we're successfully filtering the malicious traffic, the attack is still running at about 60 Gbit/sСейчас даже исходящие соединения дропаются.
У родственной компании слегка заддосили один из сайтов.
Вначале — POST /, потом — "ET $hostname", потом тупо длинная строка символов. Итого — до 600Мбит в пике третьей атаки.
Теперь продолжаются атаки типа POST /, и, вдобавок, на тот прокси, через который пустили трафик для сайта, зачем-то запустили синфлуд на 22-й порт.
На работе прокси это никак не отразилось, в том числе и по ssh.
Что они хотели? И чего добились?
Вначале — POST /, потом — "ET $hostname", потом тупо длинная строка символов. Итого — до 600Мбит в пике третьей атаки.
Теперь продолжаются атаки типа POST /, и, вдобавок, на тот прокси, через который пустили трафик для сайта, зачем-то запустили синфлуд на 22-й порт.
На работе прокси это никак не отразилось, в том числе и по ssh.
Что они хотели? И чего добились?
DDoS в 100 Гбит/с — репортаж с линии фронта от очевидца
blogerator.ru
blogerator.ru
Кажется DDOS собирается...
Нынче сервер ддосят уже 4-ый день: pastie.org
Замечательное видео: youtube.com о том, как выглядит результат работы инструмента для визуализации подключений к серверу — Logstalgia. securitylab.ru немного комментариев.
На мой взгляд идея совершенно прекрасна и имеет мощнейший потенциал, ведь нет ничего более информативного о процессе, чем его визуализация в режиме real-time. Нужно будет поглядеть на проект более пристально. Разработчики code.google.com заявляют инструмент как визуализатор подключений конкретно к web-серверам. Однако инструмент занимается тем, что смотрит на лог-файл, парсит его и по идее ничто не мешает допилить регулярные выражения под логи любого другого формата. Представляете, как было бы чудесно подружить его, например, с форматом выдачи syslog от сетевого оборудования, или даже с netflow коллектором?
На мой взгляд идея совершенно прекрасна и имеет мощнейший потенциал, ведь нет ничего более информативного о процессе, чем его визуализация в режиме real-time. Нужно будет поглядеть на проект более пристально. Разработчики code.google.com заявляют инструмент как визуализатор подключений конкретно к web-серверам. Однако инструмент занимается тем, что смотрит на лог-файл, парсит его и по идее ничто не мешает допилить регулярные выражения под логи любого другого формата. Представляете, как было бы чудесно подружить его, например, с форматом выдачи syslog от сетевого оборудования, или даже с netflow коллектором?
Это уже скучной традицией становится. 3-й заход. Вот в упор не понимаю, какой смысл делать DDoS ночью(!) перед праздниками(!!). Итак, ведь, на сайте никого.
На этот раз не просто DDoS, а ещё и управляемый DDoS. Я затыкаю объект атаки — объект атаки меняется на новый...
~~~
На этот раз не просто DDoS, а ещё и управляемый DDoS. Я затыкаю объект атаки — объект атаки меняется на новый...
~~~
Сегодня — вторая серия: balancer.ru
На этот раз отбился удивительно легко. Хотя во многом благодаря вчерашней работе над ошибками. Иначе бы лёг даже круче, чем вчера :)
~~~
На этот раз отбился удивительно легко. Хотя во многом благодаря вчерашней работе над ошибками. Иначе бы лёг даже круче, чем вчера :)
~~~
Клёво. Первый достоверный удачный DDoS на Авиабазу :)
home.balancer.ru
В основном с серверов Белоруссии и Украины.
~~~
home.balancer.ru
В основном с серверов Белоруссии и Украины.
~~~
В кои-то веки меня подосили :D Хосты из *.localstrike.com.ar (Аргентина) решили заклевать мои NS. Развеяли скуку и предсонную аппатию, ништяк!
Нагрузка на сервере (вернее, спецвиртуалке) нормальная, но вот то, что error.log nginx растёт на полгига за 10 минут — несколько напрягает...
Плюнул, решил банить через ipset
Плюнул, решил банить через ipset
cat error.log | grep 14:35:12 | wc -l
3119
В error.log пишутся строки вида:
2013/04/17 14:35:12 [error] 30514#0: *293933080 limiting requests, excess: 1600.900 by zone "hostreqlimit", client: 178.92.50.47, server: citysexy.ru, request: "POST /?s=EghgtdfyhfgdsTYuyrt7uioyukYRTiukgfj%2B%2B%2B%2B%2B%2B%2B%2B%2B%2B HTTP/1.1", host: "конкретный-домен.ru", referrer: "http://всякая-рандомная-херь/"
Таки всё-таки это ддос. Пока что отключили домен до прояснения.
3119
В error.log пишутся строки вида:
2013/04/17 14:35:12 [error] 30514#0: *293933080 limiting requests, excess: 1600.900 by zone "hostreqlimit", client: 178.92.50.47, server: citysexy.ru, request: "POST /?s=EghgtdfyhfgdsTYuyrt7uioyukYRTiukgfj%2B%2B%2B%2B%2B%2B%2B%2B%2B%2B HTTP/1.1", host: "конкретный-домен.ru", referrer: "http://всякая-рандомная-херь/"
Таки всё-таки это ддос. Пока что отключили домен до прояснения.
Интересно, 8к запросов в минуту — это достаточно похоже на ddos или надо дальше тюнить?
error.log у nginx растёт на ~1Мб/сек
Прошел боевое крещение: первая ddos атака на мой сервачок, видимо ботнет. Интересно, есть смысл писать заяву в отдел К и прикладывать список атакующих IP адресов?
новый продвинутый тулкит для ddos, вредители бушуют. гулите: itsoknoproblembro ddos
Кому бесплатный ботнет? github.com
«Надеюсь вы согласитесь, что:
1) Сервер отдающий статические веб-страницы "шуршит" быстрее, чем тот который их собирает динамически;
2) Если фреймворк использует базу, например MySQL, то далеко не факт, что тормозит логика фреймворка а не база;
3) Если у клиента страничка открывается длительное время, это не показатель "тормозов" фреймворка;
4) Очень плохо когда веб-серверу не хватает ресурсов, но так-же "ни есть гуд" когда часть ресурсов не используется;
5) Если мы не тестируем свои программы, сервера, базы данных, тогда грош цена нам как специалистам;
6) Не все "велосипеды" еще изобретены»
1) Сервер отдающий статические веб-страницы "шуршит" быстрее, чем тот который их собирает динамически;
2) Если фреймворк использует базу, например MySQL, то далеко не факт, что тормозит логика фреймворка а не база;
3) Если у клиента страничка открывается длительное время, это не показатель "тормозов" фреймворка;
4) Очень плохо когда веб-серверу не хватает ресурсов, но так-же "ни есть гуд" когда часть ресурсов не используется;
5) Если мы не тестируем свои программы, сервера, базы данных, тогда грош цена нам как специалистам;
6) Не все "велосипеды" еще изобретены»
prostopleer.com О как, кому ет он не угодил?
Что-то с #dzone сегодня какие-то проблемы? #ddos-ят их что ли?
Но кому это может понадобится?
Но кому это может понадобится?
Бездельники анонимусы вывели из строя DNS-ки fastvps.ru Руки бы поотбивал.
Господа из Квипа, у вашего клиента ровно никакая защита от DDOSа. Меня вчера и сегодня ДДоСили тупо на переполнение траффика. В клиенте не предусмотрено:
1. Включение защиты одной кнопкой (а ведь в qip2005 такое было), либо эта кнопка отсутствует по умолчанию
2. Когда тебе в течение 10 секунд присылают 100 сообщений/запросов об авторизации, значит что-то случилось, почему бы не включить превентивную защиту, а потом спросить у пользователя не ддосят ли вас?
2а. Соответственно, должна быть функция автозанесения людей в бан. В первом сообщении ( /1 ) я напишу жиды ботов. По ним сразу видно, что это боты и их можно банить.
3. При большой нагрузке входящих клиент падает только в путь. Вчера раза 3 рухнул
4. Если мне присылают 100 сообщений, это не значит, что я хочу видеть 100 балунов. Как ни посмотри, это баг.
5. Я вчера вообще не ожидал DDoS'а и не понял сначала почему клиент тупо повис. А когда уже включил его снова, увидел мириады пришедших в оффлайн сообщений, не выдержав которых, клиент снова падал. Это тоже надо предусмотреть.
Пока всё. И, как видите, я пишу с веба, потому что клиент не в силах пережевать все входящие, как я уже говорил, сообщени
1. Включение защиты одной кнопкой (а ведь в qip2005 такое было), либо эта кнопка отсутствует по умолчанию
2. Когда тебе в течение 10 секунд присылают 100 сообщений/запросов об авторизации, значит что-то случилось, почему бы не включить превентивную защиту, а потом спросить у пользователя не ддосят ли вас?
2а. Соответственно, должна быть функция автозанесения людей в бан. В первом сообщении ( /1 ) я напишу жиды ботов. По ним сразу видно, что это боты и их можно банить.
3. При большой нагрузке входящих клиент падает только в путь. Вчера раза 3 рухнул
4. Если мне присылают 100 сообщений, это не значит, что я хочу видеть 100 балунов. Как ни посмотри, это баг.
5. Я вчера вообще не ожидал DDoS'а и не понял сначала почему клиент тупо повис. А когда уже включил его снова, увидел мириады пришедших в оффлайн сообщений, не выдержав которых, клиент снова падал. Это тоже надо предусмотреть.
Пока всё. И, как видите, я пишу с веба, потому что клиент не в силах пережевать все входящие, как я уже говорил, сообщени
Лостфильм тоже заддосили, или он у меня одного не открывается?
1. MegaUpload.com закрыт ФБР, основатели и еще несколько сотрудников арестованы — habrahabr.ru
2. Anonymous начали мстить за Megaupload — habrahabr.ru
Что тут сказать? Красавчики!
2. Anonymous начали мстить за Megaupload — habrahabr.ru
Что тут сказать? Красавчики!
motto.livejournal.com
А ведь и действительно :)
А ведь и действительно :)
Купил VDS на FirstVDS. Начали ддосить. Закономерный результат:
От: Nikita Mironov — 2012-01-06 13:53:35
На Ваш сервер идет много паразитного трафика, это нарушает работу сети и мешает вашим "соседям" по услуге. Скорее всего на Ваш сервер осуществляется DDos атака. Ваш ip адресс 127.0.0.1 зафильтрован на сутки. Фильтр снимется автоматически.
===
Ну вы поняли, да? Вас ддосят, вас же и банят. Бизнес по-русски. (Само собой, IP я изменил)
От: Nikita Mironov — 2012-01-06 13:53:35
На Ваш сервер идет много паразитного трафика, это нарушает работу сети и мешает вашим "соседям" по услуге. Скорее всего на Ваш сервер осуществляется DDos атака. Ваш ip адресс 127.0.0.1 зафильтрован на сутки. Фильтр снимется автоматически.
===
Ну вы поняли, да? Вас ддосят, вас же и банят. Бизнес по-русски. (Само собой, IP я изменил)
Ленту задидосили.