Хостинг - Обзор: эпицентр русскоязычного хостинга

Здравствуйте, гость ( Вход | Регистрация )

> Виды DDoS и методы противодействия
MHN
сообщение 14.08.2006, 17:39
Сообщение #1





Группа: Старые пользователи
Сообщений: 1,229
Регистрация: 15.06.2004
Из: MegaHoster.Net
Пользователь №: 515


Репутация: 223


Виды DDoS и методы противодействия

Хоть скриншоты бы повставляли для большей информативности (IMG:style_emoticons/default/smile.gif)
Почему не указан список используемых при перепечатке ресурсов, копирайты?

пример: http://www.compdoc.ru/secur/xacer/what_is_ddos_attack/
User is offlineProfile CardPM
Go to the top of the page
+Quote Post
2 страниц V  1 2 >  
Reply to this topicStart new topic
Ответов(1 - 29)
Admin
сообщение 14.08.2006, 19:38
Сообщение #2





Группа: Admin
Сообщений: 10,656
Регистрация: 16.05.2002
Из: "ХостОбзор"
Пользователь №: 2


Репутация: 301


Ну и кто после этого "консультант по противодействию DDoS Дмитрий Данильев"?

Resolve одним словом...
User is offlineProfile CardPM
Go to the top of the page
+Quote Post
eSupport.org.ua
сообщение 15.08.2006, 00:49
Сообщение #3


Одесский сисадмин


Группа: Старые пользователи
Сообщений: 5,200
Регистрация: 18.11.2004
Из: Одесса
Пользователь №: 823


Репутация: 262


Если информация о DDOS интересна, то я могу написать про виды атак отказа на обслуживание и краткие рекомендации по борьбе с ними.
Если в кратце, то атаки бывают
1) На перегрузку канала/железа. Эти атаки выбивают датацентры.
2) На сетевую подсистему сервера (спуфинги, пинги, сины...). Сервер становится недоступен по сети но продолжает нормально работать.
3) На сетевой сервис. Эти атаки одни из самых вредных - могут убить веб, почту, днс и прочие сервисы. Решаеться как правило аппаратно.
4) На сайты. Находят наиболее тяжелые скрипты и долбят их. Приходиться отключать такие сайты.
5) Изнутри - самые тяжелые последствия, так как атака является не целью а признаком. Например упала почта - значит в почтовом спуле тонны спама.

Подробнее писать?
User is offlineProfile CardPM
Go to the top of the page
+Quote Post
deMone
сообщение 15.08.2006, 04:06
Сообщение #4





Группа: Старые пользователи
Сообщений: 277
Регистрация: 10.07.2006
Пользователь №: 3,157


Репутация: 209


Напишите, на мой взгляд лишним не будет. Причём лучше разместить не здесь, а в статьях на ХО.
User is offlineProfile CardPM
Go to the top of the page
+Quote Post
Admin
сообщение 15.08.2006, 07:54
Сообщение #5





Группа: Admin
Сообщений: 10,656
Регистрация: 16.05.2002
Из: "ХостОбзор"
Пользователь №: 2


Репутация: 301


Цитата(eSupport.org.ua @ 15.08.2006, 01:49) *

Подробнее писать?

Да, Андрей, с удовольствием опубликую в читальном зале. Хотелось бы, чтобы статья носила более прикладной характер, чем http://www.compdoc.ru/secur/xacer/what_is_ddos_attack/ Т.е. побольше конкретных рекомендаций как клиентам, так и хостерам по разумному поведению в случае атак. Начиная от того, как не спровоцировать, выявить провокатора и заканчивая методами борьбы (насколько это возможно). По срокам не тороплю, буду терпеливо ждать столько, сколько понадобится, в моем представлении - статья весьма трудоёмкая.
User is offlineProfile CardPM
Go to the top of the page
+Quote Post
MultiHOST
сообщение 22.08.2006, 23:19
Сообщение #6





Группа: Старые пользователи
Сообщений: 43
Регистрация: 16.05.2006
Из: Москва
Пользователь №: 2,754


Репутация: 210


Цитата(eSupport.org.ua @ 15.08.2006, 01:49) *


Подробнее писать?


Конечно, это отличная тема, особенно, когда авторская (IMG:style_emoticons/default/smile.gif)
User is offlineProfile CardPM
Go to the top of the page
+Quote Post
udofun
сообщение 02.09.2006, 10:34
Сообщение #7





Группа: Старые пользователи
Сообщений: 554
Регистрация: 19.04.2006
Из: www.2x4.ru
Пользователь №: 2,587


Репутация: 213


тоже поддерживаю,
разрабатываем сейчас свой комплекс защит от ДДоС
User is offlineProfile CardPM
Go to the top of the page
+Quote Post
AstraNight.com
сообщение 02.10.2006, 16:25
Сообщение #8





Группа: Старые пользователи
Сообщений: 8
Регистрация: 26.08.2006
Пользователь №: 3,687


Репутация: 206


udofun, как успехи?
User is offlineProfile CardPM
Go to the top of the page
+Quote Post
alpha_Qu4z4r
сообщение 05.08.2009, 20:37
Сообщение #9





Группа: Старые пользователи
Сообщений: 173
Регистрация: 14.10.2008
Пользователь №: 8,241


Репутация: 193


+1 Статья ниачём, каждый школьник всё это знает и так.

Хотелось бы качественную статью про методы обнаружения и борьбы с подобными атаками, как на оборудовании cisco так и средствами операционных систем freeBSD\Linux.

Если подобную статью кто-то уже здесь запостил, хотелось бы видеть в этой теме ссылку.
User is offlineProfile CardPM
Go to the top of the page
+Quote Post
Admin
сообщение 05.08.2009, 20:42
Сообщение #10





Группа: Admin
Сообщений: 10,656
Регистрация: 16.05.2002
Из: "ХостОбзор"
Пользователь №: 2


Репутация: 301


Цитата(alpha_Qu4z4r @ 05.08.2009, 21:37) *

+1 Статья ниачём, каждый школьник всё это знает и так.

Весь раздел "Читальный зал" создан специально для школьников. Для профи - закрытые разделы Клуба.
User is offlineProfile CardPM
Go to the top of the page
+Quote Post
alpha_Qu4z4r
сообщение 05.08.2009, 20:56
Сообщение #11





Группа: Старые пользователи
Сообщений: 173
Регистрация: 14.10.2008
Пользователь №: 8,241


Репутация: 193


Каковы условия получения доступа в закрытый раздел?
User is offlineProfile CardPM
Go to the top of the page
+Quote Post
xaker1
сообщение 05.08.2009, 21:06
Сообщение #12





Группа: Старые пользователи
Сообщений: 400
Регистрация: 29.06.2008
Пользователь №: 7,739


Репутация: 196


Все описано в правилах. Для закрытого раздела нужно вступить в группу хостинг провайдер.
User is offlineProfile CardPM
Go to the top of the page
+Quote Post
tsolomon
сообщение 08.08.2009, 01:08
Сообщение #13





Группа: Старые пользователи
Сообщений: 3
Регистрация: 06.08.2009
Пользователь №: 10,062


Репутация: 188


Я не провайдер, в закрытый раздел попасть не могу =)
объясните пожалуйста чайнику, как борются с ддос такие конторы как prolexic.com ? Обратил внимание, что еще домены у них паркуют и веелые цены, пдфку потерял, что-то около 6К $ в месяц на бюджетном варианте, если вас атакуют и вам надо срочно защититься, то платит 18К за оперативность...
User is offlineProfile CardPM
Go to the top of the page
+Quote Post
eSupport.org.ua
сообщение 08.08.2009, 05:11
Сообщение #14


Одесский сисадмин


Группа: Старые пользователи
Сообщений: 5,200
Регистрация: 18.11.2004
Из: Одесса
Пользователь №: 823


Репутация: 262


Они используют анти-ддос технологии
User is offlineProfile CardPM
Go to the top of the page
+Quote Post
alpha_Qu4z4r
сообщение 08.08.2009, 08:42
Сообщение #15





Группа: Старые пользователи
Сообщений: 173
Регистрация: 14.10.2008
Пользователь №: 8,241


Репутация: 193


Цитата(eSupport.org.ua @ 08.08.2009, 05:11) *

Они используют анти-ддос технологии


*С сарказмом*
Исчерпывающий ответ.

=)
User is offlineProfile CardPM
Go to the top of the page
+Quote Post
different
сообщение 08.08.2009, 09:04
Сообщение #16





Группа: Старые пользователи
Сообщений: 804
Регистрация: 29.06.2008
Из: Народный комиссариат виртуальных дел
Пользователь №: 7,738


Репутация: 209


Цитата(alpha_Qu4z4r @ 08.08.2009, 11:42) *

*С сарказмом*
Исчерпывающий ответ.

=)

Просто вопрос из серии "научите управлять вертолетом". По этому делу можно книги писать.
User is offlineProfile CardPM
Go to the top of the page
+Quote Post
ENELIS
сообщение 08.08.2009, 17:13
Сообщение #17





Группа: Старые пользователи
Сообщений: 665
Регистрация: 15.06.2005
Из: ENELIS
Пользователь №: 1,368


Репутация: 223


более того у пролексик патентованная технология.
User is offlineProfile CardPM
Go to the top of the page
+Quote Post
alpha_Qu4z4r
сообщение 17.08.2009, 17:04
Сообщение #18





Группа: Старые пользователи
Сообщений: 173
Регистрация: 14.10.2008
Пользователь №: 8,241


Репутация: 193


Цитата(different @ 08.08.2009, 09:04) *

Просто вопрос из серии "научите управлять вертолетом". По этому делу можно книги писать.


Несомненно, можно даже докторскую защитить =)
Но здесь от вас требуется чуть меньше лени и больше конкретики, а её безусловно можно уложить в несколько простых советов.

Например, нормальным является 5-7 единовременных подключений от одного клиента, если больше уже стоит обратить внимание на логи по этому адресу, если там идут запросы одной и той же страницы, следовательно это ДДоСер.

Так же если смотреть на состояния соединений, то в случае атаки можно будет увидеть огромное количество SYN соединений, которые таки остаются висеть, как правило их так же несколько от однго IP, следовательно это тоже ДДоСер.

Если есть что добавить было бы крайне интересно почитать.
User is offlineProfile CardPM
Go to the top of the page
+Quote Post
eSupport.org.ua
сообщение 17.08.2009, 17:19
Сообщение #19


Одесский сисадмин


Группа: Старые пользователи
Сообщений: 5,200
Регистрация: 18.11.2004
Из: Одесса
Пользователь №: 823


Репутация: 262


opennet.ru, dedic.ru, hostinghelp.biz
User is offlineProfile CardPM
Go to the top of the page
+Quote Post
Selecta
сообщение 20.08.2009, 09:05
Сообщение #20





Группа: Старые пользователи
Сообщений: 4
Регистрация: 19.08.2009
Пользователь №: 10,119


Репутация: 188


Цитата(alpha_Qu4z4r @ 17.08.2009, 20:04) *


Например, нормальным является 5-7 единовременных подключений от одного клиента, если больше уже стоит обратить внимание на логи по этому адресу, если там идут запросы одной и той же страницы, следовательно это ДДоСер.


Немножко не соглашусь с этим - многие провайдеры используют прокси, через которые идут сотни если не тысячи людей. Если исходить из критериев 5-7 соединений единовременных, провайдеров таким образом тоже в бан?

С уважением,

Сообщение отредактировал Selecta - 20.08.2009, 09:08
User is offlineProfile CardPM
Go to the top of the page
+Quote Post
ENELIS
сообщение 20.08.2009, 10:14
Сообщение #21





Группа: Старые пользователи
Сообщений: 665
Регистрация: 15.06.2005
Из: ENELIS
Пользователь №: 1,368


Репутация: 223


К сожалению, да - в бан, потому что например новый тип ботов уже невозможно отличить от прокси никаким образом практически, по-крайней мере фальспозитивы будут.
Вот отловили 51000 ботнет с умными ботами умеющими user-agent, cookie, redirect и как их отличать от proxy прикажете? Captcha не вариант

Сообщение отредактировал ENELIS - 20.08.2009, 10:14
User is offlineProfile CardPM
Go to the top of the page
+Quote Post
alpha_Qu4z4r
сообщение 20.08.2009, 14:47
Сообщение #22





Группа: Старые пользователи
Сообщений: 173
Регистрация: 14.10.2008
Пользователь №: 8,241


Репутация: 193


Цитата(Selecta @ 20.08.2009, 09:05) *

Немножко не соглашусь с этим - многие провайдеры используют прокси, через которые идут сотни если не тысячи людей. Если исходить из критериев 5-7 соединений единовременных, провайдеров таким образом тоже в бан?

С уважением,


Если это единственный принцип блокировки, то да, веилка вероятность побанить внешний шаредный IP провайдера. Но я ведь сказал, что в этом случае стоит проанализирвоать запросы по этому IP в логе, если они сильно разные, то это человек, а если штампуют запросы к однму и тому же ресурсу, например к главной странице или всё это SYN запросы без продолжения, то и ежу понятно, что там засел бот.

Сообщение отредактировал alpha_Qu4z4r - 20.08.2009, 14:47
User is offlineProfile CardPM
Go to the top of the page
+Quote Post
Selecta
сообщение 20.08.2009, 16:32
Сообщение #23





Группа: Старые пользователи
Сообщений: 4
Регистрация: 19.08.2009
Пользователь №: 10,119


Репутация: 188


Цитата(alpha_Qu4z4r @ 20.08.2009, 17:47) *

Если это единственный принцип блокировки, то да, веилка вероятность побанить внешний шаредный IP провайдера. Но я ведь сказал, что в этом случае стоит проанализирвоать запросы по этому IP в логе, если они сильно разные, то это человек, а если штампуют запросы к однму и тому же ресурсу, например к главной странице или всё это SYN запросы без продолжения, то и ежу понятно, что там засел бот.

Enelis прав, если бот грамотно написан и рандомизирует все эти параметры, также как и длину окон, payload, то шансов понять что есть бот а что нет - мало. Бедные провайдеры (IMG:style_emoticons/default/smile.gif)
Хотя...если взять ДДоС со спуфом внешними адресами - еще хуже. Единственно что приходит в голову, это по методике пролексика принимать на себя фактическую атаку, фильтровать и отдавать чистый трафик клиенту как back-end. Это все реализуемо, но дорого...
User is offlineProfile CardPM
Go to the top of the page
+Quote Post
ENELIS
сообщение 20.08.2009, 20:04
Сообщение #24





Группа: Старые пользователи
Сообщений: 665
Регистрация: 15.06.2005
Из: ENELIS
Пользователь №: 1,368


Репутация: 223


Спуф с внешними адресами практически невозможно устроить для соединения TCP, а еще и данные отправить - если только атакующее чудо не в Вашей же сети - но такого вычислить проблем никаких. Самое опасное - это вот такие "умные" боты и заливка канала.
User is offlineProfile CardPM
Go to the top of the page
+Quote Post
Selecta
сообщение 20.08.2009, 21:35
Сообщение #25





Группа: Старые пользователи
Сообщений: 4
Регистрация: 19.08.2009
Пользователь №: 10,119


Репутация: 188


Цитата(ENELIS @ 20.08.2009, 23:04) *

Спуф с внешними адресами практически невозможно устроить для соединения TCP, а еще и данные отправить - если только атакующее чудо не в Вашей же сети - но такого вычислить проблем никаких. Самое опасное - это вот такие "умные" боты и заливка канала.


Увы - возможно, при случае когда соединение не требуется завершать. Например при том же syn flood.

Я могу предоставить дамп атаки, где исходящие адреса идут с сети ФБР, а также от правительства России. На сайт компании, которая занимается продажами дверей. Если интересно, пишите в личку. Узнали о спуфе в процессе, когда сервер посылал ответы на пакеты .... в ФБР и правительство России.
Естественно прикрыли, но по факту - все равно приятного мало (IMG:style_emoticons/default/wink.gif)

Сообщение отредактировал Selecta - 20.08.2009, 21:36
User is offlineProfile CardPM
Go to the top of the page
+Quote Post
ENELIS
сообщение 20.08.2009, 23:17
Сообщение #26





Группа: Старые пользователи
Сообщений: 665
Регистрация: 15.06.2005
Из: ENELIS
Пользователь №: 1,368


Репутация: 223


Syn flood можно и нужно заблокировать.
User is offlineProfile CardPM
Go to the top of the page
+Quote Post
eSupport.org.ua
сообщение 21.08.2009, 06:08
Сообщение #27


Одесский сисадмин


Группа: Старые пользователи
Сообщений: 5,200
Регистрация: 18.11.2004
Из: Одесса
Пользователь №: 823


Репутация: 262


И как при этом не убить легальный трафф?
User is offlineProfile CardPM
Go to the top of the page
+Quote Post
alpha_Qu4z4r
сообщение 21.08.2009, 16:44
Сообщение #28





Группа: Старые пользователи
Сообщений: 173
Регистрация: 14.10.2008
Пользователь №: 8,241


Репутация: 193


Цитата(ENELIS @ 20.08.2009, 23:17) *

Syn flood можно и нужно заблокировать.


Было бы интерсно увидеть здесь реальные примеры блокировки.
В голову приходит лишь один вариант, каким-то образом считать время от прихода syn запроса и если оно превышается, а от того же адреса пришло ещё несколько таких запросов, можно предположить, что флудер. Какие есть средства для подобной блокировки в Linux/FreeBSD/Cisco?
User is offlineProfile CardPM
Go to the top of the page
+Quote Post
ENELIS
сообщение 21.08.2009, 17:21
Сообщение #29





Группа: Старые пользователи
Сообщений: 665
Регистрация: 15.06.2005
Из: ENELIS
Пользователь №: 1,368


Репутация: 223


во-первых для начала нужно отклонить все неправильные/некорректные с точки зрения RFC пакеты различными правилами.
затем можно pf synproxy (но не очень стабильное решение),
и нужно расширить syncache

syn таймаут не имеет смысла имхо без подсчета норм соединений против syn timeout и бана (запрета соединений) и то легитимный траффик имеет возможность попасть в бан, а это не хорошо.

Сообщение отредактировал ENELIS - 21.08.2009, 17:22
User is offlineProfile CardPM
Go to the top of the page
+Quote Post
Corneliy
сообщение 30.09.2010, 23:45
Сообщение #30





Группа: Старые пользователи
Сообщений: 1
Регистрация: 30.09.2010
Пользователь №: 12,612


Репутация: 181


Можете посоветовать DDos устойчивый хостинг? Может-ли хостер отключить сайт, если на него идет DDos атака, хозяин сайта получается не виноват?
User is offlineProfile CardPM
Go to the top of the page
+Quote Post

2 страниц V  1 2 >
Reply to this topicStart new topic
1 чел. читают эту тему (гостей: 1, скрытых пользователей: 0)
Пользователей: 0

 



- Текстовая версия Сейчас: 19.03.2024, 10:35
Яндекс.Метрика