Ситуация такая. С определенного ip-адреса несколько дней подряд производилось примерно по 1 млн. запросов к моему сайту (к форуму). Запросы явно сгенерированы программой, создают заметную нагрузку на mysql и трафик.

Этот ip-адрес используется клиентом определенной компании, размещающим свой сервер. Я пару раз написал в поддержку о проблеме с приведением логов и комментариев. Примерно неделю назад. Тикет пришел, ответ - нет.

Вряд ли предоставленные данные проверяются неделю

Поэтому вопрос:
Что провайдеры коло (речь о достаточно крупной российской компании) обычно делают, получив подобную жалобу на своего клиента:
а) игнорируют
б) делают клиенту "последнее китайское предупредение"
в) разрывают договор с клиентом

?

P.S. На самом деле, большой проблемы в этой "атаке" нет, но раз виновный замечен в логах, хочется как-то развить тему.

C российскими не доводилось общаться, а вот зарубежные принимали меры, расценивая это как ДДОС. После жалобы подобные ситуации не повторялись, не знаю уж какие там меры приняли.

У нас тоже такое было у хостера, нечто вроде такого. Принятые меры (судя по всему) выражались в блоке IP или подсетки IP на файрволле, со всеми вытекающими

скорее всего



у провайдера договор с клиентом, а вы для него никто. если на ваш сайт проводят атаку, нанося вред, то существуют правоохранительные органы. кстати, это была именно атака, или попытка выкачать форум роботом?

p.s. а что вам мешает просто закрыться от этого IP ?

Репорта Network Abuse достаточно. Дальше дело его совести.

У нас, последнее время, стали постоянно флудить WAP-чатики клиентов но не разу не один владелец сервера с которого флудили не уходил в мороз!

странная позиция для любых провайдеров. если поступает жалоба с прилагаемыми доказательствами, то обязаны принять меры от кого бы эта жалоба не поступила. меры вполне адекватные - предупреждение, при повторной жалобе закрытие аккаунта за создание помех в работе другим узлам. насколько я помню даже статья в УК такая есть, так что нет проблем.
Пожаловаться можно в обычном порядке - на лицензированных провайдеров - в надзирающие органы, на нелицензированных - вышестоящему провайдеру а если и тот не принимает меры - то опять же в надзирающие органы.

Жаль, что флудят обычно из Штатов и китая. А до их надзирающих органов тяжело достучаться

Вот, кстати, момент. В Китае вроде бы достаточно жесткое правосудие (если судить по желтой прессе), почему так тяжело до них достучаться в таком случае?

rustelekom,


Если я сгенерю лог на вас, скриптом на перл написанным за 5 минут, для вашего провайдера это будет являтся доказательством что вы устроили DDOS атаку?

Мне каежтся что именно на то и нужны правохранительные органы, которые должны собрать реальные доказательства, а не просто работу любого программиста за 5 минут!

Поэтому и провайдеры и датацентры не могут в данном случе объективно выступить кроме случаев когда они сами такой паразитный трафик не заметят!

Естественно, сам по себе лог не может являться доказательством. Но неужели провайдеры никак не мониторят трафик клиентов и не имеют воможности проверить такую информацию? В игнорирование жалоб я верю, а в беспомощность - как-то нет

"Кто будет сторожить сторожей" (с) ... или точнее - какие же ресурсы нужны ДЦ (например) для мониторинга траффика всех серверов расположенных у него? В своё время в газетках была даже инфа, что сорм в России не работает на полную, из-за того что просто не хватает средств перехватить и обработать всё что хочется, в принципе - в чем-то вериться.

Да я собственно тоже их клиент... находящийся в некотором недоумении...


Атака, точно. Запросы на редактирование сообщений с предварительно украденным паролем. Непонятно только, почему их миллионы. Видимо, глюк.

А насчет правоохранительных органов - это как? Пойти в милицию написать заявление? Распечатать лог?


Ничего. Необходимые меры с моей стороны приняты. Это не дос и не очень мешает, поэтому любопытно последить за дальнейшими действиями. К тому же, безнаказанность только провоцирует.

Гм... да я проблем не вижу (хотя в этой области у меня только теоретические познания ). Например, можно хранить заголовки, а полностью трафик - по необходимости для определенных клиентов.

А то что получается... а получается, что можно за небольшую сумму арендовать сервер в московском ДЦ и спокойно флудить?

видимо да.
не знаю как в россии, но что касается штатов, если это нормальный дц за такой флуд без проблем не только виновный акк закроют но и сервер могут прибить. притом что подделать конечно можно все что угодно, но отличить нормальный скрипт от флуд генератора мне кажется даже у американцев ума хватит.

Думаю, что если бы я жил в америке и заключил бы грамотный договор с датацентром они бы меня за какую-то жалобу с логами не известного происхождения врядли бы отрубили!

А теперь вопрос на засыпку для тех, кто арендует или ставит свои сервера в датацентрах европы и штатов, у кого есть письменный договор с ними при этом нотариально переведенный с печатями, чеками, квитанциями?

Почему-то мне кажется что из сотни хостеров арендующих там сервера максимум у одного - двух есть такие бумажки и именно их сервера не отрубают не обосновано за надутую жалобу!

В большинстве случаев в США и Европе бумажки не требуются, там уже достаточно давно законодательством признается электронный способ заключения договора.

Сервера отрубают в соответствие с tos, т.е. правила пользования. Они едины для всех, для клиентов любых стран и любых форм заключения договора.

Разница в том, что если бумажки есть - то позвонят и скажут - отрубаем сервер. А если нет - то могут молча рубануть.




В США мониторят трафик. Попробуйте поставить осла и раздать с сервера в штатах чтото нелегальное, например MS Windows - и можете засекать время чтоб узнать когда вас "попросят".

и вообще. ну почему когда ставится конкретный вопрос на него отвечают уклончиво. звучит примерно так - а почему у вас стоит мускуль 3.23 - а потому что он стабильный, мы его пользуем в течени многих лет, новомодности нам даром не нужны, что там клиенты говорят нам по барабану, да и вообще такие вопросы задают только идиоты, вроде тебя...
спросил же человек конкретно - что вы будте делать если с вашего сервера устроят на кого то флуд? и ждет конкретного ответа - будем расследовать и в случае виновности - наказывать. либо - нет заниматься яигней не будем, нам клиент не мешает, органы нас не дергают, а ваши проблемы нас не колышат. вот и все что требовалось сказать. остальное все чистой воды словоблудие - а что такое флуд, а можно ли его доказать, а кто ты вообще такой чтобы жаловаться, детский сад прям.

Про сервер не знаю, есть подобный опыт (как админ сети) с выделеными каналами:
Совинтел просто прикрыл IP взломанной машины ( на самом деле одного из роутеров за которым стоял ноут в с трояном) отослав email, факс, да еще и позвонив.
Макомнет - позвонили и сказали - у вас там проблема с ... решите или через скоро отключим.

Судя по тому что и как говорили совинтеловцы - они таки после жалобы помониторили этот трафик.