Обошёл нескольких хостеров с элементарной проблемой. На мой домен сыпется по 100-200 запросов в секунду. Отловить урода, который этим занимается с моей стороны просто не реально.... Я всего лишь обыкновенный пользователь и у меня нет ни каких возможностей для этого....

Все хостеры, с которыми я говорил, просили не переводить больше мой домен на их сервер. Максимально что могли предложить - выделенный сервер. Но он мне не по карману!!!
Хотя нет! В одной конторе предложили самому устранить источник флуда...
Жаль что у меня нет той программы, которая прикончила тех двух флудеров в нью йорке...
Господа, подскажите, как быть? Или я просто не тех хостеров выбираю???

Заранее спасибо.

а что у вас за ресурс с доменом?

всего лишь сайт www.сайт.net

Видимо, хостер имел в виду тематику и контент сайта

Тематики и контента ещё не было... я только перевёл на их сервер домен, а потом начался флуд по их словам...

это как так, только домен зарегистрировали и уже фулд начался?
может быть скажете имя домена и содержание ресурса?

Вам правильно советуют насчёт выделенного сервера.

и его точно так же положат. хоть серверной дуал ксеон будет. апач положить такой атакой которая сейчас идет - как нечего делать.
выделенный сервер тут может помочь только если сменить апач на что нибудь более защищенное в этом плане, например на связку апач + сквид или апач + нингкс

Leahcim

деньги на выделенный сервер найти при вашем положении как нечего делать , берете заказ у любого ****** на то что бы ****** другого на ***** ******** *******, и вот вам деньги

а что касается домена, не легче зарегистрировать такой домен о котором флудеры не знают? и жить себе спокойно...

некотрые слова заменил на *****, что бы не распространять способы нечестного заработка, на своем горе

Народ, вы кажется меня не поняли...
Мне не нужен выделенный сервер! Тратить деньги на него для меня не позволительная роскошь!
И потом, все разговоры на подобие, "а вы смените тарифный план и будет лучше" япрекрасно понимаю. Хостеры просто хотят заработать денег. Вопрос-то так и остаётся открытым.
Кто из ныне присутствующих на рынке хостеров может(умеет, желает) бороться с флудом и ДДОСами???

ЗЫ. Если у кого-то есть желание побадаться с моим случаем, называйте свою компанию - перенесу домен к Вам!
Хотя я так понимаю, что взять такой геммор на свои плечи никто не согласится.

ЗЗЫ. А причину флуда я кажется начинаю понимать. Этот домен раскручен и известен в определённых кругах, теперь видимо кто-то решил его отбить...

Отлично вас понимаем, и присутствующие тут хостеры предлагают вам наиболее оптимальное решение…


По-моему нормальное желание… или оно у вас отсутствует?


никто.... фулд такая штука что пока он сам не прекратится лучше не станет.



=)


лучше поздно, чем никогда...


и какоё все-таки домен?

И правда, ситуация такая, что хуже уже не будет

Может, все-таки его назвать, и кто-то приютит Вас с известным доменом - хотя бы для престижа

Приютит....
Яхотел поинтересоваться, в состоянии кто-нибудь вообще решать у нас подобные проблеммы не перекладывая их на плечи пользователей или нет. Всего навсего...
Но механизм, как я вижу отсутствует...

Весьма печально.

механизмы есть железные... стоят от 20к$ фильтруют около 20000 запросов в секунду... хотя любой канал можно забить...

Умеют но никто не желает, так как это стоит дороже чем выделенный сервер. И если у Вас нет на него денег, то у хостера их тоже нет.

Для хосетра в случае ДОС атаки главное чтобы как можно меньше страдали остальные клиенты, это раз, а во вторых для нормального отражения средненькой ДОС атаки нужен отдельный сервер, на котором нет сайтов других клиентов и к которым также идут запросы и на которые тратятся ресурсы. Для нормального отражения крупной ДОС атаки нужны .. большие каналы, желательно иметь аппаратные распределители нагрузки ну и, разумеется, кластер из кучки или кучищи серверов, иначе ничего не выйдет.

А вы, Leahcim, хотите чтобы все (клиенты, сайты которых делят с вашими сайтом один и тот же сервер) страдали, лишь бы хостер делал вид что пытается вам помочь?

Рустам, зачем передёргиваете?
Я просто делаю вывод что на текущий момент ни хостеры, ни их провайдеры не хотят, либо не умеют бороться с проблемами флуда и ДДОС.
ибо по моему разумению борьба с этими явлениями прерогатива более провайдера, нежели хостера. Ведь нашли способы борьбы со спамом. А почему теперь нельзя создать некий RBL для флудеров и т.п. субъектов?
Да потому, что лень!

Это вы передергиваете, и хотят и могут, но вам это не по карману.

Надеюсь, что пример автора темы - чисто теоретический - и что конкретно мои сайты тоже такой атаке не подвергнутся

Но все-таки интересный расклад - неужели организовать такую атаку ничего не стоит в финансовом смысле - а, чтобы противостоять ей, нужны безумно дорогие средства?

Как, в таком случае, до сих пор еще все друг друга не заатаковали

Ведь, по военной философии , при атакующих действиях требуется втрое больше ресурсов, чем при обороне - а тут, наоборот, в выгодном положении - тот, кто атакует

А как вам видится грамотная распределенная атака? Это просто большое количество запросов к сайту, причем зачастую запросов корректных с любой точки зрения.

А грамотное ее отражение? Важно чтобы реальные посетители атакуемого сайта ничем не замечали то, что сайт атакуется, т.е. надо правильно обработать все запросы. Чтобы обработать все запросы, т.е. все запросы от реальных посетителей сайта, пусть даже их меньше процента от общего числа запросов, надо обладать соответствующими вычислительными мощностями.

А методах и способах атак я не буду ничего говорить, это тема не для этого форума.

А по-моему проблема надумана.

Пример:
Дано 100 корректных запросов на ВЕБ сервер. в секунду с одного хоста = флуд.

На потерпевшем:
Анализатор проходжения запросов + отправка статистики к корневому провайдеру о возможной атаке с просьбой залочить необходимые хосты.

На провайдере:
Система, которая корректно примет этот запрос и выполнит действия по блокировке проходящего к потерпевшему трафика.


И В ЧЕМ ТУТ СЛОЖНОСТЬ?!?!?
За 10 лет работы программером убедился в одном - 90% всех проблем создаются искуственно для обогащения либо просто надуманы!

А распределенную атаку.. когда в течении 10-15 минут нет ни одного повторяющегося адреса, но тем не менее идет по 1000 запросов в секунду придумали тоже для зарабатывания денег?

думаю что атака которой подвергся наш сервер, стоила атакующиму гораздо дороже чем для нас затраты на ее отражение, создать распределенную атаку.. когда в течении 10-15 минут нет ни одного повторяющегося адреса, но тем не менее идет по 1000 запросов в секунду с разных айпи из разных подсетей, представьте себе сколько компбтеров и серверов нужно задействовать в ддос атаке, потом заплатите каждому серверу хотя бы по 1$ за день ддоса, вот вам и цена которую платит аттакующий

Не спорю, дорого, но эффективно, плюс возможность syn атаки с подменой адреса, тут интенсивность бывает и повыше, чем 1000 запросов.. тут и 50 000 бывает, причем подмена адреса позволяет атаковать с 1 компа (но легко отслеживается согласованными дейсвиями всех сквозных провайдеров, но бывает трудно эту работу согласовать). Кроме того сеть из ДДОСеров может досить сразу кучу серверов.

Хорошо хоть, что дорого - а то я был в шоке, когда прочитал на этом форуме, что клиент, недовольный обслуживанием в плане за 5 долларов, угрожает полностью заддосить довольно крупного хостера
http://forum.hostobzor.ru/index.php?showtopic=1611

зачем платить когда можно использовать затрояненные компы?

Клиент сам создал провайдеру проблемы и печалится от того, что провайдер не хочет их решать забесплатно.
Ничего удивительного - обычный подход стандартного клиента.



Ага, также как и то, что 90% времени обычно уходит на обьяснение сути самой задачи тому самому программеру

текущая атака не направлена против кого то конкретно. судя по многочисленным похожим случаям отбор идет то ли случайно то ли по каким то ключевым словам. так что данный конкретный клиент может быть ни в чем и не виноват.

Для организации атаки используются зараженные компьютеры, они не стоят владельцам ни копейки.

А военная философия тут не очень то и применима.

Угу, тут не позиционная война когда сидишь в опоке и на тебя прут, тут отстрел беспечных граждан из снайперской винтовки. У кого-то хотя и есть бронежилет и телохранители, но не больно то они спасают, когда ты всегда на виду.

Ну вопервых 100 запросов с одного хоста можно срезать строкой в файере и это не флуд.
Флуд - это когда 100 000 запросов с разных IP. Причем адреса поддельные и их не залочить.

Вы за 10 лет пробовали написать какую-то сетевую подсистему?

Чтож, может я неисправимый идеалист, но вразумительных ответов я здесь услышал очень мало. Чтобы окончательно стало ясно, за последнее время я провёл некое расследования по своей проблемме.

1. Валят мой домен целенаправленно, причём с разных хостов одновремменно 100-200 запросов только с одного, а их там не меньше десятка... Так что это более похоже на конкурентские происки, догадываюсь даже чьи, однако прямых доказательств нет.

2. Борьба с подобными случаями на 99% зависит от самих хостеров. Не надо решать технические проблемы политическими и стратегическими методами, чем тут пытаются все заняться. В большинстве случаев - это ущербная тактика. Поверьте мне, как человеку, проработавшему 5 лет в сфере ISP.

3. Чтобы реализовать нормальный централизованый сервис защиты од ДДОС Д* нужен лиш нормальный руководитель, вменяемый программист (ориентирующийся в сетевом программинге) и желание оконечных провов(а оно я думаю будет) на сотрудничество. ВСЁ!

Остальные аргументы, извините, пока склонен воспринимать, как отмазки от своей несостоятельности в решении данной проблемы. Хостинг -это та сфера бизнеса, где ты либо работаешь - либо нет! Как говорится, взялся за гуж, не говори, что не гож.

А помочь мне всётаки смогли, естесственно я оговорил, что на мой домен совершаются атаки. Админ оказался весьма вменяемым и приятным в разговоре человеком. Потестили мой домен на их площадке. Всё ок. У людей есть и програмные и железные средства для борьмы с моим случаем (ДДОС). И я думаю, что это не фикция. Иначе бы не согласились, увидев 3 мб. логов за первые полчаса.

ИМХО в данном случае всётаки хостеры должны быть готовы заранее для борьбы с такими ситуациями. В противном случае, для мелких сайтостроителей, наподобие меня. Такие ДДОС и флуды не оставляют выбора, кроме как закрыть свой проект, т.к. перейти на выделенный стеревер это непозволительная роскошь.

Чем закончится мои мытарства, и как звать прова смогу сказать позже, после того как зарегюсь и поставлю сайт.

А так, большёе всем спасибо за Ваши мнения.

Цену вопроса озвучьте... пожалуйста.

2. Зависит от желания и техвозможностей вышестоящих провайдеров.

3. Желания и руководителя мало. Так же как и программиста. Или Ваш аплинк дает программировать его девайсы чужому программисту?

Сразу разделите её на колличество обслуживаемых Вами пользователей
И не надо мифйов о том, что это надо только одному!

Делить то пока нечего. Цену-то Вы не назвали.

А Вы цену озвучьте, тогда и будет ясно надо ли это кому-нибудь кроме Вас

Возьмите для начала любое стандартное решение. Да хоть ту же Cisco IDS.
Вот Вам и цена...

ЗЫ. А кто у нас тут хостер???

Если Вы не будете называть цену за решение которое Вам было предложено, то так и скажите. Что за странные игры в разделите/найдите/сложите/возьмите?

Члены клуба тут хостеры в меру нашего понимания. И некоторые вроде просто адрес своего хостинг-сайта в профиле указывают. На группу которой принадлежит пользователь смотрите. А что?

Таак. Значит если я куплю CISCO IDS и поставлю коробку на сервер - DDoS тут же прекратиться?

притом что циску ставить ради одного сервера не имеет смысла никакого. и даже там где она стоит (как минимум зашишая кабинет), настраивать ее под атаку конкретного домена - ну это очень добрый админ видимо, либо очень башлевый клиент.
в 99% случаев атака организуется не просто так.

вы знаете об этих 99%?
давайте продолжим в пи дабы не провацировать пиплесов...

об этом конкретно нет я просто подумал что человек под раздачу подал которая сейчас идет на тему всевозможных *invest* *e-gold* *egold* *hyip* и т.п., но, видимо я ошибся.
да и эта атака фильтруется, но, никакая циска там не нужна, нужен сквид или ningx а это плохо сочетается с спанелями и т.п.

удачного вам попадания под атаку



вы спросите ресолве как он боролся как жто было и какие последствия...

а зачем? что делать понятно, как делать тоже ясно, вопрос только в том стоит ли этим заниматься или нет. а последствия и сейчас наблюдаю - вот не далее чем сегодня утром опять видел.

не мне вам подсказывать что делать...



удачи...

Сегодня отключили несколько серверов наших клиентов, замеченные для использования под прокси серверы и т.д. и т.п. в согласии с нашими правилами и договором который опубликован на сайте

от нарушителя сразу посыпались обвинения в нашу сторону и угрозы, что если не вернем манейбак задосят наш сайт, биллинг и всех наших клиентов, в том числе и две наши подсетки о которых они знали (точнее где стояли их сервера и сервера других клиентов)

Денег конечно ни кому возвращать не стали и даже более того **не собираемся**

Часть угроз уже привратилось в реальность, посыпалась массированая распределенная ДДОС атака на два домена resolve.ru & spb-host.net (головной сайт и сайт биллинг)

Апаче свалился в на вторую минуту после старта флуд атаки.

С которой мы в принцепи довольно быстро справились, ушло два три часа, что будет дальше не знаем :-), знаем что даже если и доберутся до некоторых наших клиентов отобъем атаку точно также в короткий срок, но с другой стороны я рад теперь тому, что скрипт вывода урл клиентов на нашем сайте до сих пор не работает.

Это для нас теперь не только вопрос конфиденциальности данных о клиентах, но и вопрос безопастности этих клиентов в подобных случаях.



свои скрипты пишем, в зависимости от вида флуд атаки.. + фаерволы

а последствия к сожалению самые плохие для нас как и для любого хостинга



недовольные клиенты, + упущенная выгода не только наша, но и клиентов
других последствий пока не наблюдалось на нашей практике

Хм. А нельзя сделать так что сайт просто не будет пинговатся, тоесть будет работать токо ХТТП протокол? В яндексе так часто делают когда их достят

это не поможет от атаки когда флудят некооректными запросами на 80 порт. и тем более когда корректными. запросы то направляются по домену в таком случае.

Но от ДОС атаки так можно отбится?