На форуме запущен Anti-DDOS v2.0
Создана: 26 Ноября 2011 Суб 20:38:00.
Раздел: "Новости"
Сообщений в теме: 42, просмотров: 18556
-
Поскольку DDOS на форум возобновился с новой силой, пришлось реализовать некоторые новые идеи, получившие условное название Anti-DDOS 2. Теперь атакующие IP-адреса отправляются в бан значительно быстрее. Коды "ускорителя банов" опубликованы, так сказать, на благо человечества.
-
-
AlexAdmin писал : Кто получали 403 код, это была небольшая ошибка,сейчас уже этот список очищен.
И вообще, по замыслу, код 403 никто получать уже не должен: если айпишник забанен, то для него форум просто недоступен вообще, даже пинг не пройдёт.
Слава всемогущему и справедливому -
-
Коды "ускорителя банов" опубликованы, так сказать, на благо человечества:
[внешняя ссылка] -
-
-
А есть программы, которые на заражённых компах высвечивали типа "Ваш комп заражён и в системе атакует сайты интернета! Очиститесь от вирусов!"?
Раз атака с них возможна, значит и вывод информации на монитор - тоже. Тем более известны все IP адреса.
А иначе работает только пассивная защита без урона нападающей армии. -
138751 писал :А иначе работает только пассивная защита без урона нападающей армии.
Нападающая армия - это огромная толпа тупых домохозяек, которые пожалели денег на антивирус или установили жалкое подобие антивируса.
Включить мозги им поможет только если комп сам отформатируется, и то ненадолго будет профилактика - через пару дней нахватают вирусни и опять станут владельцами зомби-компьютеров. -
-
AlexAdmin писал : Коды "ускорителя банов" опубликованы, так сказать, на благо человечества:
[внешняя ссылка]
Интересно, почитал
А что насчет остальных видов атак: SYN, UDP, ICMP? или такие атаки очень редкие?
Предложение: чтоб случайно не банить людей возможно показывать непробиваемую. ботам каптчу на первое время, например 5-10 запросов. Если код введен неверно или вообще не введен то уже потом ip банится.
Добавил:
от SYN вот что нашел
[внешняя ссылка]
[внешняя ссылка] -
boss_lexa писал :А что насчет остальных видов атак: SYN, UDP, ICMP? или такие атаки очень редкие?
Насчёт SYN это решается подкручиванием параметров в sysctl.conf
тут Nuclearcat в этом спец оказался, подсказал как.
Что касается UDP и ICMP это решается увеличением количества фронтендов. Сейчас их 7, это значит атакующим надо запустить в 7 раз больше мощность чтобы завалить их по UDP или ICMP. То есть в этом плане перспективы атаки практически никакие.
boss_lexa писал :Предложение: чтоб случайно не банить людей возможно показывать непробиваемую. ботам каптчу на первое время, например 5-10 запросов. Если код введен неверно или вообще не введен то уже потом ip банится.
Во-первых, даже теоретически это не очень красивое решение - приходит, например, человек по ссылке, а ему вместо контента - "вводи капчу".
Во-вторых,не очень понятно как это реализовать технически. По-идее, фронтеды надо научить работать в таком режиме, чтобы незнакомые IP-адреса обрабатывались одним алгоритмом, а знакомые - другим, ну я не знаю как это сделать стандартными средствами того же nginx.
Теоретически, возможно развить систему NG-13 и научить процесс adw.php помнить все текущие IP-адреса, актуальные для на фронтенда, в памяти в массиве, и реагировать следующим образом:
А) если появился незнакомый IP-адрес - посылает информацию о запросе с этого IP на сервер, управляющий антиддосом. А также все последующие запросы с этого IP посылает на антиддос-сервер, до тех пор, пока тот не пришлёт в ответ решение, что с этим IP-адресом следует сделть.
Б) управляющий антиддос-сервер по сколь угодно сложному алгоритму анализирует поступающую информацию об этих запросах и решает, чего делать с каждым новым IP-адресом, и принимает решение:
-либо IP забанить (посылает NG13-бан на все фронтенды),
-либо IP занести в список "знакомых IP" (посылает NG13 запрос на "отмену слежения"за этим IP)
Если IP вошел в список знакомых IP, то фронтенд перестаёт пересылть информацию о его запросах на антиддос-сервер.
Таким образом все новые IP-адреса будут на особом контроле. Как правило, атакующие боты не умеют "втираться в доверие", а стараются наоборот действовать по принципу "как выскочу да как пошлю кучу запросов!!", и поэтому враждебность адреса выявляется очень быстро.
Но вообще это уже идеи для атак масштабом в 50К ботов и более, нам пока хватает тех решений которые есть))
Хотя сама идея вынести антиддос на отдельный сервер мне кажется весьма перспективной - во-первых,это снимет задачу самозащиты с бэкенда и не будет отнимать у него ресурсы, а значит алгоритм антиддоса можно сделать гораздо более сложным и ресурсоёмким. А то получается что ддос атакует сервер на отказ ресурсов, а тут ещё мы антиддосом его нагружаем.
Во-вторых,это будет особенно эффективно при топологии "много фронтендов - много бэкендов", поскольку информация обо всех IP будет обрабатываться централизовано, а не разрозненно.
В общем, это идеи для АнтиДДОС v3
-
с каптчей не очень понял идею, как она сможет предотвратить ддос, спам и прочую шляпу - пожалуйста.
читать про ддосы интересно, а тут бац! и вот оно, прям перед носом. спасибо за подробные мануалы.
алекс админ - мужичище.
бороду бархатистую и свитер ворсистый Вам.