Разное

Здравствуйте.
Сделали интернет-магазин, который на порядок лучше, чем у конкурентов.. Сегодня сайт заблокирован DDOS-атакой. Сталкиваюсь с этим впервые. Сайт размещается на обычном хостинге. Что делать?

Если дадите ссылку - посмотрим.

Что там смотреть, ошибку 403?

Как я понял защита от DDOS, должна быть на уровне сервера.

1. Стоит ли оставаться на обычном shared-хостинге? И если стоит, что должно быть у хостера?
2. Если не стоит, куда можно переехать?

PS Задали тот же вопрос хостингу, интересно, почему он молчит?

По личному опыту могу сказать, что Amazon EC2 превосходно справляется с DDOS.

А что лучше выделенный сервер или такой хостинг?

на выделенном сервере канал такой же 100 мбит, так же ляжет, можно взять с каналом 1гигабит... А вообще от лома нет приёма, тем более ддос уголовно не наказуем

>ддос уголовно не наказуем
Без бот-нет сетей DDOS невозможен, а это уже подсудное дело.

>А вообще от лома нет приёма, тем более ддос уголовно не наказуем
Запросто. Закон можно повернуть куда угодно. Важно лишь кто это делать будет :) Я вот, к примеру, стопроцентно знаю, как это сделать. И делали. Только там все по принципу "восток - дело тонкое и дилетантов не терпит". И нужна совокупность методов, направленных на нейтрализацию противника.
Другое дело, что когда сайт не на своем серваке, то добавляется дополнительное "слабое звено" в виде хост-провайдера. С которым нужно контачить, которого нужно принудить к тому, что ему придется поработать дополнительно (ему то на твой сайт плевать - он отключит его просто и всё - было у нас такое) и грозить ему самому очень внятно всякими уголовными карами.

угу вымогательство если имело место и распространение вредоносных программ две статьи и всего пару дел за 10 лет. недоказуемо (логи косвенные доказательства(легко изменить/подделать), если сам не признаешься что это да ты делал, то и ничего тебе и не будет)

>дополнительное "слабое звено" в виде хост-провайдера.

Нам ответили: мы отражением таких атак не занимаемся. Ищите стороннюю организацию. Про такие организации мы не знаем, Гугл в помощь.

Тогда посылайте лесом этих хостеров. И следуйте их совету — ищите другого хостера.

Странно, ddos-атаки - такой легкий и распространенный способ завалить сайт, а бороться с ним толком не научились.

Качественная атака - не такое простое дело. На коммерческий уровень злоумышленики вышли лишь несколько лет назад.

PS Вы логи смотрели - это действительно DDOS, т.е. запросы идут из множества мест? И добавляются новые после блокировки текущих IP-адресов.

Нет, сказал хост-провайдер. Там один access.log гигабайт весит :)

Похоже на DDOS. Хотя бы кусочек могли предоставить, может это с подсетки атака идет и весь вопрос в её блокировке.

Вот.

Ну да, достаточно кисло...

PS Кстати, адреса зарубежные. Не пробовали отсекать Океанию, Латинскую Америку и прочих прямо масками подсетей? Может .htaccess выдержит?

>Ну да, достаточно кисло...

Что значит кисло? Слабо?

Наоборот.

А почему в логе указан браузер? Человек не сам заходит на сайт? Или вирусу нужен браузер?

USER_AGENT передать в HTTP-заголовке не сложно, тут на форуме есть пару тем этому посвященных. А передают они его, чтобы их не отсекли по пустому USER_AGENT - это одна дополнительная строка в FireWall.

>PS Кстати, адреса зарубежные. Не пробовали отсекать Океанию, Латинскую Америку и прочих прямо масками подсетей? Может .htaccess выдержит?

Нет, никто не знает, где можно найти эти маски? Хотя хостер уже заблокировал домен.

Получить информацию можно через скрипт http://softtime.ru/scripts/whois.php. Он выдает whois-информацию по IP-адресу, страну, маску подсети, которая выделена провайдеру. Разумеется нужно выделять из лога наиболее популярные адреса, автоматически прогонять их через скрипт и формировать пул из масок, которыми не жалко пожертвовать.

Вообще .htaccess может не справится - обычно это на уровне FireWall-а делают. Желательно, чтобы перед основным сервером, стоял обратный кэширующий сервер, который бы с одной стороны выступал в роли кэша, а с другой имел на себе FireWall и принимал удар. Вот с ним и нужно работать, блокуируя обращения - против небольшого ddos-а можно устоять. Дальше идут пулы FireWall-ов, игры с DNS-ами, разделение трафика по странам (чтобы например, трафик из России шел по одному IP-адресу, а зарубежный через другой), железные решения. В общем существует до черта всяких придумок, но они требуют денег.

Нашел сервис, выдающий диапазоны ip-адресов по стране.

http://www.proxyserverprivacy.com/ipaddress_range.php

Тут программисту мало того, что .htaccess не справится, тут программист надолго завязнет :)

А вас зачем все-то адреса, вы по своим работайте - увидили в Whois-отчете, напротив Country MU, помещайте диапазон этого провайдера в .htaccess или в FireWall, если к нему имеется доступ.

Научились, причём очень давно. Просто далеко не все хотят вкладывать деньги на защиту своих клиентов. Чем мельче хостер — тем меньше у них денег (и мотивации) на содержание крупных или проблемных клиентов. Поэтому им говорят "Платите много денег, иначе заблокируем".

200-500 долларов в месяц стоит защита от досса

Лучше когда сам хостер берёт на себя обработку DDOS. В том же амазоне стоит, кажется, cisco guard. Они даже рекомендуют отключать встроенные в ОС фаерволы в связи с этим. То есть полностью берут на себя обработку доса и это не включается в цену за предоставляемые услуги.

PS
Конечно же включается, но цена не зависит от объёмов доса.

Спасибо.

Пока приняли решение на время атаки перенести сайт на другой хостинг, на другой домен. В будущем планируется выделенный сервер.

Даже никуда переносить не надо. Сайт доступен по техническому адресу :) А можно попросить хостера настроить перенаправление с основного домена на технический? Или тогда атака будет перенаправлена на технический домен?

Будет перенаправлена.

а поддомены решать проблему, у нас их бесконечное количество :)

На время-то конечно решат. Вопрос в том, сколько конкуретны заплатили и как долго будет идти атака и будут ли они переключаться на поддомены. Лучше посмотреть куда ударяют и если они не бьют в корень, как только начинает возрастать нагрузка - динамически изменять путь (но этим всем, конечно, лучше на выделенном сервере заниматься).

>На время-то конечно решат.

ммм... По техническому адресу сайт работает, но очень медленно.

>Вопрос в том, сколько конкуретны заплатили и как долго будет идти атака

Сейчас пиковый сезон продаж, скорее всего, на это время.

"Работайте" с конкурентами. Так как чисто "техникой" не всё можно решить. Иначе у Вас такие ddos-ы будут каждый "пиковый сезон продаж". Атака, оставленная неотмщенной, провоцирует новые атаки.

7 миллионов запросов в сутки, это где они столько компьютеров берут?

Покупают бот-нет сети, зараженные троянами (т.е. пулы зараженных компьютеров для них готовят другие люди за деньги).

Интересно, сколько стоит такая атака?

>Интересно, сколько стоит такая атака?
По разному совершенно. Диапазон цен огроменнейший. Что понятно. Так как сиё зависит и от того, кого атакуют, и кто за этим стоит и в течение какого количества времени атакуют...

Действительно, узнать сумму было бы любопытно.

Атакуют сайт интернет-магазина и за всем этим, очевидно, стоят его конкуренты. 7 миллионов запросов в сутки.

Что это может стоить?

>Что это может стоить?
Если Вы спрашиваете об это меня, а не "вообще", то конкретно применительно к данному случаю, я понятия не имею, каков ответ на сей вопрос :) Потому что тут всегда нужно идти от конкретики. Конкретики я здесь не знаю. А так знаю, что были случаи, когда масштабные атаки стоили 0 р. 0 коп., (понятно), а когда 10 млн. и выше. Диапазон цен широчайший. Здесь же еще и от хостинга многое зависит. Один хостинг можно "завалить" совсем хиленькой атачкой, а для другого потребуется огромное количество запросов.
...Я в подобных ситуациях делал так. Узнавал кто. Потом технари делали свою работу, а я, не обращая даже никакого внимания на то, что они там делают, звонил ребятам, прошедшим Афган, Чечню и еще много чего, и говорил "Мужики, поехали". И никаких атак после. ...Все было культурно, никакого мордобоя, - не подумайте чего дурного :) - мы просто объясняли людям, что за такую бяку, если они её ещё раз повторят, им будет бяка сильно бОльшая. Все всё понимали.

>...Я в подобных ситуациях делал так. Узнавал кто. Потом технари делали свою работу, а я, не обращая даже никакого внимания на то, что они там делают, звонил ребятам, прошедшим Афган, Чечню и еще много чего, и говорил "Мужики, поехали". И никаких атак после. ...Все было культурно, никакого мордобоя, - не подумайте чего дурного :) - мы просто объясняли людям, что за такую бяку, если они её ещё раз повторят, им будет бяка сильно бОльшая. Все всё понимали.

Хороший метод, но не всем доступный.

>Узнавал кто.

Проблема еще в том, как узнать, чтобы напраслину не возвести :) Хотя заказчик говорит, что догадывается о том, какой конкурент заказал атаку.

>>Хотя заказчик говорит, что догадывается о том, какой конкурент заказал атаку.
Работайте с конкурентами... Есть детективные конторы, есть частные спецы, которые в курсе, как такие вопросы решаются...
И с хостером работайте. Они тоже всё не с первого раза понимают. Просто нужно работать. Порою криком и угрозами. Если есть, конечно, чем или кем угрожать. Но понятно, что на техподдержке сидит там паренёк, которому Вы сильно по-барабану, грубо говоря. Ему плевать на Ваши сайты. Ему бы отсидеть и убежать к своей девахе. И на него надо, бывает, грубо рявкнуть, чтоб он понял, что если он не сделает, то, что я сейчас скажу, то завтра будет либо уволен, либо, если не хочет быть уволенным, то будет в порядке "штрафной" пахать столько, что на деваху у него сил уже не будет. Алгоритм примерно такой...

А сколько вы этим самым мужикам платили? ))

тоже нанять захотелось? ))

>А сколько вы этим самым мужикам платили? ))
Друзья на помощь бесплатно приходят и по первому зову.

Нисколько. Это ребята, с которыми я был в очень рисковых жизненных переделках. В том числе и на войне. И мы друг за друга - всегда. Я в тому году, очень для меня тяжелом в плане здоровья, когда мне позвонил товарищ и попросил помочь по медицинской части его сыну, несмотря ни на что встал и пошёл. И точно также знаю, что позвони я ему хоть в гроб - он и оттуда встанет, чтобы помочь. ...Не шутка и не метафора. У меня как-то была такая ситуация, что тот товарищ по моему звонку сбежал из больницы - из реанимации!. Нашел способ. Я не знал ещё в момент звонка, что с ним такая бяка произошла, а доктора, зная меня и его, принесли ему телефон. И он, дождавшись момента, сбежал... В тот ресторан, где я пил очередную Третью. Вот так... Поэтому мне деньги мужикам платить не нужно. Мне нужно лишь поднять трубку.

Атака длилась 6 дней: с 11 по 17 января.

Ну вот! Опять началось.

По желанию заказчика создали им зеркало на другом хостинге, на другом домене. Магазин оптовый, они без паники.

Если не сильно на базу данных завязаны, можно много зеркал создать (я встречал магазины, где их было до 100).

Завязан и сам сайт весит 1 гб.

Антон. Ещё раз. Если проблема уже так серьезна, то только на тех.уровне Вы её не решите. Поговорите с Заказчиком, и, если у них есть средства, пускай их выделят на
(а) четкую аналитику ситуации.
(б) разговор "по душам" с теми, кто будет выявлен после этой четкой аналитики.
Да, это стоит денег. Но. Иначе вы там все будете отражать эти атаки вечно. Другой хостинг и другой домен не спасут... Надо "зрить в корень". И устранять причину, а не бороться с симптомами.
Есть немало и детективных контор, в которых работают отличные спецы, есть и блестящие "волки-одиночки". Только Бога ради не нанимайте для решения сей проблемы чистых компьютерщиков для отражения подобных атак. Сколь бы высокопрофессиональны они, компьютерщики, не были. Ещё раз - такие проблемы только на тех.уровне не решаются. Никогда. В таких случаях нужны люди совершенно с другим складом ума и умениями.

> DDOS: что делать?
Первая мысль - вешаться!

Вот, совсем не приходило таких мыслей...

Нужно было написать "Вот...". Выглядело, как некое умозаключение :).
Ладно. Если обидел (буду удивлен), то простите.

Решили проблему с ДДОС?

>Решили проблему с ДДОС?

Атака продолжается.

Пока сайт по желанию заказчика рамещен на другом хостинге, другом домене. Передали заказчику слова МК о том, что нужно работать с конкурентами.

В будущем планируется разместить сайт на выделенном сервере.

Завалили зеркало.

У хостера сервер баз данных лег :)

Обратились сюда.. Сайт остался на прежней площадке, атаки прекратились.