Перейти к содержанию
Сергей Ильин

DDoS или не DDoS?

Recommended Posts

Сергей Ильин

Сегодня около 6 вечера наш сайт упал, возвращал ошибку 502 или 504. Хостер указан на возросшее кол-во обращений и подозрение на DDoS. При этом сотрудник хостера утверждать точно не взялся, а рекомендовал поизучать логи.

Сейчас сайт стал грузиться (после временного запрета всех соединений) и некоторой настройки. Но боюсь, что если это все же DDoS, то атаки могут возобновится.

В целом вопроса 2 и они совсем не "Кто виноват?" и "Что делаеть?".

1. Меня смущает, что хостинговые компании в России до сих пор не обзавелись оборудованием для защиты DDoS.

2. Как обстоят дела с подпиской на сторонние сервисы защиты от DDoS, насколько это оправдано на постоянной основе.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
akoK

Сначала в логи посмотреть нужно, а потом уже решать :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин

По логам я лично ничего подозрительного не вижу. Вполне обычные запросы, все время разные страницы, разные файлы, разные IP и системы.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
CatalystX

Сейчас ботнеты все больше пытаются быть похожи на людей. Вполне возможно, что для этого ботовод задал несколько целей на сайте.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин

Больше всего в этой истории меня запомнится ответ суппорт-инженера хостинговой компании. На мой вопрос "Что делать с DDoS?" он ответил примерно следующее "Не знаю ... сами думайте, анализируйте, кому вы дорогу перебежали или кому насолили" :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Кирилл Керценбаум

Сергей Ильин как насчет Kaspersky DDoS Prevention, не хочешь попробовать ;)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
amid525
Больше всего в этой истории меня запомнится ответ суппорт-инженера хостинговой компании. На мой вопрос "Что делать с DDoS?" он ответил примерно следующее "Не знаю ... сами думайте, анализируйте, кому вы дорогу перебежали или кому насолили" :)

Матушек? )

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
K_Mikhail

Да-да, атака с контролируемого ботнета -- попытка отправить команду на уничтожение системы АМ. ^_^

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Danilka

Да, точно, все сходится. :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин
Сергей Ильин как насчет Kaspersky DDoS Prevention, не хочешь попробовать wink.gif

Хотел было вчера уже подключиться, но во-первых попробуем решить проблему сами, а во-вторых сервис стоит денег, а мы не жируем и лишних их нет :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Кирилл Керценбаум

Ну что, отбили очередную атаку? Сильная была?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
sbelow

Кстати, сегодня во второй половине дня AM был недоступен.

Возможно проблемы взаимосвязаны.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин

Удалось восстановить работу, попутно сменили DNS-сервера. Ребята из rt.com мониторят ситуацию.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
CatalystX

Похоже атакуют школьники с помощью орбитальной пушки анонимусов. Уж очень слабые атаки, после нормальной атаки, даже если она была завершена пару часов назад, сайт очень медленно грузится.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин
Похоже атакуют школьники с помощью орбитальной пушки анонимусов. Уж очень слабые атаки, после нормальной атаки, даже если она была завершена пару часов назад, сайт очень медленно грузится.

Скорее всего так оно и есть. Плохо, конечно, что мы не очень оказались готовы технически к такому. Сильно выросли из текущего хостинга.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Burbulator
Скорее всего так оно и есть. Плохо, конечно, что мы не очень оказались готовы технически к такому. Сильно выросли из текущего хостинга.

Это вчера на форуме drweb опубликовали ссылку на ваш сайт с острой темой http://forum.drweb.com/index.php?showtopic...st&p=594471 вот вы и не выдержали популярности :D

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин

Атаки начались не вчера. Они начались во вторник. Так что дело не в наплывшем трафике с сайта доктора. :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
akoK

Если хостер позволяет, то можно посмотреть в сторону

http://habrahabr.ru/post/141989/

Или в сторону CDN прокси который будет отсекать слабые атаки.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Создайте учетную запись или войдите, чтобы комментировать

Вы должны быть пользователем, чтобы оставить комментарий

Создать учетную запись

Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!

Регистрация нового пользователя

Войти

Уже есть аккаунт? Войти в систему.

Войти

  • Сообщения

    • SemenovaI
      Отзывы читать надо путешественников и уже согласно их мнению ехать отдыхать. Мы так с мужем в Болгарию летом съездили, сначала я изучила впечатления туристов об отелях, кафе и уже тогда выбрала маршрут и забронировала гостиницу. На Букинг зайдите там много всего интересного почитать можно. Кстати, бронировала отель используя кэшбэк https://letyshops.com/shops/bookingcom мне понравилось. Недорого так заплатила за номер, который сняли на пару недель. 
    • Зотов Тимур
      Ой, понимаю, банька это сила. Тоже на даче хочу построить, а то так понравилось отдыхать с мужиками, с пивком и девочками http://prostitutkichelyabinskaxxx.com/ , после горячего отдыха еще и в бассейн прыгнуть... Красота.
    • demkd
      это просто id задачи в кэше он будет виден только в ссылках или не будет виден, я уже не помню, в любом случае оно не представляет интереса.
    • PR55.RP55
      В теме к сожалению работали с устаревшими версиями uVS .4.0 В uVS  запись: C:\PROGRAM FILES (X86)\GOOGLE\CHROME\APPLICATION\CHROME.EXE C:\WINDOWS\SYSTEM32\TASKS\{B3F8DFD8-6BC7-3786-4E00-E03FE910D91A} ------------ В FRST запись: Task: {0EA205A7-5227-418F-A262-BBF8FD9349B0} - System32\Tasks\{B3F8DFD8-6BC7-3786-4E00-E03FE910D91A} => "C:\Program Files (x86)\Google\Chrome\Application\chrome.exe" hxxp://nbsallastar.com/cl/?guid=y92wjhgqs5boj6xi0hl7thkb6nfjreyg&prid=1&pid=4_1106_0 {0EA205A7-5227-418F-A262-BBF8FD9349B0}  - нет {B3F8DFD8-6BC7-3786-4E00-E03FE910D91A}  - есть Да, актуальная версия должна бы это увидеть. Из Fixlog "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Plain\{0EA205A7-5227-418F-A262-BBF8FD9349B0}" => removed successfully
      "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{0EA205A7-5227-418F-A262-BBF8FD9349B0}" => removed successfully
      C:\Windows\System32\Tasks\{B3F8DFD8-6BC7-3786-4E00-E03FE910D91A} => moved successfully
      "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\{B3F8DFD8-6BC7-3786-4E00-E03FE910D91A}" => removed successfully
    • fafa
      Но именно от плохих водителей оно именно защитит. По крайней мере если водитель будет ехать и не пропускать ни одной ямы, то ни какая ходовая не выдержит. Так, что давайте просто лучше водить, и тогда пленка не надо.
×