Перейти к содержанию
Сергей Ильин

DDoS или не DDoS?

Recommended Posts

Сергей Ильин

Сегодня около 6 вечера наш сайт упал, возвращал ошибку 502 или 504. Хостер указан на возросшее кол-во обращений и подозрение на DDoS. При этом сотрудник хостера утверждать точно не взялся, а рекомендовал поизучать логи.

Сейчас сайт стал грузиться (после временного запрета всех соединений) и некоторой настройки. Но боюсь, что если это все же DDoS, то атаки могут возобновится.

В целом вопроса 2 и они совсем не "Кто виноват?" и "Что делаеть?".

1. Меня смущает, что хостинговые компании в России до сих пор не обзавелись оборудованием для защиты DDoS.

2. Как обстоят дела с подпиской на сторонние сервисы защиты от DDoS, насколько это оправдано на постоянной основе.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
akoK

Сначала в логи посмотреть нужно, а потом уже решать :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин

По логам я лично ничего подозрительного не вижу. Вполне обычные запросы, все время разные страницы, разные файлы, разные IP и системы.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
CatalystX

Сейчас ботнеты все больше пытаются быть похожи на людей. Вполне возможно, что для этого ботовод задал несколько целей на сайте.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин

Больше всего в этой истории меня запомнится ответ суппорт-инженера хостинговой компании. На мой вопрос "Что делать с DDoS?" он ответил примерно следующее "Не знаю ... сами думайте, анализируйте, кому вы дорогу перебежали или кому насолили" :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Кирилл Керценбаум

Сергей Ильин как насчет Kaspersky DDoS Prevention, не хочешь попробовать ;)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
amid525
Больше всего в этой истории меня запомнится ответ суппорт-инженера хостинговой компании. На мой вопрос "Что делать с DDoS?" он ответил примерно следующее "Не знаю ... сами думайте, анализируйте, кому вы дорогу перебежали или кому насолили" :)

Матушек? )

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
K_Mikhail

Да-да, атака с контролируемого ботнета -- попытка отправить команду на уничтожение системы АМ. ^_^

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Danilka

Да, точно, все сходится. :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин
Сергей Ильин как насчет Kaspersky DDoS Prevention, не хочешь попробовать wink.gif

Хотел было вчера уже подключиться, но во-первых попробуем решить проблему сами, а во-вторых сервис стоит денег, а мы не жируем и лишних их нет :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Кирилл Керценбаум

Ну что, отбили очередную атаку? Сильная была?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
sbelow

Кстати, сегодня во второй половине дня AM был недоступен.

Возможно проблемы взаимосвязаны.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин

Удалось восстановить работу, попутно сменили DNS-сервера. Ребята из rt.com мониторят ситуацию.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
CatalystX

Похоже атакуют школьники с помощью орбитальной пушки анонимусов. Уж очень слабые атаки, после нормальной атаки, даже если она была завершена пару часов назад, сайт очень медленно грузится.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин
Похоже атакуют школьники с помощью орбитальной пушки анонимусов. Уж очень слабые атаки, после нормальной атаки, даже если она была завершена пару часов назад, сайт очень медленно грузится.

Скорее всего так оно и есть. Плохо, конечно, что мы не очень оказались готовы технически к такому. Сильно выросли из текущего хостинга.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Burbulator
Скорее всего так оно и есть. Плохо, конечно, что мы не очень оказались готовы технически к такому. Сильно выросли из текущего хостинга.

Это вчера на форуме drweb опубликовали ссылку на ваш сайт с острой темой http://forum.drweb.com/index.php?showtopic...st&p=594471 вот вы и не выдержали популярности :D

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин

Атаки начались не вчера. Они начались во вторник. Так что дело не в наплывшем трафике с сайта доктора. :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
akoK

Если хостер позволяет, то можно посмотреть в сторону

http://habrahabr.ru/post/141989/

Или в сторону CDN прокси который будет отсекать слабые атаки.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

  • Сообщения

    • Ego Dekker
      Домашние антивирусы для Windows были обновлены до версии 17.2.7.
    • demkd
      ---------------------------------------------------------
       4.15.7
      ---------------------------------------------------------
       o Исправлена старая ошибка проверки ЭЦП: "Not a cryptographic message or the cryptographic message is not formatted correctly"
         проявляющаяся в некоторых системах.

       o Обновлена база известных файлов.

       
    • demkd
      ---------------------------------------------------------
       4.15.6
      ---------------------------------------------------------
       o Исправлена ошибка из-за которой автоматически не замораживались потоки внедренные в uVS,
         если их код НЕ принадлежал одной из загруженных DLL.

       o Добавлена поддержка английского интерфейса при запуске под Win2k.

       
    • demkd
      Иногда спрашивают, как загрузиться в командную строку без диска, я постоянно забывают дополнить Общий FAQ.
      И вот наконец-то я про это вспомнил:
      Q: Как запустить uVS с командной строки Windows без использования загрузочного диска/флешки для работы с НЕактивной системой.
         (!) Для текущей версии uVS работа с командной строки доступна только для 32-х битных систем. (что бы работало в x64 системах, нужно делать uVS x64 и это запланировано).
         1. Если у вас Windows 8 и старше, то запустите start.exe и нажмите кнопку "Перезагрузить систему в меню дополнительных параметров загрузки".
         2. Далее в меню "Поиск и устранение неисправностей->Дополнительные параметры->Командная строка"
         3. Выберите админскую учетную запись и введите для нее пароль.
         4. Запустите start.exe из каталога uVS с командной строки.
            (!) Обычно система расположена на диске D.
                Например: uVS лежит в каталоге С:\uvs (в командной строке это будет D:\uvs)
                Для запуска uVS необходимо последовательно набрать 3 команды, завершая каждую нажатием клавиши Enter.
                1. d:
                2. cd d:\uvs
                3. start.exe
         5. Выбрать каталог Windows (обычно D:\Windows).
         Если у вас Windows 7 и младше, то в меню вы можете попасть только нажав F8 при перезагрузке системы
         (!) Использовать msconfig для этого не рекомендуется, система может не загрузиться после его использования.
         Для младших систем доступен только безопасный режим с поддержкой командной строки, т.е. система будет активна.
       
    • demkd
      ---------------------------------------------------------
       4.15.5
      ---------------------------------------------------------
       o Обновлена функция трансляции переменных окружения USERPROFILE, HOMEPATH, LOCALAPPDATA, APPDATA.
         Значения этих переменных теперь зависят от того где физически находится lnk файл.
         Теперь с разбором lnk файлов будет меньше проблем, но я все же рекомендую удалять ссылки
         на отсутствующие объекты только под текущем пользователем.

       o Исправлена функция разбора путей не содержащих букву диска.

       o Исправлена функция разбора аргументов rundll32.

       o Обновлен start.exe.
         o Обновлен интерфейс.
         o Изменена кнопка по умолчанию, теперь это "запуск под текущим пользователем".
         o Исправлена ошибка: при определенных параметрах повторный запуск uVS в режиме "до запуска эксплорера" был невозможен.
         
×