Перейти к содержанию
Сергей Ильин

DDoS или не DDoS?

Recommended Posts

Сергей Ильин

Сегодня около 6 вечера наш сайт упал, возвращал ошибку 502 или 504. Хостер указан на возросшее кол-во обращений и подозрение на DDoS. При этом сотрудник хостера утверждать точно не взялся, а рекомендовал поизучать логи.

Сейчас сайт стал грузиться (после временного запрета всех соединений) и некоторой настройки. Но боюсь, что если это все же DDoS, то атаки могут возобновится.

В целом вопроса 2 и они совсем не "Кто виноват?" и "Что делаеть?".

1. Меня смущает, что хостинговые компании в России до сих пор не обзавелись оборудованием для защиты DDoS.

2. Как обстоят дела с подпиской на сторонние сервисы защиты от DDoS, насколько это оправдано на постоянной основе.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
akoK

Сначала в логи посмотреть нужно, а потом уже решать :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин

По логам я лично ничего подозрительного не вижу. Вполне обычные запросы, все время разные страницы, разные файлы, разные IP и системы.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
CatalystX

Сейчас ботнеты все больше пытаются быть похожи на людей. Вполне возможно, что для этого ботовод задал несколько целей на сайте.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин

Больше всего в этой истории меня запомнится ответ суппорт-инженера хостинговой компании. На мой вопрос "Что делать с DDoS?" он ответил примерно следующее "Не знаю ... сами думайте, анализируйте, кому вы дорогу перебежали или кому насолили" :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Кирилл Керценбаум

Сергей Ильин как насчет Kaspersky DDoS Prevention, не хочешь попробовать ;)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
amid525
Больше всего в этой истории меня запомнится ответ суппорт-инженера хостинговой компании. На мой вопрос "Что делать с DDoS?" он ответил примерно следующее "Не знаю ... сами думайте, анализируйте, кому вы дорогу перебежали или кому насолили" :)

Матушек? )

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
K_Mikhail

Да-да, атака с контролируемого ботнета -- попытка отправить команду на уничтожение системы АМ. ^_^

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Danilka

Да, точно, все сходится. :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин
Сергей Ильин как насчет Kaspersky DDoS Prevention, не хочешь попробовать wink.gif

Хотел было вчера уже подключиться, но во-первых попробуем решить проблему сами, а во-вторых сервис стоит денег, а мы не жируем и лишних их нет :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Кирилл Керценбаум

Ну что, отбили очередную атаку? Сильная была?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
sbelow

Кстати, сегодня во второй половине дня AM был недоступен.

Возможно проблемы взаимосвязаны.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин

Удалось восстановить работу, попутно сменили DNS-сервера. Ребята из rt.com мониторят ситуацию.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
CatalystX

Похоже атакуют школьники с помощью орбитальной пушки анонимусов. Уж очень слабые атаки, после нормальной атаки, даже если она была завершена пару часов назад, сайт очень медленно грузится.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин
Похоже атакуют школьники с помощью орбитальной пушки анонимусов. Уж очень слабые атаки, после нормальной атаки, даже если она была завершена пару часов назад, сайт очень медленно грузится.

Скорее всего так оно и есть. Плохо, конечно, что мы не очень оказались готовы технически к такому. Сильно выросли из текущего хостинга.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Burbulator
Скорее всего так оно и есть. Плохо, конечно, что мы не очень оказались готовы технически к такому. Сильно выросли из текущего хостинга.

Это вчера на форуме drweb опубликовали ссылку на ваш сайт с острой темой http://forum.drweb.com/index.php?showtopic...st&p=594471 вот вы и не выдержали популярности :D

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин

Атаки начались не вчера. Они начались во вторник. Так что дело не в наплывшем трафике с сайта доктора. :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
akoK

Если хостер позволяет, то можно посмотреть в сторону

http://habrahabr.ru/post/141989/

Или в сторону CDN прокси который будет отсекать слабые атаки.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Создайте учетную запись или войдите, чтобы комментировать

Вы должны быть пользователем, чтобы оставить комментарий

Создать учетную запись

Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!

Регистрация нового пользователя

Войти

Уже есть аккаунт? Войти в систему.

Войти

×