Перейти к содержанию
Сергей Ильин

DDoS или не DDoS?

Recommended Posts

Сергей Ильин

Сегодня около 6 вечера наш сайт упал, возвращал ошибку 502 или 504. Хостер указан на возросшее кол-во обращений и подозрение на DDoS. При этом сотрудник хостера утверждать точно не взялся, а рекомендовал поизучать логи.

Сейчас сайт стал грузиться (после временного запрета всех соединений) и некоторой настройки. Но боюсь, что если это все же DDoS, то атаки могут возобновится.

В целом вопроса 2 и они совсем не "Кто виноват?" и "Что делаеть?".

1. Меня смущает, что хостинговые компании в России до сих пор не обзавелись оборудованием для защиты DDoS.

2. Как обстоят дела с подпиской на сторонние сервисы защиты от DDoS, насколько это оправдано на постоянной основе.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
akoK

Сначала в логи посмотреть нужно, а потом уже решать :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин

По логам я лично ничего подозрительного не вижу. Вполне обычные запросы, все время разные страницы, разные файлы, разные IP и системы.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
CatalystX

Сейчас ботнеты все больше пытаются быть похожи на людей. Вполне возможно, что для этого ботовод задал несколько целей на сайте.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин

Больше всего в этой истории меня запомнится ответ суппорт-инженера хостинговой компании. На мой вопрос "Что делать с DDoS?" он ответил примерно следующее "Не знаю ... сами думайте, анализируйте, кому вы дорогу перебежали или кому насолили" :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Кирилл Керценбаум

Сергей Ильин как насчет Kaspersky DDoS Prevention, не хочешь попробовать ;)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
amid525
Больше всего в этой истории меня запомнится ответ суппорт-инженера хостинговой компании. На мой вопрос "Что делать с DDoS?" он ответил примерно следующее "Не знаю ... сами думайте, анализируйте, кому вы дорогу перебежали или кому насолили" :)

Матушек? )

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
K_Mikhail

Да-да, атака с контролируемого ботнета -- попытка отправить команду на уничтожение системы АМ. ^_^

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Danilka

Да, точно, все сходится. :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин
Сергей Ильин как насчет Kaspersky DDoS Prevention, не хочешь попробовать wink.gif

Хотел было вчера уже подключиться, но во-первых попробуем решить проблему сами, а во-вторых сервис стоит денег, а мы не жируем и лишних их нет :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Кирилл Керценбаум

Ну что, отбили очередную атаку? Сильная была?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
sbelow

Кстати, сегодня во второй половине дня AM был недоступен.

Возможно проблемы взаимосвязаны.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин

Удалось восстановить работу, попутно сменили DNS-сервера. Ребята из rt.com мониторят ситуацию.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
CatalystX

Похоже атакуют школьники с помощью орбитальной пушки анонимусов. Уж очень слабые атаки, после нормальной атаки, даже если она была завершена пару часов назад, сайт очень медленно грузится.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин
Похоже атакуют школьники с помощью орбитальной пушки анонимусов. Уж очень слабые атаки, после нормальной атаки, даже если она была завершена пару часов назад, сайт очень медленно грузится.

Скорее всего так оно и есть. Плохо, конечно, что мы не очень оказались готовы технически к такому. Сильно выросли из текущего хостинга.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Burbulator
Скорее всего так оно и есть. Плохо, конечно, что мы не очень оказались готовы технически к такому. Сильно выросли из текущего хостинга.

Это вчера на форуме drweb опубликовали ссылку на ваш сайт с острой темой http://forum.drweb.com/index.php?showtopic...st&p=594471 вот вы и не выдержали популярности :D

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин

Атаки начались не вчера. Они начались во вторник. Так что дело не в наплывшем трафике с сайта доктора. :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
akoK

Если хостер позволяет, то можно посмотреть в сторону

http://habrahabr.ru/post/141989/

Или в сторону CDN прокси который будет отсекать слабые атаки.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

  • Сообщения

    • Ego Dekker
    • ArktiTig
      Арктика - северная полярная область Земли, включающая окраины материков Евразии и Северной Америки, почти весь Северный Ледовитый океан с островами и прилегающие к нему части Атлантического и Тихого океанов. Название её происходит от греческого слова arctos (медведь) и связано со звёздами: Полярная звезда, находящаяся почти точно в зените над Северным полюсом, принадлежит к созвездию Малая Медведица.
    • ArktiTig
      Арктика - северная полярная область Земли, включающая окраины материков Евразии и Северной Америки, почти весь Северный Ледовитый океан с островами и прилегающие к нему части Атлантического и Тихого океанов. Название её происходит от греческого слова arctos (медведь) и связано со звёздами: Полярная звезда, находящаяся почти точно в зените над Северным полюсом, принадлежит к созвездию Малая Медведица.
    • PR55.RP55
      .xml  файлы taskschd.msc Могут быть подписаны  цифровой подписью. Думаю будет нелишним, если uVS будет это фиксировать. т.е. проверять не только подпись целевого файла, но и подпись самого файла\задачи. и писать в ИНфО .  
    • demkd
      ---------------------------------------------------------
       4.15.2
      ---------------------------------------------------------
       o Исправлена ошибка при работе с образом автозапуска.
         Для некоторых процессов команда unload не добавлялась в скрипт при нажатии кнопки "принять изменения".  o Добавлена плашка окна на таскбаре для окна удаленного рабочего стола.
         (при работе с удаленной системой) -----------------------------------------------------------
      Есть проблема с локализацией глюка в редких случаях приводящему к аварийному завершению uVS при активном флаге "Проверять весь HKCR".
      На основе дампов его найти не получается, нужна копия реестра системы с такой проблемой, если кому-то попадется такая проблема, то присылайте архив с копией реестра системы мне на почту.  
×