DDos! Jak sobie z nim poradzić?, Niesamowicie zjada mi trasfer, co to jest ? Opcje

[Antonil]

Witam,

Jestem tu nowy, słyszałem że u Was mogę dostać pomocną radę jakiej potrzebuję. Stworzyłem stronę, która moim zdaniem resztę o tej tematyce bije na głowę. Gdy konkurencja się o niej dowiedziała zaczęli najpierw mi spamować gdzie się da, później wyzwiska na maila a teraz grożą mi atakiem ddos. Transferu miesięcznie już mi nie starcza nawet po powiększeniu go pięciokrotnie. Z pewnością stałem się ofiarą jakiegoś ataku. Czy to DDos lub Dos? Jak się przed nim obronić?

Na początku zamontowałęm skrypt który zbierał adresy ip do bazy przy każdym wejściu na stronę, każdego użytkownika. Po dwóch dniach zgrupowałem je i na pierwszym miejscu najwięcej wejść miało IP google a na drugim moje. (IMG:style_emoticons/default/tongue.gif) Przypuszczam, że ktoś pobiera sam obrazek Curlem, albo wejścia następują z wielu bardzo różnych adresów. Zabezpieczenie przed hotlinkowaniem gifów nie pomogło. Macie jakiś pomysł jak sobie z tym poradzić?

Pozdrawiam!

[l0ud]

Zobacz do access log na serwerze i spróbuj wyłapać, co powtarza się podejrzanie. Myślę, że najbardziej będzie to widać w godzinach nocnych, gdzie ruchu jest najmniej.

Po analizie można zacząć myśleć (IMG:style_emoticons/default/tongue.gif)

Ten post edytował l0ud 21.08.2009, 21:44:12

[erix]

Przypuszczam, że ktoś pobiera sam obrazek Curlem, albo wejścia następują z wielu bardzo różnych adresów. Zabezpieczenie przed hotlinkowaniem gifów nie pomogło. Macie jakiś pomysł jak sobie z tym poradzić?

Hotlink, to pikuś; musisz najpierw zdobyć IP i sukcesywnie wycinać takich cwaniaków na firewallu (nie na poziomie skryptu, tylko na firewallu).

Co prócz tego? Wycinać user-agenta webcopierów, PHP, Pythona, libcurl, wszystkich libów służących do pobierania stron przez skrypty (znajdziesz wszystko w Sieci), sprawdzanie referera, to tylko zmarnowanie czasu.

później wyzwiska na maila a teraz grożą mi atakiem ddos.

Osobiście bym pisał do operatora pocztowego tych maili albo nawet się pokusił z pójściem na policję (oczywiście z wydrukowanymi pełnymi mailami, tj. łącznie z nagłówkami). Jeśli trafisz na dobrych ludzi i nieco kumających - przynajmniej spróbują Ci pomóc, trochę czasu na to zmarnujesz, ale prócz tego właściwie nic nie tracisz.

[mydoom.h]

Z pewnością stałem się ofiarą jakiegoś ataku. Czy to DDos lub Dos? Jak się przed nim obronić?

DoS:
http://pl.wikipedia.org/wiki/DoS

DDoS:
http://pl.wikipedia.org/wiki/DDoS

Jedyna metoda to firewall sprzętowy, albo wycinanie IP atakującego na routerach brzegowych.
Firewall programowy mało pomoże.

Osobiście bym pisał do operatora pocztowego tych maili albo nawet się pokusił z pójściem na policję (oczywiście z wydrukowanymi pełnymi mailami, tj. łącznie z nagłówkami). Jeśli trafisz na dobrych ludzi i nieco kumających - przynajmniej spróbują Ci pomóc, trochę czasu na to zmarnujesz, ale prócz tego właściwie nic nie tracisz.

Możesz tak zrobić (IMG:style_emoticons/default/winksmiley.jpg)

Jeśli chcesz napisz do mnie na GG (4863039), postaram się pomóc.

[erix]

Jedyna metoda to firewall sprzętowy, albo wycinanie IP atakującego na routerach brzegowych.

No tak, ale od czegoś trzeba zacząć; jak nie ma dedyka/etc, to podejrzewam, że każda zmiana adresów (a będzie ich na pewno sporo) będzie wymagała kontaktu z opem...

[l0ud]

Wycinanie user-agentów nic nie pomoże - zmiana takiego w CURL to kwestia ~2 linijek kodu. Najprostszym rozwiązaniem byłoby... wykupienie lepszego serwera, z dużo większą ilością transferu, można też limitować pasmo dla 1 użytkownika (ale jak to zrobić niestety nie poradzę). W końcu dla kogoś przestanie być opłacalne trzymanie uruchomionego komputera przez całe dnie...

[erix]

W końcu dla kogoś przestanie być opłacalne trzymanie uruchomionego komputera przez całe dnie...

Wierzysz, że to tylko jeden komp...? Stary, w jakich czasach żyjemy...?