Защита от ДДоса

[Focus]

Защита от ДДоса

Несколько конкурирующих сайтов решили меня Ддосить.
На всех своих страницах в самом низу хтмл кода прописали <img src="http://site.com" border="0" width="0" height="0">
Из-за них мой сайт висит или хостер блокирует его. Подскажите что можно сделать чтобы мой сайт роботал нормально?

 

[Adelf]

анализируй реферер и блокируй по нему.

 

[Focus]

а как именно блокануть реферер Через htaccess?

 

[Adelf]

http://www.shtogrin.com/library/web/mod_rewrite/examples/disable_ext_referrer/

 

[baev]

mod_rewrite тут не нужен

Как-то так:

 SetEnvIfNoCase Referer "^http://BAD_SITE_ADDRESS" ddos_ref=1
<FilesMatch ".php">
Order Deny, Allow
Deny from env=ddos_ref
</FilesMatch>

 

[tz-lom]

baev
а если реферер пустой то пустит или нет?

 

[baev]

Если создать правило для пустого реферера, то не пустит.

Вообще, вот вариант, делающий практически то же, что и код по ссылке Adelf'а:

SetEnvIfNoCase Referer "^http://НАШ_САЙТ" local_ref=1
<FilesMatch "\.(gif|jpe?g|png|css|swf)$">
Order Allow,Deny
Allow from env=local_ref
</FilesMatch>

 

[С.]

Не фига себе ДДОС! То что для них лишь примерно 1/10 нормальной работы для тебя -- смерть?

 

[vovanium]

С.
Ну года 2 назад вконтакт примерно также премию рунета заддосил Конкурирующие сайты разные бывают

 

[DYPA]

абузу хостерам конкурентов не пробовали писать?

 

[antson]

посмотри в сторону $_SERVER['HTTP_ACCEPT']
Когда нормально там написано
text/html,application/xhtml+xml,application/xml;
при
<img src="http://site.com" border="0" width="0" height="0">

в переменной будет что-то типа
image/png,image/*;

так что попробуй проверять на вхождение подстроки image в самом начале и делать die('редиски') если там такое есть.


Чтобы насолить народу придется iframe'ть тебя. Но думаю не рискнут, так там уже можно js поиграться : alert('Редиски') - самое безобидное

з.ы. Я правильно понял. Как урл картинки прописали корень твоего сайта ?

 

[sovka]

А ты передай через эту картинку хедер ридеректящий на порно сайт, тогда будет весело их юзерам

 

[fixxxer]

По рефереру быстро сменят тактику. Поможет, конечно, но не на долго. А блокировать всех пользователей с пустым реферером - не комильфо, режешь все прямые заходы.

Наверняка будут продолжать умнее.

Если тупо "долбят" - (1) собирай статистику по IP и блокируй фаерволом, (2) при заходе без куки - ставь куку, делай редирект и проверяй ее наличие, нет куки - IP в фаервол (нормальных пользователей без кук сейчас пренебрежимо мало, короче сами дураки).

Если кликботами, ходящими по ссылкам - подпихни им ссылку, скрытую от пользователей CSS-ом, а от честных ботов robots.txt. Кто зашел - того в баню.

Фаервол надо масштабируемый, то есть с lookup-ом, реализованном на каких-нибудь там деревьях префиксных, а не тупо полными перебором - иначе он быстро станет узким местом. Например, таблицы (table) в ipfw, если FreeBSD. Можно еще использовать в этом качестве geo-модуль nginx.

 

[Royal Flash]

На мой взгляд - эту проблему нужно решать через абузу хостеров. А как быстрое решение - код вначале скрипта. Если код по поиску нарушителя его обнаружил - лучше всего выдать HTTP 404 или что-то из HTPP 5xx - пусть думают, что задосили А перенаправление на порно - может быть не лучшее решение, с точки зрения законодательства.

 

[Adelf]

fixxxer, ты прям из пушки по воробьям
Блокировать надо не пустые рефереры(как это вообще тебе пришло в голову? ), а лишь те, которые с этих сайтов.
фаерволл, lookup - да он почти наверняка на шаред хостинге о чем ты?

 

[grigori]

рефереры очищаются 1й строчкой на html, если кто не в курсе
distributed dos на то и distributed, что замахаешься абьюзы писать тысяче провайдеров тех, кто и не знает об участии в атаке
fixxer просто думает на шаг вперед, когда никаких рефереров и нет

 

[Adelf]

Зачем думать на шаг вперед, если его вполне может и не быть?
Абузы имеются ввиду хостерам проектов-конкурентов, а не тысяче провайдеров их посетителей.

 

[fixxxer]

Ну я достаточно ддосов отбивал, всегда начиналось с примитивной фигни и никогда на ней не останавливалось