Меню
Что нового?

Защита от dDOS-атак (практика)

jer

...
Защита от dDOS-атак (практика)

Кто как защищается и противостоит dDOS-атакам на практике?

Интересует защита как со стороны хостера, так и защита отдельнго виртуального хоста своими силами (на хостинге не способном противостоять dDOS-атакам - не имеющих штатных средств борьбы).

Кто что использует для этого? Как именно? Стандартное/самописное? Стратегия и тактика...

PS: интересует практика, а так же поучительные истории в борьбе с этим неизлечимым бичем нашего времени. ;)
 
MiRacLe

MiRacLe

просто Чудо
имхо ничего стоящего сделать нельзя.
разве что "хардварными" методами на уровне роутеров провайдера(читай хостера)
самое простое что можно сделать(чтобы не "попасть" с трафиком) это менять в DNS A запись на 127.0.0.1 и ждать когда "злыдни" устанут...
ну или как вариант держать зеркало сайта на другом сервере...
 
magic

magic

lancer
Стратегия: поставить сервер на площадке хостера, который обеспечивает защиту на аппаратном уровне.

Тактика: обесточить сервер и затаиться :)
 
Фанат

Фанат

oncle terrible
Команда форума

jer

...
MiRacLe
имхо ничего стоящего сделать нельзя.
разве что "хардварными" методами на уровне роутеров провайдера(читай хостера)
Нажмите для раскрытия...
а что можно сделать на хардварном уровне роутера?

самое простое что можно сделать(чтобы не "попасть" с трафиком) это менять в DNS A запись на 127.0.0.1 и ждать когда "злыдни" устанут...
ну или как вариант держать зеркало сайта на другом сервере...
Нажмите для раскрытия...
какие зеркала имеются в виду? один домен и два независимых сервера, перенаправление делается на менее нагруженный сервер, я правильно понимаю?

Фанат
расширить канал/можность сервера.
Нажмите для раскрытия...
борьба денег получается. ;)
в разумных пределах нарастить мощность конечно можно, но вообще мне кажется эффективнее активные методы обнаружения и борьбы с атаками, чем капитальные _немалые_ вложения в железо и каналы, которые пригодятся только в момент атаки условно "раз в год".

PS: понимаю, что абсолютного способа борьбы с дДОС нет, но ведь наверняка можно обезопасить себя от большинства плохоорганизованных атак.

видел, что есть модули для апача помогающие противостоять dDOS-ам, некоторые хостеры пишут про штатные средства борьбы (видимо имеют в виду "хардварный уровень роутеров", файрволы)

хотелось услышать от тех кто защищается и противостоит атакам на практике (метод "переждать атаку" мне и так был известен. :)
интересует конкретный софт/железо, их цепочка, способы своевременного обнаружения до падения сервака.

если конечно здесь кто-нибудь пытался автоматизировать этот процесс.

Если не брать в расчет "просто переждать атаку", то я вижу следующие способы (чтобы систематизировать обсуждение):
1. наращивание мощностей (сервер, канал) - с этим понятно.
2. создание зеркал (частный способ наращивания мощностей) - как грамотно сделать зеркала?
3. хардварная защита на уровне роутера (активная защита) - где про это можно почитать?
4. софтверный файрвол на сервере?
5. защита на уровне http-сервера (грамотная настройка)?
6. защита науровне скриптов - самый примитивный, но часто можно отбиться от небольших атак

атаки с которыми я сталкивался, заключались в следующем: находилась самая тяжелая динамическая страница *.php на сайте, к ней делалось одновременное обращение в несколько десятков запросов, после чего падал http-сервер, либо sql.
Можно завалить и обращением к статике *.hml, но как я понимаю, это на порядки более обширная атака нужна, да раньше канал наверное заглохнет, чем сервер упадет? тут я рассуждаю, на практике пока не сталкивался...
 
Фанат

Фанат

oncle terrible
Команда форума
возьми букварь, прочти там, что означает умное слово, которое ты сказал, и не морочь больше голову людям всякими глупостями
 
Фанат

Фанат

oncle terrible
Команда форума
это не точка
а руководство к действию
ушуршал исполнять
 

jer

...
;)

Фанат, в твоем "букваре" пишут общее представление о том, что такое DDOS.

На практике же их множество подвидов, меня интересует атака на http-сервер.
Если ты не заметил, я задал и конретные вопросы выше, и не только тебе.

Если ты считаешь, что своим ответом сильно помог мне, то ошибаешься. Махать перед лицом абстрактным "букварем" очень замечательно, ты дай ссылку на "букварь", который ты имеешь в виду. Тогда будет что обсудить, а пока это просто трепалово.
 
Фанат

Фанат

oncle terrible
Команда форума
только тупица будет продолжать рассказывать про "конкретные вопросы" после того, как его ткнули носом в то что он не понимает, о чём пишет.

много чести помогать дураку, который при этом полагает, что умнее всех.
ты настолько туп, что даже не понимаешь, что с тобой никто ничего не обсуждает
 

jer

...
ты у нас уже за всех тут выступаешь?
по-моему это у тебя кое-чего зашкаливает кое где...
уймись.
 

Gorynych

Посетитель PHP-Клуба
Фанат, давай пока не убивать, а? Товарищ не понимает... ;-)

jer все вышесказанное рассуждение довольно абстрактно. Потому как универсального средства нет (в противном случае не было периодических прецедентов успешных атак, логично?).

что есть в принципе DDoS атака? Массированное обращение к компьютеру с множества других компьютеров. Это прежде всего означает высокую частоту обращений к совершенно разных IP-адресов. Как ни забавно (на самом деле это не забавно, а просто естественно, ибо по сути происходит тот же процесс), подобный эффект можно наблюдать на популярных новостных сайтах во время глобальных событий, вызывающий массовый интерес и, соответственно приток посетителей ("11 сентября", атака на сервера Зенона несколько лет назад, тер.акт в Тушино, последнее цунами и т.п.).

ключевые слова - "высокая частота" и "совершенно разные IP-адреса".

начну с конца - "защита на уровне скриптов - самый примитивный, но часто можно отбиться от небольших атак". На уровне каких скриптов? Скрипт выполняется на сервере-жертве, т.е. выполнение скрипта само по себе является выполняемой сервером работой (нагрузкой на сервер). Улавливаем мысль? Потенциально скрипт-привратник сам может стать причиной зависания сервера в случае массированной атаки.

т.е. пользователь-арендатор виртуального хостинга практически не обладает способами разработки собственной защиты от подобных атак.

что касается софтверной защиты с применением сетевых экранов (firewall) или настроек веб-сервера, то этот разговор имеет смысл в ситуации, когда вы обладаете собственным сервером (ключевые слова - "железный" и "одна штука"), где Вы можете собственноручно устанавливать и настраивать соответствующее ПО. Прежде всего для этого нужно обладать навыками администрирования. Кроме того, проблема большой серверной нагрузки уже породила некоторые попытки ее решения. Одна из таких попыток - веб-сервер nginx. Но это не панацея. Потому что все равно - массовое, и все равно с различных IP-адресов.

следующий уровень - это распределение нагрузки между серверами или построение кластеров и зеркалирование. Я почему-то думаю, что этот уровень для Вас недоступен, но вкратце скажу, что для распределения запросов между кластером довольно давно используются аппаратные решения, разработкой которых занимаются производители соответствующего оборудования.

таки да, все это борьба денег. Так или иначе :)

P.S. пока я писал свой ответ, Вы тут все продолжаете упорствовать, да?

поймите, Фанат неоспоримо прав в том, что Вы не понимаете, что на самом деле представляет собой DDoS атака (не путать с DoS атаками, проводимыми силами одного-двух компьютеров и малолетних кретинов). Предмет обсуждения практически вечен. В качестве "букваря" я порекомендую Google - http://www.google.ru/search?hs=1Jj&hl=ru&client=firefox-a&rls=org.mozilla:ru:official&q=DDOS+атака&btnG=Поиск&lr=
 
Фанат

Фанат

oncle terrible
Команда форума
если бы товарищ не понимал, я бы ему худого слова не сказал.

-~{}~ 06.07.06 13:02:

блин, какого хрена столько времени висит эта тема, впрямую нарушающая привила?
и почему она превращается в пособие для малолетних хакеров?
 

jer

...
[offtop]
Фанат, вот ты все хамишь и хамишь, но от тебя кроме первого поста ничего путнего не было. Не считай себя здесь абсолютом и не дери так глотку. Ты прям так радеешь за каждый топик и каждую написанную букву другими, а сам столько лишнего мусора создаешь. дай поговорить не только с тобой, а?
Я к тебе с уважением отношусь, но когда тебя начинает клинить - тушите свет.
[/offtop]

Я и сам знал, что стопроцентных мер борьбы с этим злом нет. Тем не менее это не означает, что никто не борется с ddos. А я как раз спрашивал про эти способы борьбы. В общем уже и получил ответы, за что другим отвечающим спасибо.

Gorynych
спасибо за внятный ответ. из доступных средств - либо выделенный сервер, либо несколько зеркал на вирт. хостах.
с выделенным сервером все очевидно, пойду читать про построение зеркал...

PS: dos и ddos я изначально не путал ;)

всем спасибо. можно закрывать топик.
 
Войдите или зарегистрируйтесь для ответа.
Сверху