C сайта идёт призыв атаковать наш сайт

[Духовность™]

C сайта идёт призыв атаковать наш сайт

Здравствуйте.

На одном посещаемом сайте куча идиотов решили устроить атаку с помощью вот этой вот фигни, судя по всему:

http://raep.load4.net/loic/
http://img161.imageshack.us/img161/7824/targetloichowtocu8.jpg

Вопрос - можно ли как-то повлиять на владельца аккаунта и/или хостера? Пригрозить там проблемами с законом или ещё как?

 

[HraKK]

да пускай балуются.

 

[Baranov_Dron]

Ну напиши абузу хостеру, кто хостит сайт программы, хотя он врятли закроет его. Ибо в самой программе врятли есть, что противозаконного. Да и в другом месте "идиоты" программу эту скачают. Ну а вообще, думаешь смогут сайт уложить?

 

[Духовность™]

Ну а вообще, думаешь смогут сайт уложить?

уложили ещё в 17 часов.

там толпа мудаков-малолеток сидит, потипу удафф-ком и все такое. вот они и накрыли.

 

[Baranov_Dron]

Прога вроде не использует socks и proxy. Понапиши абуз им.(думаю Ipы вычислить сможешь) Их от инета хостеры вырубят. Вычисляешь IP. Смотришь через whois email админа сети, шлёшь письмо гневного содержания, желательно подкрепляя логами(апача например), указывая свой телефон, какие либо оф данные, что ты админ и тд(данные типа телефона и тд пугают саппорт провайдеров).
Я подключён к корбине, и раз взял прогу оффлайн эксплорер, чтоб скачать весь сайт(чтоб потом с кпк почитать). И страницы хрясь грузились очень быстро, у админов сработал бот, мне абузу, и вырубили меня админы моего провайдера. Пришлось им звонить, оправдываться...

 

[MiksIr]

triumvirat, сайт - это что? Виртуальный хостинг, свой сервер? Если первое - к хостеру, если второе - простенький скриптик и айпишники в фаирвол.

 

[kruglov]

MiksIr
Чьи айпишники?

 

[Духовность™]

Baranov_Dron
Виртуальный хостинг.

Baranov_Dron
Я писал хостерам этого сайта, они вот что ответили:

>>> Прошу Вас принять меры.
К сожалению, из вашего письма не очень понятно, какие меры вы имеете ввиду.

 

[Baranov_Dron]

triumvirat - я не совсем тебя понимаю.
Смотри в первом посте есть программа, её смысл отсылать куча пакетов на атакуемый сайт, без использования socks и прокси. Работает с компьютеров самих пользователей. Людям не понравился твой сайт, они скачали программу эту и одновременно пустили против твоего сайта. Организовав беседу по такой атаки на каком-то сайте(переговариваются там)?

Если так, то недумаю, что людей очень много, и ты видишь IP, тех кто флудит. Вот и отошли админам сетей абузы(сами email админов провайдеров возьми из whois, например 89.179.243.56, вводим в http://ip2city.ru/, ставим галочку Показать весь ответ WhoIs и видим abuse-mailbox: [email protected]). И поставь их в файрвол.

 

[MiksIr]

MiksIr
Чьи айпишники?

Все те, откуда идет ненормальное распределение HTTP запросов.

-~{}~ 21.07.08 21:25:

triumvirat
Доступ к access_log есть? Смотреть, на какие урлы ходят и прикрывать статикой.

 

[Духовность™]

MiksIr
access_log не велся, сейчас включу. В смысле "прикрывай статикой"?

 

[MiksIr]

По логу будет видно, по каким URL фигачат. Если по одному (по корню, к примеру), то подложи туда статический html... возможно это поможет веб серверу хостера отбиться от атаки. Плюс, получишь IP активных флудеров - можно связаться с хостером, попросить зафаирволить. Если по разным урлам, тут сложнее, но есть несколько решений. Быстрое решение - поставить HTTP авторизацию и в тексте запроса указать тот логин/пароль что нужно набрать... решения по сложнее - почти то же самое, только через какой-нить статический файл. Еще решение - переносить сайт на какой-нить www2 и редиректить туда - обычно такие боты не умеют ходить по редиректам.
Если сервера не хватает обслуживать запросы в статику, тут только список IP и в фаирвол... просить хостера помочь. Если досят по tcp/udp, то хостер сам давно уже должен взвыть из-за засранного канала.

-~{}~ 21.07.08 21:54:

А, еще можно deny в .htaccess набросать... ну это опять же, если разбор лога поможет вытащить IP и это слабый дос, направленный именно на завал скриптов.

 

[Духовность™]

MiksIr
Baranov_Dron
ок. учту.


У нас сейчас такая ситуация - техподдержка сказала "разберемся", сайт до сих пор не открыли, хотя, уверен, атака уже прекратилась несколько часов назад. Теряем массу трафика.

Возникает вопрос - такое поведение суппорта вообще нормально? Как быстро должен быть доступен сайт после атаки? И существуют ли какие-нибудь российские хостеры, предоставляющие хотябы минимальную защиту от атак?

 

[Baranov_Dron]

чесно говоря самому стало интересно, ввёл в яндексе "хостинг ddos защита", один из хостингов попался http://www.secureservertech.ru/high-risk-hosting.htm, сам видишь цены в 10(минимум) раз дороже обычного хостинга. Не знаю как этот хостинг, но в любом случае ожидай многократного увеличения цены за то, что хостинг будет держать подобные ddos атаки.

 

[Духовность™]

да, цены большие.. хз чего делать то

 

[maxwell]

triumvirat, ставить сервер у себя.

 

[Baranov_Dron]

Тут нету золотой середины, к сожалению. Если сайт даёт много трафа, и часто дДосится, то тут придётся раскошелится, если саранча школьников решило повеселится, то лучше просто переждать, да обидно, да потеря денег, но делать по большому счёту нечего. Сожалею.

 

[HraKK]

Весь флуд этот в итоге свелся к моему 1 посту.

 

[MiksIr]

VDS. Там можно порулить фаирволом. Простенький скриптик для анализа логов с добавлением в фаирвол позволит легко отбиться от подобной фигни и от небольших (несколько тысяч хостов) ботнетов.

-~{}~ 22.07.08 01:55:

Автор оригинала: HraKK
Весь флуд этот в итоге свелся к моему 1 посту.

Несомненно ваш ответ был наиболее содержателен.

 

[Angerslave]

Да, HraKKу надо орден дать))
Вообще, странно, что это за хостинг без access_log... Обычно, я думаю, несколько часов простоя не очень много людей замечают, если это только не чат какой-нить.