подписка
Подписаться
Главная Форум Ведение бизнеса Безопасность

DDoS-атаки

Подписка на RSS
Сергей Л.
Торговля (Красота и здоровье, мини-компания)
12/07/2012
Кстати про DDoS-атаки.
Каждый, наверное, с этим иной раз сталкивался. Нас тоже периодически досят, и всегда возникает вопрос - кому это надо?
Давайте поразмышляем на эту тему.
Крупных конкурентов, которые были бы в состоянии оплатить планомерную бомбардировку нашего сайта, у нас нет.
У мелких на это денег не хватит, а если хватит, то на то, чтоб вырубить нас на пол часа. И какой в этом смысл?
Пионеры какие-то тренируются? Вот этот вариант мне только и приходит в голову.

А вы как думаете - кто вас может досить?
Кто недавно Досил Почту России? Какой в этом смысл? Ее же вообще нереально завалить.
Скопировать ссылку на сообщение
Ответить
Александр Фролов
Генеральный директор, Shop2YOU
13/07/2012
Могут конкуренты или "пионеры", могут просто тестировать какое-нибудь новое кибернетическое "оружие".

На конференции РИТ был доклад на эту тему, там сказали, что сейчас атаки ДДОС очень сильно подешевели, и цены начинаются чуть ли не от 20 долларов в день. Очень мощные атаки, конечно, дороже, но их, по сообщению на докладе, намного меньше.

По защите мне нравится подход Майл.ру - у них столько ресурсов, что они, по их словам на этой же конференции, никак не борятся с атаками, а просто выдерживают их без деградации качества сервиса. Но это доступно далеко не всем. Остальные могут пользоваться услугами провайдеров, предоставляющие свои системы фильтрации трафика.
Скопировать ссылку на сообщение
Ответить
kuzmin
13/07/2012
Ни чего себе. Меня не разу не ддосили ни на одном проекте. Самый большой был более 100+ уников в день. Вот косорукий парсинг случался часто, но чтобы именно ддосить :roll: . Просто ддос и время менее 1-2 суток как-то не особо вяжется.

Один крупный компьютерный ИМ ддосили и предлагали отключить за сколько-то там $тыщ. Исполнителей нашли раньше, чем успели заплатить:)
Скопировать ссылку на сообщение
Ответить
Федор Куприн
13/07/2012
lululal:

Крупных конкурентов, которые были бы в состоянии оплатить планомерную бомбардировку нашего сайта, у нас нет.
У мелких на это денег не хватит, а если хватит, то на то, чтоб вырубить нас на пол часа. И какой в этом смысл?
Пионеры какие-то тренируются? Вот этот вариант мне только и приходит в голову.

Не такое уж и дорогое удовольствие, если серверок не сильный то и малыми силами его положат.
Скопировать ссылку на сообщение
Ответить
Lavruss
13/07/2012
Можно даже ддосить и без спецов - прогу скачал и все. А то что не ддосили - это видать повезло. Я часто вижу как хороший местный магазин с низкими ценами в городе переодически ощутимо тормозит.
Скопировать ссылку на сообщение
Ответить
kuzmin
13/07/2012
Lavruss:

Можно даже ддосить и без спецов - прогу скачал и все

С одного ip ддосить:) Тормозить и ддос разные вещи. Ддос это минимум 10-ки тысяч хостов иначе ддоса не получится.
Скопировать ссылку на сообщение
Ответить
Александр Фролов
Генеральный директор, Shop2YOU
14/07/2012
Если у сайта низкая нагрузочная способность, его можно "завалить" и без ДДОС-а. Достаточно обычного флуда с одного IP. Такие атаки легко отбиваются, например, фаерволом.

Но для защиты от настоящего ДДОС-а (который проводится с использованием ботнетов) обычный файервол с ручным управлением неэффективен, т.к. количество атакующих IP-адресов может составлять тысячи и десятки тысяч. Да и трафик может оказаться немаленьким, и атака может быть не только на сервис httpd.

Подключение memcached и nginx, правильная настройка ограничений в конфигурации nginx и Apache, наличие оперативной памяти в сервере большого объема (48 Гбайт, например), использование MongoDB там где это нужно, пара мощных процессоров и диски SAS с кеширующим контроллером позволяют "держать удар" от "пионерского" флуда и небольших атак ДДОС.

Если это не помогает, то придется использовать сервис защиты от ДДОС провайдера, возможно, платный. При этом Вы прописываете в DNS атакуемого сайта адрес фильтра провайдера, и сообщаете провайдеру адрес Вашего сервера. Он настраивает автоматическую фильтрацию и проблема исчезает.

Ну а пока идут переговоры и настройка фильтра, попробуйте прописать для атакуемого сайта в DNS адрес 127.0.0.1. Не исключено, что это поможет разгрузить сервер и сделает возможным работу других расположенных на нем сайтов.

Кстати, о возможностях провайдера по фильтрации ДДОС и процедуре подключения фильтра лучше узнать заранее, чтобы сэкономить время, если атака действительно начнется.
Скопировать ссылку на сообщение
Ответить
kuzmin
14/07/2012
Александр, со всем уважением, но какие nginx, memcached и т.п. Это же ддос! Он тупо забивает канал (пул запросов) и все. Ддосерам совсем не интересна обработка их запроса, они за время обработки еще 1000 запросов отправят. Если ддос, то только фильтрация трафика провайдером или сторонними сервисами. Причем включена она должна была за много-много дней до ддоса, чтобы оборудование научилось четко распознавать живых от ботов.
Скопировать ссылку на сообщение
Ответить
Александр Фролов
Генеральный директор, Shop2YOU
14/07/2012
kuzmin:

но какие nginx, memcached и т.п. Это же ддос!


Я говорил что это помогает для флуда и небольших атак ДДОС. Если забивается канал, то, разумеется, только к провайдеру. А если у сайта низкая нагрузочная способность, то его заблокируют даже поисковые роботы...

Т.е. это я к тому, что о нагрузочной способности все равно нужно думать, т.к. атаки бывают разной мощности и разного типа. При высокой нагрузочной способности многие атаки пройдут незаметно. Видимо, это и имели в виду специалисты Майл.ру, когда говорили, что они не делают ничего специально для защиты от ДДОС.

Насчет включения за много дней. В прошлом году мы воспользовались одним таким фильтром, когда пошла атака на магазин нашего клиента. Практически через пару часов после включения фильтра магазин стал работать без проблем, но мы подержали фильтр включенным еще пару дней на всякий случай.

А так да, конечно, лучше держать защиту от ДДОС включенной постоянно, если это позволяет бюджет. Правда, бывают еще ложные срабатывания защиты, что может привести к потере части посетителей.
Скопировать ссылку на сообщение
Ответить
Александр Фролов
Генеральный директор, Shop2YOU
14/07/2012
Вот такой был случай: наша система мониторинга обнаружила перегрузку одного из серверов. Стали разбираться, оказалось, что примерно с нескольких сотен IP-адресов (определили на глаз утилитой trafshow) шли запросы к скрипту поиска с одинаковыми параметрами.

Этот скрипт обращался к базе данных. Магазин был старый, и запросы к поиску еще не были закешированы через memcached. После включения memcached ситуация моментально наладилась, т.к. сервер стал справляться с этими запросами. Никакой дополнительной фильтрации не понадобилось.

Кстати, подобные обращения к базе данных не требуют от атакующего много ресурсов, однако позволяют заблокировать работу магазинов, не расчитанных на высокие нагрузки базы данных.
Скопировать ссылку на сообщение
Ответить
Supermarketvinternete
12/08/2012
так кому это нужно? Эти ддос атаки?
Скопировать ссылку на сообщение
Ответить
Дмитрий Осипов
13/08/2012
Почитал, коменты, позабавили некоторые :D
Про блокировку трафика провайдером тоже забавненько написано.
1. Защита на уровне шлюза. Если магазин досят то это уже серьёзный проект который никогда не должен висеть на одной машинке смотрящей сразу на внешку. Как минимум мужду шнурком провайдера и сетевой платой должен быть хотя бы один шлюз. Фильтров и настроек на нем в том числе для защиты от DDOS миллион: с черными списками, ограничением числа обращений, перенаправлением при достижении определенной нагрузки на другой шлюз, обрубанием части (например половины запросов). Пользователя не остановит сообщение раз через два или через три появляющееся при обновлении страницы с информацией о том что из-за технической сложности сайт будет отвечать реже, зато это обрубит половину мусорных запросов. И так, встроенная в железо шлюза защита, фаервол с фильтрами и ЧС в автоматическом режиме, перенаправление при достижении потолка нагрузки на другой шлюз.
2. Сам шлюз раскидывает запросы по вашим серверам. Если у вас висит под ним 2-3 железки с дополнительной защитой, как установлено ниже, можете считать что вас уже мало что свалит. И так раскидываем запросы сообразно нагрузке. Про то что само приложение должно быть приспособлено к такой работе, говорить, думаю, не нужно. Следующая ступень - сами серверные сетевые платы, где установлены настройки аналогичные настройкам шлюза с перенаправлением запросов, при необходимости - обрубанием части трафика и т.д.

Услуги которые предлагают всякие там мегафоны и билайны по защите от DDOS это простая фильтрация и обработка трафика софтом. Вам же важно чтобы в этом работал софт на уровне сетевых плат. Этого при правильном построении серверной части магазина вполне достаточно.
У серьезных магазинов и сервисов десятки ip-адресов и несколько резервных каналов на которые перенаправляется трафик. Это сделано для того, чтобы даже если вашей защите нипочем десятки гигабит спама, то порт провайдера такое может и не выдержать. Для этого и есть резервные каналы.
Вообще на эту тему омжно жевать оочень долго. Если кто-то интересуется вопросом серьёзно и нужна поваренная книга правильных решений, рекомендую почитать вот этот бук - Искусство планирования мощностей. Джон Оллспоу. Речь там как раз идет о построении железа под крупные интернет-проекты.
Скопировать ссылку на сообщение
Ответить
Сергей Л.
Торговля (Красота и здоровье, мини-компания)
13/08/2012
В общем-то никто не спрашивал - что делать? Тут главный другой вопрос - кто виноват? :)
Скопировать ссылку на сообщение
Ответить
Дмитрий Осипов
13/08/2012
Ну причин масса. Совсем не обязательно, что конкуренты. Может потребоваться ваша база контактов пользователей. Это очень полезные вещи, emailы, телефоны, которые можно продать за неплохие деньги, особенно если есть привязки к регионам (а они есть). Очень часто DDOS маскируют другие виды атак и не являются самоцелью сами по себе.

Заказывают и ищут исполнителей довольно часто. Иной раз пишут в ICQ по нескольку раз в неделю (ник DOS, отчасти поэтому :) ), цена невелика и спрос есть. Лично мое имхо, DDOS наоборот помогают повысить квалификацию персонала компании и их наоборот нужно благодарить, что вовремя указали на развитие серверной базы и необходимость найма опытного системного администратора.
Скопировать ссылку на сообщение
Ответить
kuzmin
13/08/2012
Дмитрий Осипов:

1. Защита на уровне шлюза

Ну причем тут защита на уровне шлюза? Понятно, что против "детского" ддоса везде есть какие-то настройки, но если тупо забивается канал, ни какой шлюз не спасет. Даже спец. оборудование долгое время будет бессильно.

К примеру, ддосили кого-то на мастерхосте (сразу к вопросу о величине их каналов) мы лежим. А почему? Потому что в том же физическом сегменте. Только через 6 часов их противоддосное оборудование научилось вычищать этот трафик. И это ддосили не нас! А мы были там VIP клиентами со своей стойкой и т.д.

До всех этих балансировок нагрузки и ее распределение в ддосе не доходит. Всегда есть физическое построение. Да в ЖЖ не могут справится с такими ситуациями.


Supermarketvinternete:

так кому это нужно? Эти ддос атаки?

Я выше писал, один питерский компьютерный ИМ так ддосили, денег просили за прекращение.
Скопировать ссылку на сообщение
Ответить
Ответить
Разделы форума
Открытие бизнеса
Привлечение клиентов
Удержание клиентов
Ведение бизнеса
Работа с маркетплейсами
Тенденции развития
Специальные форумы