DDOS

[Stanislav]

Цитата:

Сообщение от Stilet

Ну не. Это го еще не хватало. Если хочешь можешь меня считать балаболом, но такие вещи я никому кидать не буду во избежании всяких всякостей.

Баловандабиженные Конкудронты

да не буду я вас считать таким. и потом я не Баловандабиженные Конкудронт чтобы таким заниматься

[Stilet]

Цитата:

я не Баловандабиженные Конкудронт чтобы таким заниматься

Все равно не дам... Она моя. прелес-с-с-ть.

[Serge_Bliznykov]

Цитата:

Сообщение от Stanislav

как вы это поняли?

Если не ошибаюсь, то он в личку админу письма писал, обещал задоссить..
И не обманул, сукин сын!

[MihalNik]

Цитата:

Сообщение от Аватар

Предыдущий раз был "обиженный"

И в этот раз почти наверняка нечто подобное.

[Larboss]

Во кому-то делать нефиг, ддосят... а известна подсеть, откуда ддос идет?

[mv28jam]

Цитата:

Сообщение от Stanislav

Вас - это кого?

Вас - это нас.
Если прям интересно - пишите в личку.

[Stilet]

Цитата:

Во кому-то делать нефиг, ддосят...

Дык комплексы Геростратовы
Чего уж тут? Больной человек видимо. Киберберкутовец какой нибудь. Или адепт анонимусов.

[Stanislav]

Цитата:

Сообщение от Stilet

Все равно не дам... Она моя. прелес-с-с-ть.

кто ищет тот найдет, вопрос в желании.

[rpy3uH]

Цитата:

Сообщение от Stanislav

to Alar: они что мочили обычные страницы? по подробнее можешь рассказать что удалось выяснить по технической части, кто загибался сервер или БД или оба сразу, что с каналом было? ... хотелось бы подробностей.

MySQL при запросе SELECT... where id=xxx смотрит где нахаходится запись с таким ключом, если в памяти, то выдаёт результат, если нет, то подсасывает часть таблицы с диска. Если памяти не хватает, то выплёвывает что-то другое из памяти на диск. Почему форум нормально работает при такой большой базе, потому что посетители в основном смотрят только пару сотен последних тем и сообщений, и все эти данные умещаются в ограниченной памяти MySQL, минимум дисковых операций и прочих манипуляций.

Судя по той инфе которую мне поведал Alar, то атака очень умная и изящная.

Код:

GET /showthread.php?t=<random id> HTTP/1.1

При таком мелком запросе форум выполняет кучу операций и выдаёт страницу. 2-3к ботов которые будут рандомно тыкать на случайный ID 2-3 раза в секунду (причём не параллельно а последовательно), уложат форум почти мгновенно с учётом его огромной базы данных. MySQL будет только и занята тем, что будет перетасовывать туда-сюда кусочки огромной таблицы. Ничего нельзя определить и никого не задетектить, всё легально и правильно.

Защищаться можно только через увеличение лимитов на БД, и увеличение физической памяти сервера, плюс SSD. Но это не даст принципиальной разницы. Лучшая защита против таких атак сейчас это cloudflare.com (парочка других намного более нагруженных порталов, на которыхя часто сижу, успешно защищаются через cloudflare и не знают таких проблем). В случае более серьёзного и напористого подхода атакующего, форум будет лежать месяцами.

[Alar]

Подробности сказал Руслан.
Долго не мог решить потому что был не готов и разбирались в чем причина сутки. пробовали разные методы. и был уставший с дороги. когда выспался и поковырялся решил частично проблему ддоса.

С утра второго дня проснулся. вспомнил все. настроил фаервол и почти с первого раза отсек. Коротко сейчас не может войти ничего кроме четырх стран. если IP в базе фаервола как не один из 4 самых больших стран - то для них сегодня форум не доступен. Завтра может быть надо расширить список стран которым доступ открыт. потом днем потестил на другом компе. увидил что фаервол быстро блокирует. ослабил блокировку по параметрам подключений. но количество ботов из России и Украины уже не так велик. и им спокойно отдаются страницы. а если уж очень много коннектов - во временныый бан.

Самое главное было установить и вспомнить настройки фаервола. сложно это делать под атакой. Вообщем сейчас многие функции ограничены. но форум удается отдавать в спокойном режиме пока так..

кстати список ip за 30 минут набрался за 3000 и начал тормозить фаервол. потому что решил сначала выловить по IP в долгий бан. примерно мощность ботнета 10 000 штук. может чуть больше чуть меньше. но все равно не вариант. Атака не примитивная а разнонаправленная. уверен что ддос на ДНС уже на подлете отсекает яндекс. а это самый противный ддос. с отсальным справляться уже проще.