Поиск  Пользователи  Правила 
Закрыть
Логин:
Пароль:
Забыли свой пароль?
Войти
 
Страницы: 1
RSS
DDoS атака на трекер., Идёт DDoS атака на трекер с ботнетов. Баним IP, подняли часть БД из бэкапа но атака интенсивная - свыше 5000 запросов в секунду на спаде атаки.
 
Сразу оговорюсь: "чайников" прошу не писать - не до Вас ребята, вторые сутки не спим, отбиваем атаку.

Что имеем: DDoS атака по скриптам Appach + nginx на фронт энде + fastcgi. Сейчас перенастроили на внутренний прокси, на брандмауэре забанили большую часть IP ботнетов с которых идёт атака, подняли часть повреждённой БД из бэкапа. Но, всё равно идёт атака на скрипты ПМ - частая 504-я. Сервер способен потянуть до 100000 юзеров, сейчас у нас около 9000, то есть он не догружен, запас есть. Большинство адресов ботнетов уже забанено.
Они повторяются по-тихоньку. Ботнеты ограниченные, просто недостаточно запросов пока с каждого адреса, чтобы на 100% определить что это не юзер к нам бьется, ибо клиенты тоже часто ведь стучат если куча торрентов на раздачах.

Что хотелось бы знать: есть ли какие то известные дыры у связки, как их закрывать. Точнее я передам админам, но и мне как модератору ПМ завален запросами о проблемах с доступом к торрентам - часть связей между описаниями раздач и торрент файлами в БД атакой повреждены, пока удалось поднять ещё не всё.
 
С провайдером надо вплотную взаимодействовать. А тот должен работать со своим аплинком (если провайдер не магистрал, конечно).
 
Цитата
VictorVG пишет:
"чайников" прошу не писать - не до Вас ребята, вторые сутки не спим, отбиваем атаку.
Ну и кто вам доктор, если вы даже документацию на используемый софт прочитать ленитесь... У nginx есть limit_request, который сам вполне умеет отслеживать слишком шустрых. А дальше: awk, pf с динамическими таблицами и т.д.

Код
pass in quick proto tcp from any to $ext_if port { 25 } flags S/SA \
            keep state (source-track rule, max-src-conn-rate 4/10, \
            tcp.established 60, tcp.closing 5, \
            overload <bad_hosts> flush global ) queue marketing


Чего там "вторые сутки не спать" - я не очень понимаю. Хотя, по первости, наверное интересно. :)
Изменено: Andrey Y. Ostanovsky - 01.10.2009 00:28:59
 
Andrey Y. Ostanovsky

Некие "малолетки" не поскупились на обширную ботнет сеть. С хостером общались - обещал "помочь", но ему похоже сейчас не до нас. Причины не называет. Лимиты естественно стоят, но даже на минимуме атаки её интенсивность по логам была намного больше 5000 запросов в секунду на каждый торрент. В итоге под нагрузкой скрипты легли...
 
Если посчитать 5000 pps по 150 байт - это около 6 мегабит в секунду. Тут уже "ляжет" и сетевое оборудование, типа свичей. Так что, есть у меня ощущение, что не было там пяти тысяч осмысленных _запросов_ в секунду. А "не запросы" должны фильтроваться не доходя до боевых скриптов.
 
Цитата
Andrey Y. Ostanovsky пишет:
А "не запросы" должны фильтроваться не доходя до боевых скриптов.

Не могу не согласиться. Более того - подтверждаю верность этого высказывания. И Виктору высказал способы борьбы с этим. Но, как говорят пендосы - It depends. То есть необходимо теснейшее взаимодействие в цепочке хостящийся-хостер-провайдер-аплинк.
 
Andrey Y. Ostanovsky
SOLDIER


У-ф-ф-ф... Вроде подняли. Забанили эту публику по IP. Осталось только по мелочи - где-то почистить, где-то удалить неудачно залитые раздачи. В общем типовая рутина.

Спасибо большое за помощь. Думаю, что тему можем закрывать пока флудеры не набежали.:)
 
Сочувствую
тоже разок столкнулся с примерно подобным
Но мне повезло провайдер с мозгом и очень оперативно все разрешилось - просто банили чисто сети и подсети - некоторые клиенты остались в пролете но это уже мелочи жизни
 
arkan

Наш молчит. Просто мы свои меры приняли. В итоге периодическая 504-я либо предложение сервера сохранить скрипты вместо перехода. Повторяешь команду через несколько секунд и выполняется. Я лично уже приспособился. :D
 
Цитата
VictorVG пишет:
У-ф-ф-ф... Вроде подняли. Забанили эту публику по IP. Осталось только по мелочи - где-то почистить, где-то удалить неудачно залитые раздачи. В общем типовая рутина.
А что с базой то произошло? Кроме Ддос еще и взлом был?
Хочешь быть мудрым? Не желай всего, что видишь; не верь всему, что слышишь; не говори всего, что знаешь; не делай всего, что умеешь, а только то, что полезно.
 
Александр Антипов

К счастью защиту не сломали - просто при проверке я попал на блок старых торрентов удалённых системой как "мёртвые" - то есть к ним долгое время не обращались и сработало автоудаление по времени, но некоторые пользовательские аккаунты откатились на момент регистрации. В основном это новички кто пришёл по открытой регистрации. Благо таких оказалось всего несколько человек им просто сбросили пароль и одновременно сформировали новый запрос на подтверждение аккаунтов. Сама же база уцелела - мы смогли вовремя её дополнительно защитить. DDoS-ят до сих пор, но это проявляется уже только в виде ошибки 504 или периодического предложения системы скачать тот или иной скрипт вместо его выполнения. А это уже по сравнению с тем что было в первое время пока мы не забанили ботнеты по IP уже воспринимается скорее как досадная помеха - трекер работает, люди делают свои ошибки которые мы оперативно правим. :) Поэтому можно считать, что своей цели - нарушить работу трекера на длительное время атакующие не достигли.

Конечно как всегда есть серия болтунов и паникёров разводящих панику и флейм на форуме, но с ними разбирается администрация портала. У себя же тех, кто нарушал все нормы общения мы забанили за хамство. Некоторым я лично бан выписал за оскорбление пользователей. Пусть злятся, обижаются, но за хамство и оскорбления даже в личку я банил, баню, и буду банить виновников без снисхождения - права оскорблять других людей ни у кого нет, не было и не будет невзирая на статусы.
Изменено: VictorVG - 06.10.2009 11:53:18
 
мне когдато очень хорошо вот такая штука помогла
add 1002 allow tcp from any to me setup limit src-addr 3
 
VictorVG, с адресов 89.189.*.* DDoS'ы были?
Если да, то кинь мне в личку, а то я подозреваю, что меня 2 дня использовали(потом заметил) для атак(4GB отдачи в день)!
Страницы: 1
Читают тему