Перейти до вмісту

Атаки на сайт


Повідомлень в темі: 9

#1 -=VJ=-

    Старійшина

  • Користувачі
  • PipPipPipPipPipPipPipPipPipPip
  • 6536 повідомлень
  • Стать:Чоловік
  • Місто:Київ

Відправлено 22.05.2008 – 09:36

  • 9
Вже другий раз за останній тиждень отримую листа від свого хостера такого змісту:

Ми змушені припинити роботу Вашого сайту в зв'язку з атакою на нього. Нижче приведений лог одночасних запитів до сайту.

12.32.217.24 GET /cinema/fest/74/352 0.53 88559
12.32.217.24 GET /cinema/fest/74/370 2.50 86974
12.32.217.24 GET /cinema/funny/307 2.49 87903
і так ще сто рядків з різними ІР.


Хтось з таким зустрічався? Як боровся? І чия це взагалі проблема - власника сайту чи хостера?

Повідомлення відредагував -=VJ=-: 22.05.2008 – 09:37


#2 MrGALL

    Старійшина

  • Адміністратори
  • 2545 повідомлень
  • Стать:Чоловік
  • Місто:San Diego, CA || Kyiv, UA

Відправлено 22.05.2008 – 09:59

Скоріше за все то звичайний DDoS.
Чия то проблема — треба читати договір з хостером (або його публічну оферту).
Зазавичай такі проблеми вирішуються спільними зусиллями власника і хостера — або баном деяких діапазонів ІР або встановлення спеціального софту/заліза.

Основних причин DDoS’у дві:
— шантаж (за припинення атаки вимагають гроші)
— конкуренція (конкуренти замовляють DDoS щоб покласти сайт і вирватись вперед)

З якою метою атакують ваш сайт сказати важко, але його точно роблять не просто так — організація DDoS’у коштує чимало.

P.S. А може то якісь не дуже чемні роботи по сайту шастають і створюють зайве навантаження? Які у них user-agent’и?

P.S.S. 12.32.217.24 є в списку проксі-серверів.
  • 0

#3 -=VJ=-

    Старійшина

  • Користувачі
  • PipPipPipPipPipPipPipPipPipPip
  • 6536 повідомлень
  • Стать:Чоловік
  • Місто:Київ

Відправлено 22.05.2008 – 10:30

Перегляд дописуMrGALL (22.05.2008 10:59) писав:

P.S. А може то якісь не дуже чемні роботи по сайту шастають і створюють зайве навантаження? Які у них user-agent’и?

Не знаю, мені лише дали список IP

12.32.217.24
12.88.49.194
137.164.143.110
155.136.224.10
166.111.184.77
202.120.139.212
203.158.221.227
203.162.2.136
204.15.177.100
206.220.40.8
209.250.239.230
61.132.27.68
63.164.201.250
67.195.37.120
69.27.230.113
69.74.57.14
81.74.236.38
85.21.246.242
85.91.81.188
85.91.82.38
91.196.38.4
91.200.142.80
91.74.160.18
  • 0

#4 MrGALL

    Старійшина

  • Адміністратори
  • 2545 повідомлень
  • Стать:Чоловік
  • Місто:San Diego, CA || Kyiv, UA

Відправлено 22.05.2008 – 13:47

-=VJ=-
Більшість з цих ІР є в списках проксі.
З якою метою хтось ховається за проксі і гуляє по сайту сказати важко, можливо це спамерські боти, які шукають адреси е-пошти.
  • 0

#5 -=VJ=-

    Старійшина

  • Користувачі
  • PipPipPipPipPipPipPipPipPipPip
  • 6536 повідомлень
  • Стать:Чоловік
  • Місто:Київ

Відправлено 22.05.2008 – 14:16

Перегляд дописуMrGALL (22.05.2008 14:47) писав:

Більшість з цих ІР є в списках проксі.
З якою метою хтось ховається за проксі і гуляє по сайту сказати важко, можливо це спамерські боти, які шукають адреси е-пошти.

Як їх обмежити?

Мені ось що написали:

"Проблема в количестве процессов на http сервере и интенсивности запросов к нему. 100 одновременных процессов сайта на сервере является
неприемлимой ситуацией"


І що його робити? Обмежувати доступ до сайту не більше, аніж одночасно одним запитом від IP?
  • 0

#6 Чемний :)

    Постійний житель

  • Користувачі
  • PipPipPipPipPip
  • 140 повідомлень
  • Стать:Чоловік
  • Місто:Lviff-city

Відправлено 22.05.2008 – 20:36

я думаю, що для початку було б непогано на програмному рівні ввести фільтрацію по IP і заблокувати вже відомі адреси, а по мірі необхідності доповнювати "чорний список" новими IP. Але тут треба бути обережним, щоб не позаблоковувати нормальних користувачів.
  • 0

#7 MrGALL

    Старійшина

  • Адміністратори
  • 2545 повідомлень
  • Стать:Чоловік
  • Місто:San Diego, CA || Kyiv, UA

Відправлено 22.05.2008 – 23:03

-=VJ=-
Думаю для початку дійсно треба складати «чорний» список ІР і банити.
При цьому варто перевіряти, чий це ІР (наприклад у мене — http://mrgall.com/ri...91.200.142.80/) а також перевірити, чи це дійсно проксі (наприклад в ґуґлі — http://www.google.co...=91.200.142.80).
Також раджу зробити хочаб примітивну систему спростереження на сайті (записувати в лог або базу ІР, Referer, User-agent і т.п.) — тоді можна буде точніше розібратися з проблемою.
  • 0

#8 -=VJ=-

    Старійшина

  • Користувачі
  • PipPipPipPipPipPipPipPipPipPip
  • 6536 повідомлень
  • Стать:Чоловік
  • Місто:Київ

Відправлено 23.05.2008 – 13:34

Перегляд дописуЧемний :) (22.05.2008 21:36) писав:

я думаю, що для початку було б непогано на програмному рівні ввести фільтрацію по IP і заблокувати вже відомі адреси, а по мірі необхідності доповнювати "чорний список" новими IP. Але тут треба бути обережним, щоб не позаблоковувати нормальних користувачів.

Я так і зробив - заблокував усі підмережі, з яких приходили запити. Відвідуваність мого сайту з-за кордону мізерна - на рівні кількох відсотків, тому я нічого не втрачаю. Але ж проксі в мережі безліч...
  • 0

#9 -=VJ=-

    Старійшина

  • Користувачі
  • PipPipPipPipPipPipPipPipPipPip
  • 6536 повідомлень
  • Стать:Чоловік
  • Місто:Київ

Відправлено 14.07.2008 – 20:29

Забув відповісти, чим все закінчилось - додав на сайт модуль, який обмежує активність одного користувача одною секундою - швидше за раз на секунду відкривати сторінки не можна.
наче, тьху-тьху-тьху, з того часу все спокійно.
  • 0

#10 Sergiy_K

    Старійшина

  • Користувачі
  • PipPipPipPipPipPipPipPipPipPip
  • 6889 повідомлень
  • Стать:Чоловік
  • Місто:штори

Відправлено 14.07.2008 – 20:45

Перегляд допису-=VJ=- (14.07.2008 21:29) писав:

Забув відповісти, чим все закінчилось - додав на сайт модуль, який обмежує активність одного користувача одною секундою - швидше за раз на секунду відкривати сторінки не можна.
наче, тьху-тьху-тьху, з того часу все спокійно.
еххх, а я так мріяв качнути твій сайт ціляком :prapor3:
  • 0



Кількість користувачів, що читають цю тему: 1

0 користувачів, 1 гостей, 0 анонімних