Перейти к содержимому

MOAB

* * * * * 1 Голосов

Нужна помощь, ддосят сайты


  • Войдите, чтобы ответить
Сообщений в теме: 20

#1 birds

birds

    Мастер

  • Основатель
  • PipPipPipPip
  • 639 сообщений
544

Отправлено 25 Декабрь 2016 - 12:41

Друзья, нужна ваша помощь. второй день доссят сайты. Подскажите где и как можно определить диапазон айепи адресов, для добавления в черный список.
Брандмауер понимает запись вида 177.140.0.0/14 а 2ip.ru выдает диапазон по другому 177.140.0.0 - 177.140.20.30
Как перевести из одного формата в другой?

Может еще есть советы по защите от ддос

#2 uniks

uniks

    Почетный

  • Основатель
  • PipPipPipPipPip
  • 3 296 сообщений
3 112
  • ИзИркутск

Отправлено 25 Декабрь 2016 - 12:56

birds, лучше хостеру написать или заказать услугу защиты.

#3 birds

birds

    Мастер

  • Основатель
  • PipPipPipPip
  • 639 сообщений
544

TC Отправлено 25 Декабрь 2016 - 13:10

с айпи разобрался вроде, хостер что может предложить это отключить сайт который ддосят. Защита сайтов через спец сервисы стоит космос, смотрел уже

#4 madcap

madcap

    Мастер

  • Старая гвардия
  • PipPipPipPip
  • 791 сообщений
697
  • ИзМосквы

Отправлено 25 Декабрь 2016 - 13:44

Возможно это знак.
Не пора ли переезжать c хостинга на VDS?

#5 birds

birds

    Мастер

  • Основатель
  • PipPipPipPip
  • 639 сообщений
544

TC Отправлено 25 Декабрь 2016 - 13:47

я на VPS

#6 azsx

azsx

    Почетный

  • Основатель
  • PipPipPipPipPip
  • 4 814 сообщений
3 018

Отправлено 25 Декабрь 2016 - 15:25

birds, Если у вас реальная ддос атака, то первым делом советую ответить на вопрос:
Важно! хостер морозит мой акк, со всеми сайтами, мои дальнейшие действия. и далее по пунктам.
Далее, бы написал 177.140.0.0/19, потом поглазейте в логах, исчезли ли проблемные ip. Но я в этом толком не шарю, диапозоны ихние, смещения. Банить всех нафиг по 24 и пофигу. зы все - это в смысле каждый ip отдельно 172.140.0.0/24; 172.140.1.0/24;...;172.140.20.0/24
Далее, если ддос идёт траффиком, и хостер вас ещё не заблочил, то спалите такого няшного хостера, пожалуйста. Если ддос идёт атакой на скрипты, поиск, выборки и прочую муть - то валите на хтмл.
И ещё совет - пишите абузы! Мол здрасте, нашел что ip такой то принадлежит провайдеру такому, с вашего ip идёт ддос, я пока просто недоволен, примите меры.

#7 madcap

madcap

    Мастер

  • Старая гвардия
  • PipPipPipPip
  • 791 сообщений
697
  • ИзМосквы

Отправлено 25 Декабрь 2016 - 15:45

Вот интересная статья по теме - https://xakep.ru/201...tiddos-recipes/

#8 birds

birds

    Мастер

  • Основатель
  • PipPipPipPip
  • 639 сообщений
544

TC Отправлено 25 Декабрь 2016 - 16:56

azsx,хостер меня не отключит, я же выше написал что VPS Банить баню, но айпишников очень много. идут около 500 запросов в секунду

#9 azsx

azsx

    Почетный

  • Основатель
  • PipPipPipPipPip
  • 4 814 сообщений
3 018

Отправлено 25 Декабрь 2016 - 17:44

Цитата

,хостер меня не отключит, я же выше написал что VPS
:)

#10 Дартаньян

Дартаньян

    во имя матана

  • Участник
  • PipPipPipPipPip
  • 4 787 сообщений
5 937
  • ИзКрии

Отправлено 25 Декабрь 2016 - 19:59

Просмотр сообщенияbirds сказал:

Защита сайтов через спец сервисы стоит космос, смотрел уже
мегабит на qrator около 5к руб (мегабита достаточно для нескольких К уников)
cloudflare вообще 20$ вроде

самому отбивать ддос неразумно без специальных железок и знаний

#11 birds

birds

    Мастер

  • Основатель
  • PipPipPipPip
  • 639 сообщений
544

TC Отправлено 25 Декабрь 2016 - 21:56

Просмотр сообщенияДартаньян сказал:

cloudflare вообще 20$ вроде
Вот на него присматриваюсь, но 20$ это один сайт, а если 10 то уже 200$/мес дополнительных расходов. А защищать надо все.

кстати рег ру хостинг пишут, что бесплатная защита от ддос атак типа легкого и среднего уровня, за защиту от мощного платить отдельно. Ни кто там у них случаем не живет на хостинге?

#12 GogA

GogA

    Продвинутый

  • Основатель
  • PipPipPip
  • 315 сообщений
309
  • ИзMoscow

Отправлено 26 Декабрь 2016 - 19:38

Если денег на защиту от ддоса не хочется тратить или (как в моём случае) 1 января почти никто не готов работать:

Настраиваем фаервол, я юзал IPFW.

Далее парсим логи nginx (или что там у вас смотрит во внешний мир) за какой-то период и находим самых наглых (исключаем свой ip из списка только), сколько запросов у меня было не помню, логи nginx прирастали на 800 метров в минуту, чистил раз в 5 минут.

[94.139.235.62] => 627
[195.16.78.14] => 630
[92.255.220.69] => 634
[193.138.247.179] => 638
[91.195.230.11] => 654
[92.112.111.54] => 660
[217.172.29.122] => 663
[188.114.26.72] => 670
[213.21.43.202] => 670
[109.184.86.52] => 673
[78.37.5.210] => 682
[188.134.42.16] => 685
[93.125.89.45] => 718
[93.185.183.118] => 766
[92.112.154.217] => 797
[94.45.168.232] => 826
[94.178.65.40] => 864

Далее добавляем все ip выше разумного предела в табличку (не забываем что в логах может быть статика и обычный клиент может тоже нагенерировать кучу строк):
ipfw table 1 add 94.139.235.62

Всё вешаем на крон.

В конфиге IPFW блочим все айпи из таблицы.
Сам конфиг друг помог настроить, тут без сисадмина никуда.
Не могу найти конечный вариант конфига, но вроде этот вариант хорошо работал в сочетании со скриптом, который добавляет в табличку ip для блокировки:
#!/bin/sh
ipfw add 100 check-state

ipfw add 500 allow icmp from any to any icmptype 3,4,8,11
ipfw add 510 allow ip from any to any via lo0

ipfw add 1000 deny ip from any to 127.0.0.0/8
ipfw add 1005 deny ip from 127.0.0.0/8 to any
ipfw add 1010 reject tcp from any to any tcpflags fin, syn, rst, psh, ack, urg
ipfw add 1015 reject tcp from any to any tcpflags !fin, !syn, !rst, !psh, !ack, !urg
ipfw add 1020 reject tcp from any to any not established tcpflags fin
ipfw add 1025 deny ip from any to any not verrevpath in
ipfw add 1030 deny ip from "table(1)" to any

ipfw add 20000 allow ip from any to me 1024-65534 established in via em0
ipfw add 20010 allow ip from me 1024-65534 to any setup out via em0

ipfw add 30000 allow ip from any 53 to me via em0
ipfw add 30010 allow ip from me to any dst-port 53 via em0

ipfw add 50000 allow tcp from me 20,21,22,80,443,8080 to any established out via em0
ipfw add 50010 allow tcp from any to me dst-port 20,21,22,80,443,8080 setup in limit src-addr 4 via em0

ipfw add 65530 deny ip from any to any via em0

ipfw add 6000 deny all from "table(1)" to me via em0

ipfw table 1 add 93.84.183.87
ipfw table 1 add 86.57.240.20
ipfw table 1 add 77.120.144.246
ipfw table 1 add 68.38.6.240
ipfw table 1 add 212.124.6.180
....
Но тут нужно быть аккуратным, несколько ошибок и проблем будет только больше :)

Где-то недели две было борьбы с ддосом, потом ещё пару раз пробовали завалить сайт, но уже всё работало как часы.

В один момент тестировал:

Цитата

убрал правила фаервола
за минуту nginx зафиксировал 140000 обращений

Итогом всё равно стал переезд на дедик.

Как вариант, если сайтов много, все не могут быть целью. Искать целевой, переносить на другую площадку и там уже заниматься отражением ддоса.

#13 birds

birds

    Мастер

  • Основатель
  • PipPipPipPip
  • 639 сообщений
544

TC Отправлено 27 Декабрь 2016 - 01:52

GogA, спасибо! Сейчас разбираюсь с бесплатным планом на cloudflare.com самому отбиваться не мое...

#14 Дартаньян

Дартаньян

    во имя матана

  • Участник
  • PipPipPipPipPip
  • 4 787 сообщений
5 937
  • ИзКрии

Отправлено 27 Декабрь 2016 - 03:45

Просмотр сообщенияGogA сказал:

Где-то недели две было борьбы с ддосом, потом ещё пару раз пробовали завалить сайт, но уже всё работало как часы.
Повезло. Лохи какие-то были :)

#15 birds

birds

    Мастер

  • Основатель
  • PipPipPipPip
  • 639 сообщений
544

TC Отправлено 27 Декабрь 2016 - 10:14

новости с фронта, ддос не закончился, бесплатный тариф cloudflare не помог ваще никак, пробую платный начального уровня...

#16 GogA

GogA

    Продвинутый

  • Основатель
  • PipPipPip
  • 315 сообщений
309
  • ИзMoscow

Отправлено 27 Декабрь 2016 - 15:41

Просмотр сообщенияbirds (27 Декабрь 2016 - 10:14) писал:

новости с фронта, ддос не закончился, бесплатный тариф cloudflare не помог ваще никак, пробую платный начального уровня...

Ты нашёл цель ддоса?

#17 birds

birds

    Мастер

  • Основатель
  • PipPipPipPip
  • 639 сообщений
544

TC Отправлено 27 Декабрь 2016 - 16:43

Цель? - сайт. Кароче тариф за 20уе нехера не помогает, или я не до конца его настроил...

НУЖЕН СПЕЦ по защите от ддос с консультацией, у кого есть такой на примете?

#18 azsx

azsx

    Почетный

  • Основатель
  • PipPipPipPipPip
  • 4 814 сообщений
3 018

Отправлено 27 Декабрь 2016 - 16:58

birds, ддос бывает либо траффиком, либо атакой на скрипты. Если идёт ддос по трафику, то даже на выкупленный канал (по слухам) хостер может бучу поднять. А вдс отключют автоматом буквально.
Если у вас ддос по траффику, то садитесь с логами и grep'ом и скучая смотрите ненормальные ip которые баните на сетевом уровне (то есть не на вдс, а где то там в железках).
Если у вас ддос на скрипты, то (раз вам не нравится идея запуститься на хтмл) садитесь с логами и grep'ом и блочите их до уровня скриптов iptables'ом, например. Очень советую поищите атаку на скрипты, как правило однотипно всё.
зы
забыл добавить, за свою краткую жизнь я видел только атаки на скрипты.

#19 birds

birds

    Мастер

  • Основатель
  • PipPipPipPip
  • 639 сообщений
544

TC Отправлено 27 Декабрь 2016 - 19:10

VPS кстати мой ни отключали, сейчас у фастов, но у них нет защиты от ддос, до это момента они полностью устраивали, но теперь видимо придется искать с защитой, ибо за три дня я подзапарился...
лучше что бы этим делом занимались спецы, я пробовал три дня воевать... Ищу теперь хостинг с защитой от ддос с адекватными цена...

#20 login11

login11

    Новенький

  • Новичок
  • Pip
  • 2 сообщений

Отправлено 09 Январь 2018 - 12:37

друг, попробуй проверить свой сайт на уязвимость через этих ребят webimho.ru я время от времени свой проверяю

Сообщение отредактировал angr: 09 Январь 2018 - 13:03




Похожие темы


Количество пользователей, читающих эту тему: 0

0 пользователей, 0 гостей, 0 анонимных



© 2018 SMO&SEO форум «WEBIMHO» — продвижение и создание сайтов, интернет-маркетинг

По вопросам рекламы на форуме и цены на рекламу
Все материалы SEO форума разрешены к копированию только с установкой гиперактивной ссылки на webimho.ru,
тем, кто этого не сделает, мы оторвем руки и ноги и поменяем местами,
а когда выйдем из тюрьмы, опять оторвем и опять поменяем.


Россия, г. Москва

Мы в соцсетях: twitter | вконтакте | facebook | livejournal