И так темы уже долго нету... Собственно создал так как есть некоторые вопросы
Вопрос:

Кто может сказать по собственному опыту как держат скрипты от ддоса (хорошо/плохо)
Паблик скрипты наврятли держат но все таки интересует можно но ли на собственном php скрипте держать сайт от ддоса

(я сейчас не касаюсь фаерволлов... токо интересует вопрос по скриптам)

По-моему ответ очевиден: все зависит от скрипта и от мощности ддоса. Этот вопрос из серии "поможет ли мне кастет, если на меня нападут злобные гопники?". Если к тебе подойдет один, то кастет будет очень кстати. Если же у тебя попросят закурить семь лбов, то кастет, увы, тебе уже не поможет :(
Ответ: при небольшом ддосе да.

так же поддерживаю мнение про силу дос атаки и так сказать "силу" скрипта.

Никак они не держат

Linux и правильно настроенный сервер поможет от атак малолеток. А от крупного ддоса я думаю это не поможет :(

Можно сделать скриптами минимальную нагрузку на сервер.
Скаже они из простых способов. Создается html страничка где ява скрипт который проставляет куки и делает редирект уже на страничку с php (где можно проверять куки а можно и не проверять). Ддос бот редирект яваскрипта не обойдет. Будет грузить только html страничку, нагрузка на сервер будет минимальна.

окей, и я спрошу)
представляем.

вводные:
10 сайтов: [site1.ru site2.ru ... site10.ru] сайты _пустые_ , все, что на них есть - редиректы.
редиректы видут на сайты
[fjgdsk1.ru fjgdsk2.ru ... fjgdsk30.ru]
точнее 10 верхних сайтов редиректят на 10 нижних, но при необходимости редирект можно менять.

На верхних сайтах - только редирект. Хорошие хостинги на мощных серверах, широкие каналы.
На нижних - контент. Обычные бесплатные хостинги типа Юкоза.
контент на всех сайтах идентичен, при необходимости сайты с контентом могут создаваться новые, благо все бесплатно.

*рекламируются* только сайты с редиректами. Именные. 10 штук.
нижние - дроп. можно создавать условно- бесконечное число зеркал на огромном количестве разных хостов.

Вопрос
Насколько такая сетка ДДОС-о устойчива?
(при том, что юзеры знают, что если лежит site1.ru они могут зайти через site2.ru)

"задача" - грубо говоря положить более 2\3 сети.
точнее задача в обратном, но смысл вы поняли:p

такая сетка имеет хорошую ддос устойчивость, но:
1. Она глупа. (так как проще будет взять один очень мощный хост и там хостить один ресурс)
2. Проблемы с СЕО (я думаю, всех сеошников такое предложение повергло в печаль)
3. Дорого. Дороже хорошей выделеной машинки.
4. Запрос можно строить и напрямую, минуя редирект, а значит, сайты с редиректами - ловушка для дурачков.
5. Пятый пункт.

Можно сделать скриптами минимальную нагрузку на сервер.
Скаже они из простых способов. Создается html страничка где ява скрипт который проставляет куки и делает редирект уже на страничку с php (где можно проверять куки а можно и не проверять). Ддос бот редирект яваскрипта не обойдет. Будет грузить только html страничку, нагрузка на сервер будет минимальна.

выцепить за хвост действия яваскрипта, посмотреть адрес пхп-странички и ддосить ее, минуя яваскрипт с хтмл-страничкой.
Печеньки не проверяются.
Ежели печеньки проверяются - ддосить эту проверочку. А если выцепить алгоритм проверки, то можно и его нагнуть таким макаром, что бы ддос был удачен с минимального ботнета.

окей, и я спрошу)
представляем.

вводные:
10 сайтов: [site1.ru site2.ru ... site10.ru] сайты _пустые_ , все, что на них есть - редиректы.
редиректы видут на сайты
[fjgdsk1.ru fjgdsk2.ru ... fjgdsk30.ru]
точнее 10 верхних сайтов редиректят на 10 нижних, но при необходимости редирект можно менять.

На верхних сайтах - только редирект. Хорошие хостинги на мощных серверах, широкие каналы.
На нижних - контент. Обычные бесплатные хостинги типа Юкоза.
контент на всех сайтах идентичен, при необходимости сайты с контентом могут создаваться новые, благо все бесплатно.

*рекламируются* только сайты с редиректами. Именные. 10 штук.
нижние - дроп. можно создавать условно- бесконечное число зеркал на огромном количестве разных хостов.

Вопрос
Насколько такая сетка ДДОС-о устойчива?

бесплатные хостинги держатся благодаря ограничениям ограничениям как и большикство платных. Если число конектов будет забито ддосером никто никуда не попадет. Хз как тут решить. Все зависит от целей.

Cthulchu проверка куки делается на уровне nginx или htaccess

1. что-то мне подсказывает что 10 "обычных" качественных платных хостингов в разных странах веселее одной выделенной машины. Тем более ни нагрузки на сайты-редиректы, ни трафика не будет. Можно покупать хоть самые дорогие тарифы хостинга этих редиректов.

2. основная реклама - спам. Только черные методы.

3. не факт. по сути много мелких ресходов. Хотя, конечно, содержание стольких доменных имен и влетит в копеечку.
НО - не сравнимую с тем кто называется "защита от ДДОСа"
сколько то тысяч _рублей_ в год. Вовсе не долларов и не в месяц;)

4. если началась атака на сайт fjgdsk2.ru - редирект, который вел на него можно тут же можно сменить на fjgdsk22.ru.
Точнее это следует реализовать как-то автоматически.

5 пункт

------------------------------------
Егорыч. смерть бесплатных сайтов типа fjgdsk2.ru - не принципиальна. Их можно клонировать условно- бесконечно, причем бесплатно и главное - без ущерба для конечного пользователя, т.к. он даже не запоминает их бредовых названий, зная лишь 10 имен сайтов с редиректами..
в то время как ддос сайтов с контентом, даже на беспатных хостингах - тоже будет стоить денег.

-----------------------------------
цель - сделать ДДОС максимально затратным.

ErrorNeo,
да, все так, но на счет черных методов... Я думал на эту тему в контексте античата. никаких черных методов.
Егор, а давай точнее. Как будет выдаваться печенье?
В идеале - на каждый запрос - менять печеньку пользователя, но тогда будет само по себе затруднительно. А если выдавать печеньку только один раз, то ботам ничего не мешает кормить эту печеньку на входе в пхп и кушать ддос-багу типа поиска.
ЗЫ
может не будем выдумывать слона и свяжемся с админами мелкософта и админами аналогичных по величине ресурсов?..

Ктулху. В контексте античата это, к сожалению, сложнее((
хостить проект кучей зеркал на бесплатных хостингах.. это практически гарантированная утечка привата. Как минимум в следствие уязвимости самих бесплатных хостингов)

разве что разделить проект на приватную и паблик часть, и хостить одновременно на 2 хостах(точнее паблик - на 20 хостах-зеркалах и приват на 3-4 зеркалах-платниках) но с такими реализациями я еще не сталкивался, хз как это выглядело бы)

+ проблема с синхронизацией. Это ведь не полу-статичный сайт, как то, что описывал я в примере выше.=\

как вариант сделать сайты
login1_antichat.ru login2_antichat.ru ... login5_antichat.ru
с редиректами, и расклонировать по крайней мере паблик часть ачата на 20 хостингах xD

при необходимости редирект можно снимать с одних зеркал и кидать на другие.
затратно, конечно. зато надежно

да какая надежность. владельцы ботнетов не такие тупые, чтобы возиться с редиректами. Не панацея твой редирект, как ты не можешь понять. надо что-то интереснее придумать.

если не будут возиться с 5 редиректами - придется "напрямую" класть одновременно 20 "конечных" зеркал)
хотя напряг идет в обе стороны(
держать 20 зеркал с парой гигов контента на каждом - тож не конфетка по стоимости=\ пусть даже с 1 гигом

зеркала не помогут. на них тоже будет неплохая нагрузка. да и очень дорого будет 20 зеркал держать. И опять же, трабла с СЕО. не так просто все.
Даже 2-3 зеркала будут траблой для ачата в финансовом плане. Это не хухры-мухры.

Мда... ну что еще добавить?...

Продолжаем писать защиты на php, при помощи htaccess, можно даже на javascript, mysql....


А что до модели OSI, а в частности различия между 3 и 7 уровнями - так это так, не важно...


http://forum.antichat.ru/showpost.php?p=630537&postcount=9
http://forum.antichat.ru/showpost.php?p=630702&postcount=23

изис как то хвалился что создал супер защиту от ддоса на пшп)) можете поискать на форуме

Разве нельзя замутить такую фишку? Написать небольшой сервер, который при коннекте к себе проверяет, какой IP подключился (делаем accept). Если IP находится в черном списке, - сразу разрываем соединение, не принимая и не отсылая никаких данных.

Разве нельзя замутить такую фишку? Написать небольшой сервер, который при коннекте к себе проверяет, какой IP подключился (делаем accept). Если IP находится в черном списке, - сразу разрываем соединение, не принимая и не отсылая никаких данных.

Я где то слышал это называется FireWall :D

Мда... ну что еще добавить?...

Продолжаем писать защиты на php, при помощи htaccess, можно даже на javascript, mysql....


А что до модели OSI, а в частности различия между 3 и 7 уровнями - так это так, не важно...

http://forum.antichat.ru/showpost.php?p=630537&postcount=9

Печально, народ все сильнее деградирует.
Пора бы знать, что бороться с данными видами атак нужно на уровне протокола. Вдобавок, для достижения результата, в большинстве случаев не требуется возвращение трафика на сторону отправителя, т.к. IP протокол при создании пакетов не проверяет адрес. О какой блокировке распределенной атаки тогда может идти речь, если отсутствует источник нападения? Все четко понимают, что такое DDoS и DoS? Так что прекратите нести дезинформацию в народ, а лучше почитайте книжки по TCP/IP стеку.
neval, а человеческим языком прокомментировать этот пост? Имхо пост ни о чем, если нет конкретных примеров

О каких комментариях может идти речь если вам не известна мат.часть и общий принцип.

После просмотра раздела у меня сложилось впечатление что не все понимают происходящие, а если конкретно то, разницу между нагрузкой на сам веб-сервер (приложение) и нагрузкой на каналы. Все продолжают писать скрипты на интерпретируемых языках тем самым увеличиваю нагрузку при каждом запросе.
При направленной нагрузке на приложение лучше всего предоставить оборону аппаратным средствам.
При нагрузке на каналы в дело должен вступать сам провайдер, так же с аппаратными средствами и очисткой трафика на более низких уровнях.

провайдер чесаться даже не вздумает. для него ддос - это трафик.

В общем, выход наверняка в том, чтобы иметь под проект свой дедик, на котором будет крутиться только проект. Тогда можно и защиту на асме, а не на пхп и джаве сочинять, можно и прова выбирать (чем вызывать его заинтересованость в блоке ддосеров.)
ЗЫ
а что будет, если вместо того, что бы банить айпишники ддосеров - редиректить их на сайт провайдера/хостера?

Безусловно, но при такой политике он далеко не уедет.
Как банить и где? Трафик в любом случаи идет.

да пусть себе идет, просто, как мне кажется, в таком случае, владелец проекта делает ддос не только своей проблемой, но и проблемой непосредственно ресурса хостера/прова, что, по идее, мотивирует хоста/прова банить эти айпишники на своем низкоуровневом железе.
Естественно, при редиректе нельзя показывать реферала и свои айпишники. Хотя, даже так можно будет договориться.

1.1.1.1 - мой IP
2.2.2.2 - IP сервера

Дамп установки соединения:

Посылка серверу SYN-пакета. "Привет сервер. Я клиент. Хочу подключиться"
21:46:38.648202 IP 1.1.1..59503 > 2.2.2.2.80: S 3701186222:3701186222(0) win 5808 <mss 1412,sackOK,timestamp 39307371 0,nop,wscale 7>
E..<V.@.5.3.[.=.[....o.P............GT.........
.W.k........

Сервер создает сокет, затрачивая память и пересылает клиенту SYN-ACK. "Привет клиент. Сокет создан. Подключайся"
21:46:38.648219 IP 2.2.2.2.80 > 1.1.1.1.59503: S 1928113984:1928113984(0) ack 3701186223 win 65535 <mss 1412,nop,wscale 3,sackOK,timestamp 1726391506 39307371>
E..<{.@.@...[...[.=..P.or..@.......................
f....W.k

Отправка клиентом ACK-флага...
21:46:38.721210 IP 1.1.1.1.59503 > 2.2.2.2.80: . ack 1 win 46 <nop,nop,timestamp 39307444 1726391506>
E..4V.@.5.3.[.=.[....o.P....r..A....^2.....
.W..f...


И вот только теперь начинается HTTP (7 уровень OSI).... Все ваши скрипты, htaccess и прочее..

Передача заголовков браузером

21:46:38.722817 IP 1.1.1.1.59503 > 2.2.2.2.80: P 1:381(380) ack 1 win 46 <nop,nop,timestamp 39307444 1726391506>
E...V.@.5.2"[.=.[....o.P....r..A...........
.W..f...GET / HTTP/1.1
Host: 2.2.2.22
User-Agent: Mozilla/5.0 (X11; U; Linux x86_64; ru; rv:1.9.0.10) Gecko/2009060500 Gentoo Firefox/3.0.10
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8
Accept-Language: ru,en-us;q=0.7,en;q=0.3
Accept-Encoding: gzip,deflate
Accept-Charset: windows-1251,utf-8;q=0.7,*;q=0.7
Keep-Alive: 300
Connection: keep-alive


Ответ веб-сервера..

21:46:38.723439 IP 2.2.2.2.80 > 1.1.1.1.59503: P 1:367(366) ack 381 win 8225 <nop,nop,timestamp 1726391581 39307444>
E...{.@.@...[...[.=..P.or..A...+.. !.......
f....W..HTTP/1.1 200 OK
Date: Thu, 09 Jul 2009 21:46:38 GMT
Server: Apache/2
Last-Modified: Tue, 30 Jun 2009 18:59:08 GMT
ETag: "7ff396-c-46d9566bc1700"-gzip
Accept-Ranges: bytes
Vary: Accept-Encoding,User-Agent
Content-Encoding: gzip
Content-Length: 28
Keep-Alive: timeout=1, max=100
Connection: Keep-Alive
Content-Type: text/html


<остальное вырезано>


Т.е. нагрузка на сервер идет еще до получения вебсервером запроса на получение страницы...

Ситуация с SYN-флудом заключена в следующем:
- 1.1.1.1 "Привет сервер. Я клиент. Хочу подключиться"
- 2.2.2.2 "Привет клиент. Сокет создан. Подключайся"
- 1.1.1.1 "Привет сервер. Я клиент. Хочу подключиться"
- 2.2.2.2 "Привет клиент. Сокет создан. Подключайся"
- 1.1.1.1 "Привет сервер. Я клиент. Хочу подключиться"
- 2.2.2.2 "Привет клиент. Сокет создан. Подключайся"


Добавить сюда SYN-спуфинг (клиент указывает левый source-адрес)
Все пакеты отсылает одна машина:
- 1.1.1.1 "Привет сервер. Я клиент. Хочу подключиться"
- 2.2.2.2 "Привет клиент. Сокет создан. Подключайся"
- 3.3.3.3 "Привет сервер. Я клиент. Хочу подключиться"
- 2.2.2.2 "Привет клиент. Сокет создан. Подключайся"
- 6.6.6.6 "Привет сервер. Я клиент. Хочу подключиться"
- 2.2.2.2 "Привет клиент. Сокет создан. Подключайся"



По поводу того, что вы предлагаете при http-флуде что бы веб-сервер еще запускал php, который проводил некое вычисление,
и затем, на основание этих вычислений отдавать что то клиенту....
Еще туда mysql и логирование. Всего по максимуму

Т.е. в принципе правильно, зачем мучаться - добьем...

да пусть себе идет, просто, как мне кажется, в таком случае, владелец проекта делает ддос не только своей проблемой, но и проблемой непосредственно ресурса хостера/прова, что, по идее, мотивирует хоста/прова банить эти айпишники на своем низкоуровневом железе.
Естественно, при редиректе нельзя показывать реферала и свои айпишники. Хотя, даже так можно будет договориться.

Многие хостеры стараются избавляться от таких клиентов

да, согласен, но важно играть на балансе выгоды. Это уже тактика ведения войны. Нужно подсчитывать - что выгоднее хостеру - оставить у себя огромный проект и забанить айпишники у себя, либо же забанить проект.
То, что ты отписал - является в начале атакой на хостинг, а потом уже на целевой сайт. Чтобы такими вот запросиками положить хороший хостинг - нужно большой ботнет, да и проблемы тут же начнутся значительно серьезнее, нежели от обычного ддоса высокоуровневых продуктов. Но спасибо.

а на каком уровне куки проверяются?

а на каком уровне куки проверяются?


Если ты про механизм SYN-cookies - 3 уровень

Вот ссылка на интересную информацию о куках
http://www.protocols.ru/modules.php?name=News&file=article&sid=139

изис как то хвалился что создал супер защиту от ддоса на пшп)) Правильный скрипт работает не медленнее, чем такая "защита" )
Кэширование рулит ;)

а чем плох тот же CARP для снижения силы атаки ?

Господа, может глупость но всё же. Есть сайт.ру где 95% полезных посетителей из РФ. начался лёгкий ДДоС. Задача снизить нагрузку и удержать сайт наплаву. Что если в htaccess забанить все забугорные IP сразу?(временно до окончания атаки) Т.е. выбрать наименьшее из зол. При этом желательно оставить ботов гугла и других поисковиков

Господа, может глупость но всё же. Есть сайт.ру где 95% полезных посетителей из РФ. начался лёгкий ДДоС. Задача снизить нагрузку и удержать сайт наплаву. Что если в htaccess забанить все забугорные IP сразу?(временно до окончания атаки) Т.е. выбрать наименьшее из зол. При этом желательно оставить ботов гугла и других поисковиков
Лёгкий ДДоС это скорее забава ребятишок. От "детского" ддоса можеж попробовать (D)DoS Deflate http://dd0s.blogspot.com/2008/04/ddos-ddos-deflate.html

lmns,чтобы различать забугор это или нет, надо вроди найти способ как то их различать, знаю что в связках используется файл geoip.php который который позволяет сортировать трафф по странам

в твоем случае можно открыть ддоступ только к определенным маскам ипов

в .htaccess пишим....
RewriteEngine On
RewriteBase /
RewriteCond %{REMOTE_ADDR} ^80.95.32.
RewriteRule ^.*$ - [F]
RewriteCond %{REMOTE_ADDR} ^80.95.33.
RewriteRule ^.*$ - [F]
RewriteCond %{REMOTE_ADDR} ^80.95.34.
RewriteRule ^.*$ - [F]
RewriteCond %{REMOTE_ADDR} ^80.95.35.

меняем маски на те которые нужны...

lmns,чтобы различать забугор это или нет, надо вроди найти способ как то их различать, знаю что в связках используется файл geoip.php который который позволяет сортировать трафф по странам

в твоем случае можно открыть ддоступ только к определенным маскам ипов

в .htaccess пишим....


меняем маски на те которые нужны...


Различать страны можна на уровне фаервола. Для айпитейблс надо ставить патч geoip. Далее загружаешь базу ипадресов по странам и в правилах через запятую указать страны которые оставить.

Вот и вся сортировка по странам.

через запятую указать страны которые оставить

ТОгда подойдет ГЕо ип база от зевса....

Всем Привет,извините за тупой вопрос. Можно ли вычислить ддосера, и как к ддосерам относится уголовный кодекс?

В данном случаи вычисление исполнителя или заказчика представляет собой довольно продолжительный, трудоемкий процесс.
Уголовные дела возбуждат как правило по статьям 273 УК РФ (Создание, использование и распространение вредоносных программ для ЭВМ), 274 (Нарушение правил эксплуатации ЭВМ, системы ЭВМ или их сети), 163 УК РФ (Вымогательство).

Как вариант щас все больше юсу грузит.
а никто не будет разбирать,что какойто америков обновлял страницу на твоем сайте с очень большой скоростью,может сослаться на то что клаву заблочило и т.д
а ддосера найти очень трудно.....


но если ты какимто чудом попал в ботнет,то можно исходящий трафф отсканить,найти админку,дальше через хостера и т.д

трудно,но реально

Итак. Суть такова. Имеется VPS (очень слабенькая, только апач, php & mysql). Ось - дебиан, без модуля connlimit. Собственно пытаюсь защититься от син флуда, написал небольшой фаер на iptables, ограничивающий входящие коннекты за единицу времени. Собственно вопрос - как регулировать таймаут, который ждет сервер -->
client > SYN > server
server > SYN+ACK > client
сейчас
client > ACK > server
чтобы получше отсеивать досеров?

ОС: Linux (ubuntu)
WWW: apache2 + nginx

Иногда сервак начинает медленно отдавать контент.

При выполнение команды:
netstat -ntu | awk '{print $5}' | cut -d: -f1 | sort | uniq -c | sort -n
Картина выглядит так:

1 XX.XX.XX.XX
1 XX.XX.XX.XX
1 XX.XX.XX.XX
1 XX.XX.XX.XX
1 XX.XX.XX.XX
1 XX.XX.XX.XX

~~~ 150 IP адресов ~~~

13 XX.XX.XX.XX
14 XX.XX.XX.XX
15 XX.XX.XX.XX
15 XX.XX.XX.XX
24 XX.XX.XX.XX
24 XX.XX.XX.XX

---> 7207 127.0.0.1

Я так понимаю 7207 запросов поступают от nginx на apache.
Это нормально?

Есть сервер Counter-Strike: Source. Его практически каждый день досят, нормальных рабочих плагинов для сервера не нашел (практически все под 1.6).
Можно ли как-то защититься от этого, или хотя бы узнать IP атакующего? ОС Windows 7. Сервер обычный, HLDS.