среда, 23 января 2008 г.

DDoS на http://habrahabr.ru

Атака - вероятное продолжение вчерашних инцидентов с Dirty.ru и Leprosorium.ru.
Все проекты были созданы компанией Йована Савовича Futurico.
Вчера вечером Dirty.ru заработал, что тут же стало поводом для обсуждения нашей компетентности=). Довольно странно, не вступая в диалог плодить сущности в публичном месте.
http://www.dirty.ru/news/227227
Сегодня атака усилилась и лег habrahabr.ru

17 комментариев:

Анонимный комментирует...

Интересно, кому они умудрились так перейти дорогу?

Unknown комментирует...

Разделы пирогов в рунете пока латентны для нас. Похоже надо анализировать кто шатает лодку.

Анонимный комментирует...

По списку адресов зомби, которые вчера были показаны на лепре, ботнет представленный на хабре больше в пять-шесть раз.

Unknown комментирует...

сейчас и на лепру пришло что - то более весомое

Анонимный комментирует...

Urs, к сожалению вчерашний список у меня не сохранился, а на лепру, по обьективным причинам за ним идти смысла не имеет, но самое вероятное что это была малая часть сегодняшнего.

Анонимный комментирует...

Приведу в пример один известный ресурс для вебмастров www.nulled.ws - там частые ДДОС атаки научили выживать.

И вот еще, там сделали отдельный информационный "аварийный" бложек http://nulledws.blogspot.com/ чтобы люди знали, что и как, если ресурс недоступен.

Уверен, если обратиться к тамошним админам - помогут, а учитывая специфику ресурса, может еще и даром...

Nortel комментирует...

некоторые ответы:
http://roem.ru/2008/01/22/habrahack/
http://roem.ru/2008/01/22/addednews5069/

Unknown комментирует...

Кто-то развязал террор в рунете
Теперь и http://roem.ru не отвечает =)
Мы рады, что на гугле.

Анонимный комментирует...

бан адреса по количеству запросов в интервал может помочь в данном случае? опишите текущую атаку.

Dv0rsky комментирует...

гуглу такое не грозит? вообще?

Анонимный комментирует...

Помочь может бан адреса:
1. по кол-ву запросов
-или-
2. по типу запроса (например, к определенному URL).

Unknown комментирует...

Второе. Бот запрашивает корень. Детектим по этой сигнатуре адреса и в фильтр.

Unknown комментирует...

У гугла все хорошо - и с персоналом и с оборудованием

Анонимный комментирует...

вероятнее всего бот запрашивает корень с помощью wininet, а следовательно с полной эмуляцией браузера. можно детектить яваскриптом, но слишком большие накладные расходы - думаю, бэкэнд будет лежать, если ботнет достаточно большой и растянут географически.
начать можно с того, что зарубить нероссийский трафик, это позволит хотябы части активных пользователей работать с сайтом.

Unknown комментирует...

Обычно защита делается каскадной:
Сначала железо типа Arbor TMS - что бы снять перегруз с помощью тресхолдов, а затем ставится поведенческий фильтр против интеллектуальных атак. Также тюнится сам вебсервер и все что к ниму прикручено. Поведенческие фильтры постоянно перестраиваются. Пока вся наша клиентура живет и прекрасно себя чувствует. Посмотрите ранние посты про ультру - что с ними только не делали =). Живы тфу тфу тфу.

PS ненадо рубить сети - моветон =)

Анонимный комментирует...

судя по времени даунтайма, ни Arbor TMS ни Cisco Guard'ом атакуемые не располагают, а из положения выходить нужно.

Unknown комментирует...

Если я правильно понял комментарий хозяина хабра - караван ставит циску. В крайнем случае можно пробросить трафик через тех, у кого есть.