Атака - вероятное продолжение вчерашних инцидентов с Dirty.ru и Leprosorium.ru.
Все проекты были созданы компанией Йована Савовича Futurico.
Вчера вечером Dirty.ru заработал, что тут же стало поводом для обсуждения нашей компетентности=). Довольно странно, не вступая в диалог плодить сущности в публичном месте.
http://www.dirty.ru/news/227227
Сегодня атака усилилась и лег habrahabr.ru
Интересно, кому они умудрились так перейти дорогу?
ОтветитьУдалитьРазделы пирогов в рунете пока латентны для нас. Похоже надо анализировать кто шатает лодку.
ОтветитьУдалитьПо списку адресов зомби, которые вчера были показаны на лепре, ботнет представленный на хабре больше в пять-шесть раз.
ОтветитьУдалитьсейчас и на лепру пришло что - то более весомое
ОтветитьУдалитьUrs, к сожалению вчерашний список у меня не сохранился, а на лепру, по обьективным причинам за ним идти смысла не имеет, но самое вероятное что это была малая часть сегодняшнего.
ОтветитьУдалитьПриведу в пример один известный ресурс для вебмастров www.nulled.ws - там частые ДДОС атаки научили выживать.
ОтветитьУдалитьИ вот еще, там сделали отдельный информационный "аварийный" бложек http://nulledws.blogspot.com/ чтобы люди знали, что и как, если ресурс недоступен.
Уверен, если обратиться к тамошним админам - помогут, а учитывая специфику ресурса, может еще и даром...
некоторые ответы:
ОтветитьУдалитьhttp://roem.ru/2008/01/22/habrahack/
http://roem.ru/2008/01/22/addednews5069/
Кто-то развязал террор в рунете
ОтветитьУдалитьТеперь и http://roem.ru не отвечает =)
Мы рады, что на гугле.
бан адреса по количеству запросов в интервал может помочь в данном случае? опишите текущую атаку.
ОтветитьУдалитьгуглу такое не грозит? вообще?
ОтветитьУдалитьПомочь может бан адреса:
ОтветитьУдалить1. по кол-ву запросов
-или-
2. по типу запроса (например, к определенному URL).
Второе. Бот запрашивает корень. Детектим по этой сигнатуре адреса и в фильтр.
ОтветитьУдалитьУ гугла все хорошо - и с персоналом и с оборудованием
ОтветитьУдалитьвероятнее всего бот запрашивает корень с помощью wininet, а следовательно с полной эмуляцией браузера. можно детектить яваскриптом, но слишком большие накладные расходы - думаю, бэкэнд будет лежать, если ботнет достаточно большой и растянут географически.
ОтветитьУдалитьначать можно с того, что зарубить нероссийский трафик, это позволит хотябы части активных пользователей работать с сайтом.
Обычно защита делается каскадной:
ОтветитьУдалитьСначала железо типа Arbor TMS - что бы снять перегруз с помощью тресхолдов, а затем ставится поведенческий фильтр против интеллектуальных атак. Также тюнится сам вебсервер и все что к ниму прикручено. Поведенческие фильтры постоянно перестраиваются. Пока вся наша клиентура живет и прекрасно себя чувствует. Посмотрите ранние посты про ультру - что с ними только не делали =). Живы тфу тфу тфу.
PS ненадо рубить сети - моветон =)
судя по времени даунтайма, ни Arbor TMS ни Cisco Guard'ом атакуемые не располагают, а из положения выходить нужно.
ОтветитьУдалитьЕсли я правильно понял комментарий хозяина хабра - караван ставит циску. В крайнем случае можно пробросить трафик через тех, у кого есть.
ОтветитьУдалить