LINUX.ORG.RU
ФорумAdmin

Не открывается сайт, ddos ят походу. Что лучше сделать?

 ,


1

2

Заметил что сайт стал медленно открываться, а иногда и вовсе не открывается. Сайт-визитка,чисто html файл, весит 42кб, умеет отправлять письма из php скрипта, есть несколько картинок на нем.
На сервере смотрю в логи http, есть запросы но их не так много 20-30 запросов (GET|POST) в сек.

Просмотрел число ТCP сокетов/соединений на 80 порт #netstat -anp а там интересно - висит порядка 750 соединений/попыток соединений. TCP cоединения в состоянии SYN_RECV,TIME_WAIT,ESTABLISHED,FIN_WAIT1,FIN_WAIT2,CLOSE_WAIT,LAST_ACK и другие возможно

Добавил ручками в iptables IP с которых шли попытки соединений SYN_RECV, но это не сильно помогло, список пополнился новыми

Судя по tcpdump на 80 порт прилетает где то 1000-1200 пакетов в секунду. и руками задолбаешься добавлять IP

что нужно настроить на сервере, чтобы помогло?

Про конторы которые занимаются защитой сайтов от типа ddos я знаю

★★★★

Последнее исправление: Vlad-76 (всего исправлений: 3)
mkfs.ext4 fail
ProxMox. Работа с кластером при умершей ноде.

Обычно с твоей стороны ничего с DDOS поделать нельзя, потому что пакеты всё равно будут забивать твой канал, так как любые твои действия происходят уже ПОСЛЕ того как пакет поступил к тебе. Нужно либо подключать саппорт своего провайдера, чтобы они фильтровали на своих маршрутизаторах, либо обращаться в конторы про которые ты знаешь.

Jameson ★★★★★
()
Ответ на: комментарий от Jameson

На сервер с сайтом заходит канал 1гбит/с от провайдера, входящего трафика на сервер с сайтом 15 Мбит/с.
Cайт в виртуалке OpenVZ

Vlad-76 ★★★★
() автор топика
Последнее исправление: Vlad-76 (всего исправлений: 1)

Добавил ручками в iptables IP с которых шли попытки соединений

Надеюсь добавляете с DROP ?

anc ★★★★★
()
Ответ на: комментарий от anc

да, только толку мало. Карусель из IP с которых ddos большая

Vlad-76 ★★★★
() автор топика
Последнее исправление: Vlad-76 (всего исправлений: 1)

Я говнофильтр писал под IP-tables. IP с которых слишком много запросов фигачил каким-то модулем во временную таблицу на XX минут, и все что в нее попало - дропал.

От мамкиных кулхацкеров спасало, а больше было и не надо.

Но надо чтобы канал гигабитный хотя бы, сотку слишком просто забить.

Vit ★★★★★
()
Ответ на: комментарий от Vit

Но надо чтобы канал гигабитный хотя бы, сотку слишком просто забить.

Тут зависит от кол-ва желающих.

anc ★★★★★
()
Ответ на: комментарий от anc

Когда на гигабит наскребут, уже провайдер прочухается.

Не то чтобы я отрицал холо^WDoS, просто 99% «отак» это криво настроенный апач вместо nginx и всякие скрипткиддисы из разряда «отокую саеты за WMZ, надежна».

Вдумайся в драматизм ситуации, атака на сайт-визитку! Это в какой извращенной логике вообще можно обосновать? Пока пришел в голову только раздел объявлений, рядом с гаданиями и наведением порчи.

Vit ★★★★★
()
Последнее исправление: Vit (всего исправлений: 2)
Ответ на: комментарий от Vit

Вдумайся в драматизм ситуации, атака на сайт-визитку! Это в какой извращенной логике вообще можно обосновать? Пока пришел в голову только раздел объявлений, рядом с гаданиями и наведением порчи.

Я емнип уже описывал одну ситуацию с ддос под который попали, на одном ресурсе детям подарили что-то типа «крякера интернета», вот детишки и начали его запускать. В вашем случае совсем не факт, что атака была на ваш сайт, под замес могли попасть.

anc ★★★★★
()
Последнее исправление: anc (всего исправлений: 1)
Ответ на: комментарий от anc

Ну я о том же. Это не полноценная атака, а дурь. Отбивается на раз скриптами фаервола в полностью автоматическом режиме. Не заметишь даже.

Vit ★★★★★
()

Сразу - блочишь тор, локализуй по геопризнаку основные направления - блок по странам, ну и прямо с лога апача в риалтайм в дроп через пайп. Да, будет много попаданий не туда, но это ж временно все, ну и крути политику по пакетам в секунду. Это скорее всего школоддос, иначе у тебя бы вопросов не было.

Anoxemian ★★★★★
()
Ответ на: комментарий от Anoxemian

а где взять список IP разбитый по геопризнаку и список IP TOR а?
до апача мало http запросов доходят чтобы по его логу анализировать, он не настроен на обработку 1000 запросов в сек. tcp коннекты висят в ядре в разном состоянии.
После фильтрации 13300 IP, сейчас всего лишь 20 tcp коннектов в состоянии ESTABLISHED и которые слушает httpd.
В эти 13300 попали мобильные операторы билайн и yota, коллега не смог через них открыть сайт.

Vlad-76 ★★★★
() автор топика
Последнее исправление: Vlad-76 (всего исправлений: 1)
Ответ на: комментарий от Anoxemian 
# netstat -an | awk '/tcp/ {print $6}' | sort | uniq -c
      6 CLOSING
     15 ESTABLISHED
     29 FIN_WAIT1
     29 FIN_WAIT2
      1 LAST_ACK
      4 LISTEN
     35 SYN_RECV
    502 TIME_WAIT
Vlad-76 ★★★★
() автор топика
Ответ на: комментарий от Vlad-76

В эти 13300 попали мобильные операторы билайн и yota, коллега не смог через них открыть сайт.

Потому что не надо бороться с SYN-флудингом такими методами.

Провайдеры обычно не выпускают от себя пакеты с чужими ипами в срц.

level1 ★★
()
Ответ на: комментарий от level1

как бороться с SYN-флудингом?

«Провайдеры обычно не выпускают от себя пакеты с чужими ипами в срц.» не понятно к чему это

Vlad-76 ★★★★
() автор топика
Ответ на: комментарий от Vlad-76

не понятно к чему это

К тому, что если мамкин хакер захочет зафлудить с подменой срц, как тут предполагают, то не очень-то у него это получится.

level1 ★★
()
Последнее исправление: level1 (всего исправлений: 1)

1000 пакетов в секунду это чуть больше мегабайта в секунду. Это не ддос. Разбирайся, почему тормозит. Не должно.

vbr ★★★★
()
Ответ на: комментарий от Vlad-76

как бороться с SYN-флудингом?

Не знаю что там у тебя за сервер, но для начала посмотри бэклог. И имей в виду, что это не просто очередь из синов, там еще коннекты до акцепта, и само значение в listen() не точно совпадает с реальным значением. Если что-то самописное, то есть смысл сделать как можно более лёгкий и быстрый акцепт.

Но скорее всего у тебя что-то простое, типа медленной работы скрипта или странных настроек производительности сервера.

level1 ★★
()

Выключи сайт на сутки~трое. Ботнет пришлёт скрипт кидди письмо что рой атакует пустое место, скрипт кидди перебросит рой ещё куда то.

LINUX-ORG-RU ★★★★★
()
Ответ на: комментарий от Vlad-76

Отправка письма может быть очень медленной операцией. Обычно такие задания ставят в очередь для выполнения отдельным процессом, а клиента отпускают.

Поставь отладку на долгие запросы, может ситуация прояснится.

level1 ★★
()

IP с которых шли

Злоумышленник может в пакет любой адрес вписать, если устройство генерирующее пакеты под его контролем.

naKovoNapalBaran
()

Можно еще ип поменять в случае атаки, и на dns будет идти все, но тут нужно 2 соединения и менять зигзагом. Ну или вычислить можно будет того кто заведует стадом если у него связь с остальными.

naKovoNapalBaran
()
Последнее исправление: naKovoNapalBaran (всего исправлений: 2)
Ответ на: комментарий от Anoxemian

Разрешил запросы на сервер с RU сетей 11393 штук, запросы на сервер почти прекратились.

Vlad-76 ★★★★
() автор топика

Рассматривался ли вариант поставить перед сайтом Cloudflare на бесплатном тарифе и не тратить больше своё время?

si0 ★★★
()
Ответ на: комментарий от si0

«Про конторы которые занимаются защитой сайтов от типа ddos я знаю»
нет

Vlad-76 ★★★★
() автор топика
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.
mkfs.ext4 fail
Admin
ProxMox. Работа с кластером при умершей ноде.