DDOS-атака на форум 

фото с места событий, корова вылетела в командный пункт для совершения боевой ddos операции

MrOrdinari писал : AlexAdmin, что там с атакой? Отвалили зомби или еще трепыхаются?

Дал бы поспать человеку.
Вона сколько без сна за пулеметом лежит.

В общем, пока работаем через https и вроде нормально.

Ещё бы придумать как рулить выбором фронтенда, тогда бы можно было ещё какую-то оптимизацию прикрутить. Сейчас выбором фронтенда занимается браузер - молча перебирает список доступных IP пока не найдёт первый вариант, который что-нибудь ответит. Как на этот процесс повлиять - совершенно непонятно. Похоже, нет никаких способов указать конкретный фронтенд для браузера.

AlexAdmin писал : В общем, пока работаем через https и вроде нормально.

Ещё бы придумать как рулить выбором фронтенда, тогда ***

ну ты в аську то стукнись! расскажу как выбирать и фронтенды и прочее

AlexAdmin писал : В общем, пока работаем через https и вроде нормально.

Надолго ли?
Вам бы в команду безопасности еще человечек набрать, модератор-модератором...

Похоже, зомби научились обходить SSL? Снова таймауты. Или они к ночи активизируются?

Gargoyle писал : Похоже, зомби научились обходить SSL? Снова таймауты. Или они к ночи активизируются?

Нет, пролазить через https они так и не научились.
Даже если научатся, им это не поможет, а скорее навредит, потому что бэкенд сейчас отлавливает все пролазящие вражеские IP, заносит их в базу забаненых адресов и рассылает блокировки на все фронтенды.
Сейчас на одном из фронтендов специально ловушка открыта, чтобы зомби там "отмечались", поэтому помаленьку бан-лист растёт. Не бесконечные у них ресурсы, когда-нибудь все их айпишники попадут в бан.

Они пока берут количеством, то есть на каждый фронтенд идёт порядка 2-3К соединений параллельно, в результате исчерпываются ресурсы на кол-во соединений и начинает вылетать ошибка 500.

Думаю, надо сделать выявлялку и блокировку вражеских IP прямо на уровне фронтендов, тогда у атакующей стороны останется мало шансов - разве что будут повышать кол-во зомбей в десятки раз, но только это будет наверное уже как-то слишком дороговато.

AlexAdmin писал :
Думаю, надо сделать выявлялку и блокировку вражеских IP прямо на уровне фронтендов, тогда у атакующей стороны останется мало шансов - разве что будут повышать кол-во зомбей в десятки раз, но только это будет наверное уже как-то слишком дороговато.

а вот то что вы здесь пишите они тоже прочитать могут, правильно?
Зачем им знать как вы планируете атаки отражать?

А если мы атаку отобъем виртуально - это хорошо или плохо? Станем виртуально вне досягаемости, но не физически... Не нравится мне всё это...

AlexAdmin писал : вроде слабеет атака, по крайней мере количество хостов на каждом фронтенде сейчас порядка 300, а не более 3000 как было вчера.

деньги израсходованы !!!
теперь наступит время отчетов ....

зы. Шурег молодца !!! ааа ?

Rubashkin писал :Зачем им знать как вы планируете атаки отражать?

Во-певых, я сильно сомневаюсь что за организацией атаки кто-то всерьёз следит и чем-то рулит. Скорее всего кому-то просто заплачены деньги и этот кто-то дал команду ботнету атаковать определённый адрес.
Во-вторых, если этот кто-то зарабатывает на организации ддос-атак, то в нынешней ситуации ему было бы самое разумное - бежать отсюда побыстрее. Потому что атакуемые стороны бывают ведь разные, кто-то просто полежит под ддосом, а кто-то что-то придумает. А кто-то придумает и для других опубликует, рекомендациями поделится. У меня вот уже есть несколько решений, которыми можно поделиться. При наихудшем для атакующей стороны развитии сюжета может случиться так, что я, например, найду достаточно эффективное средство борьбы с ддосом и его опубликую на github, в общем, распространю. Тем, кто устраивает ддосы, тогда придется либо во много раз увеличивать атакующие мощности для достижения нужного эффекта, либо смириться с тем, что ддосы потеряют актуальность и лишиться своих криминальных заработков.
Когда бы никто к нам не лез, и я бы не разрабатывал антиддос. Ну а уж если разработаю, я же его не буду хранить в секретной коробочке, эти решения многим пригодятся.

Снова через раз показывает.

AlexAdmin писал :
Во-певых, я сильно сомневаюсь что за организацией атаки кто-то всерьёз следит и чем-то рулит.

ну типо скромничает парень !!!


молодца.... еще раз !!!!

AlexAdmin писал :

Rubashkin писал ... :Зачем им знать как вы планируете атаки отражать?

сильно сомневаюсь что за организацией атаки кто-то всерьёз следит и чем-то рулит. Скорее всего кому-то просто заплачены деньги и этот кто-то дал команду ботнету атаковать определённый адрес.
Во-вторых, если этот кто-то зарабатывает на организации ддос-атак, то в нынешней ситуации ему было бы самое разумное - бежать отсюда побыстрее.

ну если деньги заплачены значит следят.
Я бы не стал просто так деньги платить - только за результат.

AlexAdmin писал : В общем, пока работаем через https и вроде нормально.

Через вот это https выдает ошибки 404, 500, 139 и др. Почему?