Lexa Software: Nginx-ru@sysoev.ru archive

		Apache-Talk @lexa.ru
		Inet-Admins @info.east.ru
		Filmscanners @halftone.co.uk
		Security-alerts @yandex-team.ru
		nginx-ru @sysoev.ru

СТАТЬИ

ПЕРСОНАЛЬНОЕ

ПРОГРАММЫ

ПИШИТЕ
ПИСЬМА

АРХИВ :: nginx-ru

Nginx-ru mailing list archive (nginx-ru@sysoev.ru)

[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

Re: Отлов ботнета

To: nginx-ru@xxxxxxxxx
Subject: Re: Отлов ботнета
From: David Mzareulyan <david@xxxxxxxx>
Date: Mon, 10 Sep 2007 11:09:13 +0000 (UTC)
References: <a23608a90709082342k571034d3o89610d351712400e@xxxxxxxxxxxxxx>

Вы так и не сообщили самые главные параметры атаки -- размер ботнета и идутли запросы с _каждого_ адреса ботнета с повышенной частотой (или каждый отдельныйбот долбит редко)? Если каждый бот долбит часто, то отлавливайте их любымиз посоветованных в этом треде методов. Если же боты берут только числом,а отличить по частоте бота от юзера невозможно, то надо перенести главнуюстраницу (раз атака идёт только на неё) на какой-нибудь index2.php, а настаром месте поставить, например, JS-редирект на новый адрес. Можно с одновременнойпростановкой куки. Если боты не сверхумные, это их отфильтрует.

Короч говоря сервак не справлялся из-за пых-пых. Все боты
предположительно
ломятся на /, юзерагенты ставят умные, по этому не отловить.
Можно опять таки пробовать посмотреть, кто ломится только на / много
раз и
не просит не одной другой страницы - пускать в фильтр. Канал
забивается
только в случае, если ботам таки отдавать контент. Как временное
решение
поставил http-аутентификацию с написанным логином и паролем в
подсказке.
Вроди бы это временно решило трабл.
08.09.07, Vitaly Puzrin <vitaly@xxxxxxxxxxx> написал(а):

То есть, грузят методом забивки ресурсов, которые отвечают за
динамические страницы? Канала и карточки хватает?

Может получится анонимусам отдавать статику, а к динамике только
авторизованных пропускать? Если не форум, то такое иногда
прокатывает.

Ну и man pf курить, как уже писали, это святое.

Надо сначала посмотреть, со скольки адресов запросы идут и какого
вида. Может и не совсем DDoS. Просто иногда действительно много
скачивают. Иначе б вас авторизация не спасла.

Vitaly Puzrin
http://www.rcdesign.ru
суббота, 8 сентября 2007 г., you wrote:

ДЛ> Приветствую.
ДЛ> У меня DDOS'ят сервак и временным решением пока-что вышло
ДЛ> поставить авторизацию и боты ее не проходят, юзеры - от части.
ДЛ> Хочу сделать вылов Ip адресов ботов и бросать их в iptables
TARPIT.
ДЛ> Как выяснить, кто бот, а кто нет?
ДЛ> Есть идея делать nginx'ом http redirect и тем, кто прошел
ДЛ> редирект ставить переменнную и редиректить обратно.
ДЛ> Кто не прошел редирект - бот.
ДЛ> Потом сравнивать тех, кто запрашивал что-либо и кто прошел
ДЛ> цепочку редиректов и банить ботов.
ДЛ> Какие идеи?
ДЛ>



--
С уважением
Давид Мзареулян
david@xxxxxxxx

References:
- Re: Отлов ботнета
  - From: Дмитрий Леоненко

Prev by Date: Re[2]: offtopic: co-location
Next by Date: Re: sub_filter режет половину страницы
Previous by thread: Re: Отлов ботнета
Next by thread: Re: Отлов ботнета
Index(es):
- Date
- Thread