ПРОЕКТЫ 


  АРХИВ 


Apache-Talk @lexa.ru 

Inet-Admins @info.east.ru 

Filmscanners @halftone.co.uk 

Security-alerts @yandex-team.ru 

nginx-ru @sysoev.ru 


  СТАТЬИ 


  ПЕРСОНАЛЬНОЕ 


  ПРОГРАММЫ 



ПИШИТЕ
ПИСЬМА












     АРХИВ :: nginx-ru
Nginx-ru mailing list archive (nginx-ru@sysoev.ru)

[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

Re: Отлов ботнета



Вы так и не сообщили самые главные параметры атаки -- размер ботнета и идут ли запросы с _каждого_ адреса ботнета с повышенной частотой (или каждый отдельный бот долбит редко)? Если каждый бот долбит часто, то отлавливайте их любым из посоветованных в этом треде методов. Если же боты берут только числом, а отличить по частоте бота от юзера невозможно, то надо перенести главную страницу (раз атака идёт только на неё) на какой-нибудь index2.php, а на старом месте поставить, например, JS-редирект на новый адрес. Можно с одновременной простановкой куки. Если боты не сверхумные, это их отфильтрует.

Короч говоря сервак не справлялся из-за пых-пых. Все боты
предположительно
ломятся на /, юзерагенты ставят умные, по этому не отловить.
Можно опять таки пробовать посмотреть, кто ломится только на / много
раз и
не просит не одной другой страницы - пускать в фильтр. Канал
забивается
только в случае, если ботам таки отдавать контент. Как временное
решение
поставил http-аутентификацию с написанным логином и паролем в
подсказке.
Вроди бы это временно решило трабл.
08.09.07, Vitaly Puzrin <vitaly@xxxxxxxxxxx> написал(а):

То есть, грузят методом забивки ресурсов, которые отвечают за
динамические страницы? Канала и карточки хватает?

Может получится анонимусам отдавать статику, а к динамике только
авторизованных пропускать? Если не форум, то такое иногда
прокатывает.

Ну и man pf курить, как уже писали, это святое.

Надо сначала посмотреть, со скольки адресов запросы идут и какого
вида. Может и не совсем DDoS. Просто иногда действительно много
скачивают. Иначе б вас авторизация не спасла.

Vitaly Puzrin
http://www.rcdesign.ru
суббота, 8 сентября 2007 г., you wrote:

ДЛ> Приветствую.
ДЛ> У меня DDOS'ят сервак и временным решением пока-что вышло
ДЛ> поставить авторизацию и боты ее не проходят, юзеры - от части.
ДЛ> Хочу сделать вылов Ip адресов ботов и бросать их в iptables
TARPIT.
ДЛ> Как выяснить, кто бот, а кто нет?
ДЛ> Есть идея делать nginx'ом http redirect и тем, кто прошел
ДЛ> редирект ставить переменнную и редиректить обратно.
ДЛ> Кто не прошел редирект - бот.
ДЛ> Потом сравнивать тех, кто запрашивал что-либо и кто прошел
ДЛ> цепочку редиректов и банить ботов.
ДЛ> Какие идеи?
ДЛ>


--
С уважением
Давид Мзареулян
david@xxxxxxxx






 




Copyright © Lexa Software, 1996-2009.