Форум АНТИЧАТ - [Anti-ddos] Задаем вопросы...

Форум АНТИЧАТ (https://forum.antichat.xyz/index.php)

- AntiDDos - АнтиДДОС (https://forum.antichat.xyz/forumdisplay.php?f=141)

- - [Anti-ddos] Задаем вопросы... (https://forum.antichat.xyz/showthread.php?t=128933)

Цитата:

Сообщение от Chrome~

Разве нельзя замутить такую фишку? Написать небольшой сервер, который при коннекте к себе проверяет, какой IP подключился (делаем accept). Если IP находится в черном списке, - сразу разрываем соединение, не принимая и не отсылая никаких данных.

Я где то слышал это называется FireWall :D

Цитата:

Сообщение от neval

Мда... ну что еще добавить?...

Продолжаем писать защиты на php, при помощи htaccess, можно даже на javascript, mysql....

А что до модели OSI, а в частности различия между 3 и 7 уровнями - так это так, не важно...

http://forum.antichat.ru/showpost.php?p=630537&postcount=9

Цитата:

Сообщение от ettee

Печально, народ все сильнее деградирует.
Пора бы знать, что бороться с данными видами атак нужно на уровне протокола. Вдобавок, для достижения результата, в большинстве случаев не требуется возвращение трафика на сторону отправителя, т.к. IP протокол при создании пакетов не проверяет адрес. О какой блокировке распределенной атаки тогда может идти речь, если отсутствует источник нападения? Все четко понимают, что такое DDoS и DoS? Так что прекратите нести дезинформацию в народ, а лучше почитайте книжки по TCP/IP стеку.

neval, а человеческим языком прокомментировать этот пост? Имхо пост ни о чем, если нет конкретных примеров

О каких комментариях может идти речь если вам не известна мат.часть и общий принцип.

После просмотра раздела у меня сложилось впечатление что не все понимают происходящие, а если конкретно то, разницу между нагрузкой на сам веб-сервер (приложение) и нагрузкой на каналы. Все продолжают писать скрипты на интерпретируемых языках тем самым увеличиваю нагрузку при каждом запросе.
При направленной нагрузке на приложение лучше всего предоставить оборону аппаратным средствам.
При нагрузке на каналы в дело должен вступать сам провайдер, так же с аппаратными средствами и очисткой трафика на более низких уровнях.

провайдер чесаться даже не вздумает. для него ддос - это трафик.

В общем, выход наверняка в том, чтобы иметь под проект свой дедик, на котором будет крутиться только проект. Тогда можно и защиту на асме, а не на пхп и джаве сочинять, можно и прова выбирать (чем вызывать его заинтересованость в блоке ддосеров.)
ЗЫ
а что будет, если вместо того, что бы банить айпишники ддосеров - редиректить их на сайт провайдера/хостера?

Безусловно, но при такой политике он далеко не уедет.
Как банить и где? Трафик в любом случаи идет.

да пусть себе идет, просто, как мне кажется, в таком случае, владелец проекта делает ддос не только своей проблемой, но и проблемой непосредственно ресурса хостера/прова, что, по идее, мотивирует хоста/прова банить эти айпишники на своем низкоуровневом железе.
Естественно, при редиректе нельзя показывать реферала и свои айпишники. Хотя, даже так можно будет договориться.

1.1.1.1 - мой IP
2.2.2.2 - IP сервера

Дамп установки соединения:

Посылка серверу SYN-пакета. "Привет сервер. Я клиент. Хочу подключиться"

Код:

21:46:38.648202 IP 1.1.1..59503 > 2.2.2.2.80: S 3701186222:3701186222(0) win 5808 <mss 1412,sackOK,timestamp 39307371 0,nop,wscale 7>

E..<V.@.5.3.[.=.[....o.P............GT.........

.W.k........

Сервер создает сокет, затрачивая память и пересылает клиенту SYN-ACK. "Привет клиент. Сокет создан. Подключайся"

Код:

21:46:38.648219 IP 2.2.2.2.80 > 1.1.1.1.59503: S 1928113984:1928113984(0) ack 3701186223 win 65535 <mss 1412,nop,wscale 3,sackOK,timestamp 1726391506 39307371>

E..<{.@.@...[...[.=..P.or..@.......................

f....W.k

Отправка клиентом ACK-флага...

Код:

21:46:38.721210 IP 1.1.1.1.59503 > 2.2.2.2.80: . ack 1 win 46 <nop,nop,timestamp 39307444 1726391506>

E..4V.@.5.3.[.=.[....o.P....r..A....^2.....

.W..f...

И вот только теперь начинается HTTP (7 уровень OSI).... Все ваши скрипты, htaccess и прочее..

Передача заголовков браузером

Код:

21:46:38.722817 IP 1.1.1.1.59503 > 2.2.2.2.80: P 1:381(380) ack 1 win 46 <nop,nop,timestamp 39307444 1726391506>

E...V.@.5.2"[.=.[....o.P....r..A...........

.W..f...GET / HTTP/1.1

Host: 2.2.2.22

User-Agent: Mozilla/5.0 (X11; U; Linux x86_64; ru; rv:1.9.0.10) Gecko/2009060500 Gentoo Firefox/3.0.10

Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8

Accept-Language: ru,en-us;q=0.7,en;q=0.3

Accept-Encoding: gzip,deflate

Accept-Charset: windows-1251,utf-8;q=0.7,*;q=0.7

Keep-Alive: 300

Connection: keep-alive

Ответ веб-сервера..

Код:



21:46:38.723439 IP 2.2.2.2.80 > 1.1.1.1.59503: P 1:367(366) ack 381 win 8225 <nop,nop,timestamp 1726391581 39307444>

E...{.@.@...[...[.=..P.or..A...+.. !.......

f....W..HTTP/1.1 200 OK

Date: Thu, 09 Jul 2009 21:46:38 GMT

Server: Apache/2

Last-Modified: Tue, 30 Jun 2009 18:59:08 GMT

ETag: "7ff396-c-46d9566bc1700"-gzip

Accept-Ranges: bytes

Vary: Accept-Encoding,User-Agent

Content-Encoding: gzip

Content-Length: 28

Keep-Alive: timeout=1, max=100

Connection: Keep-Alive

Content-Type: text/html

<остальное вырезано>

Т.е. нагрузка на сервер идет еще до получения вебсервером запроса на получение страницы...

Ситуация с SYN-флудом заключена в следующем:

Код:

- 1.1.1.1 "Привет сервер. Я клиент. Хочу подключиться"

- 2.2.2.2 "Привет клиент. Сокет создан. Подключайся" 

- 1.1.1.1 "Привет сервер. Я клиент. Хочу подключиться"

- 2.2.2.2 "Привет клиент. Сокет создан. Подключайся" 

- 1.1.1.1 "Привет сервер. Я клиент. Хочу подключиться"

- 2.2.2.2 "Привет клиент. Сокет создан. Подключайся"

Добавить сюда SYN-спуфинг (клиент указывает левый source-адрес)
Все пакеты отсылает одна машина:

Код:

- 1.1.1.1 "Привет сервер. Я клиент. Хочу подключиться"

- 2.2.2.2 "Привет клиент. Сокет создан. Подключайся" 

- 3.3.3.3 "Привет сервер. Я клиент. Хочу подключиться"

- 2.2.2.2 "Привет клиент. Сокет создан. Подключайся" 

- 6.6.6.6 "Привет сервер. Я клиент. Хочу подключиться"

- 2.2.2.2 "Привет клиент. Сокет создан. Подключайся"

По поводу того, что вы предлагаете при http-флуде что бы веб-сервер еще запускал php, который проводил некое вычисление,
и затем, на основание этих вычислений отдавать что то клиенту....
Еще туда mysql и логирование. Всего по максимуму

Т.е. в принципе правильно, зачем мучаться - добьем...

Цитата:

Сообщение от Cthulchu

Многие хостеры стараются избавляться от таких клиентов

да, согласен, но важно играть на балансе выгоды. Это уже тактика ведения войны. Нужно подсчитывать - что выгоднее хостеру - оставить у себя огромный проект и забанить айпишники у себя, либо же забанить проект.
То, что ты отписал - является в начале атакой на хостинг, а потом уже на целевой сайт. Чтобы такими вот запросиками положить хороший хостинг - нужно большой ботнет, да и проблемы тут же начнутся значительно серьезнее, нежели от обычного ддоса высокоуровневых продуктов. Но спасибо.

а на каком уровне куки проверяются?