Школьный DDoS и стоит ли его бояться

    Современный интернет предлагает четыреста относительно честных способов зарабатывания денег. К сожалению, не все алчные до наживы персонажи ими ограничиваются. К счастью, только некоторые из них обладают достаточной квалификацией, чтобы причинить серьезный вред. Тем не менее их действия для неподготовленных людей могут оказаться достаточно разрушительными. Под катом вы найдете душещипательную историю с угрозами, шантажом, вероломным нападением и традиционным киношным хеппиэндом.

    Один из наших клиентов имеет интернет-магазин по продаже компьютерной техники. Утром в пятницу 25-го ноября он получил угрожающее письмо:

    Здравствуйте!

    Вам необходимо заплатить 200$ (эквивалент в Украинских гривнах — 1600гривен). Вам необходимо подойти к терминалу (найти их можете в любом супер маркете) и выбрать оплату WebMoney. Обращаем Ваше внимание на то, что необходимо не на прямую перечислить средства на кошеелк, а купить ваучеры (вм-карты) на нужную сумму. В терминале выбираете оплату WebMoney и покупаете ваучеры, далее на чеке будут номера и коды ваучеров, которые вы должны прислать в письме. Обращаем ваше внимание, что не все терминалы позволяют купить ваучеры вм, но большинство. Оплату необходимо произвести в течении суток.В противном случае ваш сайт будет атакован мощнейшей DDoS атакой, из-за которой ваш сайт перестанет быть доступен на долгое время, вплоть до нескольких недель и даже более. Атака прекращаться не будет.
    — орфография и пунктуация сохранены.

    Злоумышленники не утруждали себя отправкой отдельного письма каждой жертве, поэтому в поле получателя были перечислены адреса нескольких, не связанных между собой, интернет-магазинов.

    Естественной его реакцией был не совсем вежливый отказ. Посчитав инцидент исчерпанным он его благополучно забыл… До вечера.

    Вечером в 17:09 началась DDoS-атака, небольшая, но достаточная, чтобы вызвать перебои в работе сайта. В течение четверти часа ваш покорный слуга был поставлен в известность о том, что что-то происходит.

    Беглый взгляд на логи Apache сразу же выявил закономерность в действиях злоумышленников:

    X.X.X.X - - [25/Nov/2011:17:19:17 +0200] "GET //user-agreement.html HTTP/1.1" 200 32283 "-" "Opera/9.80 (Windows NT 5.1; U; ru) Presto/2.6.30 Version/10.63"
    Y.Y.Y.Y - - [25/Nov/2011:17:19:18 +0200] "GET //user-agreement.html HTTP/1.1" 200 32283 "-" "Opera/9.80 (Windows NT 5.1; U; ru) Presto/2.6.30 Version/10.63"
    Z.Z.Z.Z - - [25/Nov/2011:17:19:17 +0200] "GET //user-agreement.html HTTP/1.1" 200 32283 "-" "Opera/9.80 (Windows NT 5.1; U; ru) Presto/2.6.30 Version/10.63"

    Думаю, люди, знакомые с настройкой веб-сервера уже знают, что будет дальше. Но я возьму на себя смелость продолжить, вдруг кому-нибудь пригодится готовый рецепт.

    Сразу бросается в глаза, что несмотря на то, что атака велась с нескольких IP-адресов, атакуемый URL и User-Agent браузера использовался один и тот же. Само-собой напрашивается использовать эти данные для отсева вредителей. Поскольку хочется максимально оградить обычных пользователей от нашего небольшого конфликта, будем использовать только User-Agent, благо, он скопирован у достаточно старой версии оперы.

    Дабы потешить самолюбие нападающих, в корне сайта был создан файл-заглушка out-of-order.html с простым содержимым:

    <h1>Our site is temporarily unavailable</h1>

    А в .htaccess добавлены пять строк:

    RewriteEngine On
    RewriteBase /
    
    RewriteCond %{HTTP_USER_AGENT} ^Opera/9.80\s\(Windows\sNT\s5\.1\;\sU\;\sru\)\sPresto/2\.6\.30\sVersion/10\.63$
    RewriteRule ^(.*)$ out-of-order.html

    После чего на все запросы с указанным User-Agent стал отдаваться маленький статический файл. С этого момента атака перестала оказывать сколь-либо существенное влияние на работу сервера.

    Но наша борьба еще не окончена! Был выбран один из IP-адресов атакующих и с помощью whois определен его провайдер. Администратор, ответивший на звонок любезно согласился проверить, действительно ли осуществляется атака с этого адреса. Удостоверившись, он позвонил абоненту и поставил его в известность о происходящих безобразиях. Со слов администратора, абонент всячески отрицал свою вину но пообещал изменить пароль к своему Wi-Fi, «который, наверное, злодеи поломали». Спустя пару минут атака прекратилась не только с этого IP, но и со всех остальных, включая другие города. (Мы же все еще помним, что абонент совершенно не при чем!)

    В приподнятом настроении мы разослали всем получившим письмо с угрозой рецепт защиты и довольные разошлись по домам.
    Поделиться публикацией
    AdBlock похитил этот баннер, но баннеры не зубы — отрастут

    Подробнее
    Реклама
    Комментарии 120
    • +5
      Да, заголовок в тему, улыбнула ваша история.
      • +3
        А что будет, когда школьник станет студентом?
        DDoS атака станет мощнее :).
      • +69
        школьный? судя по Вашей истории — детсад, ясли.
        • +7
          А может просто админ решил сам себе премию заработать или напомнить о своей важности.
          • НЛО прилетело и опубликовало эту надпись здесь
            • 0
              Эти люди ему подарили деревянный костюмчик, в котором не удобно «чем-то таким» заниматься? :)
          • +6
            А в правоохранительные органы можно было обратиться?
            • +10
              Можно было бы конечно, но в целях поучить ребенка что атата, нельзя так, а то чуть старше будет, и получит в лучшем случае на суде, если не перепутает ничего и не придут пара амбалов которые ему почки отобьют, и это еще самое безвредное последствие относительно того что может быть.
              • 0
                Такой вариант рассматривался, но все происходило вечером в пятницу ;) Администратор провайдера не дал нам контактные данные абонента, и я его полностью понимаю. Но мы попросили его всю информацию сохранить.

                В понедельник, возможно, будет продолжение уже с обращением в правоохранительные органы и передачей IP-адресов всех участвовавших в атаке.
                • +1
                  Бесполезно. Провайдер не обязан и не даст вам данные без заявления в правохранительные.
                  Но даже если и получите, вам еще доказать придется что именно этот школьник сидел и валил вас ддосом, особенно если у него вайфай роутер.

                  Скорее всего вам просто откажут: Ущерб маленький, сумма вымогательства маленькая, проблема — решена просто, а личность еще предстоит доказывать.
              • +33
                Какая удача — первый же IP был организатора.
                • +3
                  Тоже обратил на это внимание.
                  Действительно очень повезло — не торы а напрямую.
                  • +13
                    DDOS через тор? Месье знает толк)
                    • 0
                      Знаю-знаю.
                      Но попробовать через тор никто ведь не мешает ;-)
                  • +3
                    Необязательно. Это мог быть любой из школьников, который сразу начал отзваниваться остальным
                    • +57
                      DDoS'или всем классом…
                      • +47
                        … быстро-быстро нажимая F5 в опере
                        • +32
                          В опере есть опция «Обновлять каждые...»
                          • +50
                            Вы что! Это совсем другой уровень!)
                  • +41
                    У нас был один такой фрукт. Очень обиделся на недельный рид-онли на форуме, пошел куда-то на ксакеп-форумы жаловаться — пришёл с лойкой и зарядил. Все свои 512 кбит.

                    Долго смеялись над его недоумёнными возгласами в мирце, почему же ничего не падает.
                    • +2
                      С текущими ценами на интернет, такие герои могут стать опасными. Особенно когда на той стороне не понимают вообще как это все работает.
                      www.kyivstar.ua/ru/mm/home_internet/tariff/
                      • +1
                        У меня в Польше в общежитии раздаются интернеты довольно мощные — около 50 мегабит. В ночное время — до 100 мегабит можно выжать.
                        • 0
                          Литва — домой дают до 300mbit, правда роутер который в комплетке больше 85mbit не тянет…
                          • +14
                            В Украине многие провайдеры дают 1000, по 20-30 баксов. Хватит меряться.
                            • +4
                              Беларусь, 128 кб\сек за 5 баксов -(
                              • +1
                                Это где же, если не секрет? Мегабитный «Домосед» от ByFly стоит около $6.5.
                              • 0
                                только в основном за 20 — 30к это до 1000 непонятно чего
                                • 0
                                  ну 200-300 Мбит выжимается даже в часы пик, полагаю, этого достаточно. Редкая домашняя машинка вытянет больше, а если поставить сервер, то лавочку, скорее всего, прикроют (хотя за постоянную загрузку в 100 мбит нормально воспринимают)
                          • 0
                            У меня форум не так, чтоб шибко большой, с одного и того же прова ходят ребята из Москвы разве что — так что можно героев просто гасить, отсекая провайдера.
                            • 0
                              Это на анлим цены? оО
                          • +5
                            Если от сервера получать байт в минуту (на пределе ограничений конфига если они есть), то криво настроенный можно уложить и с 512 кбит
                            • 0
                              Для защиты от слоу можно просто обрубить Ranges нафиг, вот и всё.
                              На совсем старых браузерах может вызвать проблемы с докачкой, но в остальном совершенно безвредно.
                              • +3
                                Вы путаете разные атаки. Для slow lori заголовок Range не нужен. А кардинально проблема решается установкой nginx до/вместо Apache. Ну или костылями разными модулями, ограничивающими количество соединений с одного адреса, минимальную скорость и тп.
                                • –1
                                  У меня как раз nginx+fpm, мне хорошо.

                                  Лимит рпс — тоже хорошо (кстати, под nginx там костыли тащемта не нужны, он умеет это дело из коробки), но иногда создаёт ощутимые проблемы на медленном коннекте или при криво настроенном кешировании у юзера.
                          • +20
                            От Вашей «защиты» толку мало. С этими строками в .htaccess и без них, Apache все равно обрабатывает запрос и отдает какой-то файл.
                            Поставьте nginx и уже в нем отсеивайте нехорошие запросы.
                            • +5
                              Как видите, сработало достаточно хорошо, так что смысл городить огород?
                              • –5
                                Для более печальных случаев. Хотя, для ещё более печальных случаев, нужен firewall.
                                • +1
                                  и чем же он поможет, лол?
                                  • –3
                                    Будет фильтровать вредный трафик, не?
                                    • +5
                                      и как же он его вычислит?
                                      • 0
                                        Так в нем и нет этого механизма.

                                        1) Слушаем / парсим / интерпретируем вывод tcpdump.
                                        2) Добавляем вредителей в iptables/ipfw
                                        3)…
                                        4) Profit
                                        • +9
                                          офигеть. Ты пробовал под мало-мальски серьезной нагрузкой запускать tcpdump на сервере? Логи и те отключают, иначе умирает все.
                                          Повторю вопрос — как будешь выявлять вредоносный трафик?
                                          • –5
                                            Так, я понял, тебе нужна инструкция.
                                            Вот первая же ссылка в гугле: dd0s.blogspot.com/2009/10/ddos-tcpdump.html

                                            И да, я конечно могу ошибаться, но мне будет достаточно на пару минут выключить apache что бы серевер перестал обрабатывать запросы. tcpdump продолжит работу без нагрузки на сам сервер.
                                            • 0
                                              Мне не нужна, лол ) Без нагрузки, ага. С каждым разом все веселее становится.
                                              Ключевая фраза в твоей, гм, «инструкции»:
                                              идет легкая ddos атака"

                                              • 0
                                                там еще этот инструктор предлагает netstat использовать. Это была статья на конкурс вредных советов, что ли? Заняла второе почетное место, после перл-скрипта, анализирующего лог апача?
                                                • –1
                                                  ок, ну поищите другую статью.
                                                  Емае, что по твоему, не используют фаерволы что-ли для защиты от ддоса? Нет способов определить вредный трафик вообще?
                                                  • +3
                                                    Ну ё-маё, не катаются на великах на 500 километров, что ли?
                                                    • 0
                                                      Дак ведь катаются. Или я не понял аналогии? :)
                                                      • 0
                                                        катаются, о том и речь.
                                                  • +2
                                                    а как бы вы решали задачу?
                                                    • 0
                                                      Защиту от мало-мальски серьезного DDoS можно сделать только специализированными средствами. Пионерские методы а-ля htaccess, парсинг лога вебсервера, tcpdump и netstat (чур меня!) применить получится только при пионерском же DDoS'е. Кто победнее — лучше покупать услугу, у того же QRATOR или Kasper'а, кто побогаче — строят собственные системы защиты, плотно взаимодействуя с аплинк-провайдером, размещая средства защиты не на своем конце последней мили, а на толстых каналах провайдера(ов).
                                                      • 0
                                                        Я прошу прощения, а что вот эти вот «спецсредства», разве не включают в себя как один из инструментов «файервол»?
                                                        • 0
                                                          Нет. В SMB-решениях да, но как правило, это второстепенная функция.
                                    • +5
                                      Каждый запрос ддосера к htaccess — минус 15 мегабайт из оперативки. Как закончится оперативка, вспомните и прочитайте комментарий выше.
                                  • +12
                                    Мне кажется, нужно отдавать текст ошибки со статус-кодом HTTP 503 (Service Unavailable), тогда все это дело выглядеть будет очень естественно. У Вас же отдается текст ошибки, но со статус-кодом HTTP 200 (OK), как будто сервер не нагружен и вообще все хорошо.
                                    • +4
                                      Боюсь, читать и анализировать этот код ошибки некому. Кроме того, если бы любой из атакующих удосужился проверить результаты атаки в браузере, он увидел бы полностью работающий сайт. И это сразу же раскрыло бы нашу маленькую хитрость.
                                    • +18
                                      Такие вещи на ithappens.ru надо)
                                      • –5
                                        > благо, он скопирован у достаточно старой версии оперы.
                                        10.63 — старая версия?
                                        • +5
                                          Я на 12.00 давно сижу. Нормальные люди все давно на 11.сгаком
                                          • –2
                                            По данным liveinternet, их 2%, 11 версия — 17%. Но 2% это не так уж и мало, в принципе.
                                          • +26
                                            студеная былина, боярин.
                                            • 0
                                              А можно ещё скриптом в 10 строчек вычитывать из логов айпишники зловредов и добавлять их в iptables. Если, конечно, iptables имеется в наличии :)
                                              • 0
                                                Только не в iptables, а прописывать нулевой роут. iptables быстро загнется, если там будет пара тысяч банов.
                                                • +3
                                                  -j TARPIT + raw/NOTRACK — и никуда не загнётся.
                                                  • 0
                                                    TARPIT — довольно редкая штука. Из моего опыта на очень многих серверах его просто нет.
                                                    • 0
                                                      Да он нужен просто чтоб чуть срезать скорость роста атаки. Если его нет — никакой проблемы.
                                                      Как я ответил в привате вопрошавшему, «забивается» не iptables, а conntrack.
                                                      Поэтому либо raw таблица и резать сразу в raw/PREROUTING (прямо по IP, без порта); либо просто выгрузить conntrack из ядра, чтобы фильтрация шла stateless. Она летает и с сотнями тысяч правил справляется вполне бойко.
                                                      Помню, сколько-то лет назад был патч на iptables, меняющий логику работы с цепочек на матрицу, так там оно работало с сотнями тысяч правил на довольно дохлом железе. Правда, возможности чуть более куцые были. Где он сейчас и живёт ли еще — не знаю… Для меня хватает стандартной поставки дебиана + tarpit когда не влом скомпилять через m-a
                                                  • 0
                                                    мы используем iptables+ipset, 30К банов, полёт нормальный.
                                                    когда вся эта радость была в iptables было жутко, да.
                                                • +1
                                                  Кстати, и в абъюз вебмани можно было послать…
                                                  • +4
                                                    А на кого жаловаться? Номер кошелька они же не светили.
                                                    • 0
                                                      мда. ну тогда только через милицию — если сб вебмани позволит провернуть.
                                                      • +5
                                                        Надо было «меченые» ваучеры передавать, ну и задержать при получении с ОМОНом как всё положено.
                                                        </sci-fi>
                                                  • 0
                                                    Такое впечатление складывается, что куча одноклассников засели вечером за компом, открыли страницу и жамкали F5.
                                                    Смущает что одноклассники подельники с разных городов.

                                                    оно так и было?
                                                    • 0
                                                      Я проверил whois-ом несколько случайных IP-адресов атакующих, были люди из Киева, Донецка и Полтавы.
                                                    • +1
                                                      А то что одинаковый «user agent» не смущает, да?
                                                      • +7
                                                        Клан Оперы 9.80
                                                      • 0
                                                        Если так, то атака скорее всего велась через пользователей какой-то непопулярной говносборки венды с бэкдором/Rадмином дефолтным паролем наружу (может кто помнит Radmin рейд?)… Так что абонент возможно и не виновен.
                                                    • +10
                                                      Они сейчас горды как никогда -и атака удалась (типа), и на хабр попали, и ошибки им показали.
                                                      Через месяц снова начнут.

                                                      Наказывать таких нужно. Не тогда, когда они дом сожгут, а когда только спичками начинали баловаться.
                                                      Ведь есть вариант, что и не Ваш дом сгорит, а чей-то другой, который были не в состоянии защитить.
                                                      • +4
                                                        Ладно, это было смешно. Но если установить *Известная программа для нагрузочного тестирования* в классе информатики/у друзей в локалке и запустить множественную атаку — то ДДоСполучится весьма убедительным. Особенно если сценарий правильно составить.

                                                        А школьники — смесь достаточно гремучая. Мозгов 10-11 класника чтоб запустить такую ддос вполне достаточно, А вот чтоб осознать юридические последствия — не всегда
                                                        • +3
                                                          Поверьте, некоторые индивидумы 10-11 класса могут запустить и нечто побольше. Но тем кто умеет, такое как правило и не нужно.
                                                          • +6
                                                            *представил гоблинов снаряжающих суперпушку*
                                                          • +6
                                                            О, как внезапно кончился диван!.. [x]
                                                            • +3
                                                              Решение с mod_rewrite не решение. На обработку regex запроса тратится время.
                                                              Как уже выше советовали, лучше nginx иметь.
                                                              • +2
                                                                Ну, во-первых, на написание регэкспа потребовалось времени гораздо меньше, чем ушло бы на установку и настройку nginex.

                                                                Во вторых, не у всех владельцев сайтов есть досуп к администрированию сервера и им установить и настроить дополнительный софт самостоятельно нет никакой возможности. На уговоры хостера может уйти не одна неделя и не факт, что удастся убедить. В то время, как решение с mod_rewrite доступно каждому.

                                                                В-третьих, этого простого решения хватило с головой.

                                                                В-четвертых, если бы атака была организована по уму, то настройкой nginex дело не ограничилось бы.
                                                                • 0
                                                                  mod_rewrite не везде включен ) много где, но не везде. И не везде включен .htaccess.
                                                                  • 0
                                                                    Хостинг без nginx, на чистом apache? Уходить надо оттуда, уходить. Иначе сайтик с сотней картиночек сервер положит.
                                                                    • 0
                                                                      Не впадайте в крайности. Как же люди без нгинкса обходились-то, пока это не было так модно?
                                                                      • –2
                                                                        Если честно, не прадставляю. Вроде как lighthttp использовали.
                                                                        О, я не имею в виду удалять апач. Я имею в виду то, что проксировать надо, это абсолютно прозрачно и очень сильно повышает производительность.
                                                                        Она картинка — 15 мегабайт.
                                                                        Десять пользователей по 10 картинок — 1500 мегабайт, и всё.
                                                                        • +1
                                                                          Кагбе критично не только количество занимаемой памяти, но и время, на которое она занята. 15 мегабайт на 0.1с и на час — разные вещи. Я сам использую нгинкс+апач, но сознаю, что далеко не всегда это действительно необходимо.
                                                                          • 0
                                                                            Отчет зачем это нужно кроется под боком)
                                                                            Допустим, Вы кодите на локалке — всё нормально.
                                                                            Отправляете в интернет, обновляете — всё нормально. Скорее всё у Вас быстрый интернет, и всё нормально. Запускаем сайт, какой-нибудь пользователь с ADSL ищет информацию в яндексе, открывает в фоновых вкладках 10 сайтов, которые постепенно загружаются.
                                                                            Так вот, если сайт целиком со всем картинками загружается в течении минуты (а это вполне возможно), то всю минуту будет использоваться 15-30 мегабайт. Лично у меня рамблер загружается целиком за 25 секунд (в кеше нет).
                                                                            Если пользователь грузит музыку при помощи Download Master-а в 8 каналов, будет использовано 15*8 мегабайт. Чем медленнее канал пользователя, тем дольше апач вынужден держать соединение, и тут не стоит речь о 0.1 секунде.
                                                                            Если нужны не слова, а цифры — попробуйте пострелять в сайт при помощи ab, и посчитать количество ответов. Ваше счастье, если mysql процесс не будет убит системой за отсуствие места в оперативке. Ну, а если ктото считает, что работоспособность сайта, которая ничего не стоит ни по деньгам, ни по труозатратам, и не сделает хуже, не всегда необходима — тут мне сказать нечего.
                                                                            • 0
                                                                              Если честно, ваш яростный напор наводит меня на мысль о том, что вы недавно узнали о нгинксе и впали в эйфорию.
                                                                              Штука полезная, не спорю. Но позиционировать это как лекарство от всех болезней?
                                                                              • 0
                                                                                Давно уже =). И не лекарство, а витамин. Сделать хуже с ним сложно. Сделать хуже без него — легко.
                                                                • –1
                                                                  У нас как то не webmoney а bitconins требовали, письмо счастья было на английском. Про него забыть успели а через неделю получили атаку, не очень сильную но и не школьную. Отбивались скриптиком который парсил логи и банил IP за частые обращения, за день набегало где то 50к ботов.
                                                                  • –4
                                                                    <iimage>
                                                                    • +4
                                                                      А можно задать вопрос — а почему сервер «лёг» от детского dos'а? Может, проблема в этом?
                                                                      • –1
                                                                        Любой сайт с динамикой «ляжет» от детского доса — так или иначе.
                                                                        Простая арифметика: генерация страницы занимает 0.05 секунды, 8 ядер => 160 страниц враз максимум.
                                                                        Так что поток в 200 запросов одновременных «забьёт» так, что пользователи будут ощущать жесткие тормоза по нескольку секунд и больше если стоит nginx впереди, или получать timeout если не стоит.
                                                                        • 0
                                                                          А rate-control для кого придумали? Кроме того, почему вы принимаете и обслуживаете 200 одновременных запросов? Подержать в очереди nginx'ом не судьба?
                                                                          • 0
                                                                            Так я и пишу — если nginx, то мы получим тормоза а не ошибку для простых пользователей.

                                                                            Пришло 200 клиентов, запросило страницу. 8 из них получило ответ через 0.05. 8 следующих получило через 0.1… 200й клиент получил страницу через секунду.

                                                                            А теперь пришло 1000 клиентов. Время ожидания стало 5 секунд. Простой пользователь, который придёт сюда уже будет недоволен и слиняет.

                                                                            А теперь работает 2к ботов. 10 секунд — уже никуда не годится и народ распугает напрочь.

                                                                            А rate control, группировку запросов по ip, и прочие радости делают не заранее, а когда появляется потребность. Глупо заранее тюнить сайт с посещаемостью в 20 уников чтоб держал 20кк.
                                                                            • 0
                                                                              Э… 1000 клиентов с одного ИП? Извините, извините.
                                                                        • 0
                                                                          Вы это серьезно сейчас сказали, или это такой юмор?

                                                                          Просто такие детские «досы» на серверах с базовой настройкой nginx обычно проходят незамеченными. Под базовой я имею в виду хотя бы limit_req_zone+limit_req в зависимости от максимальной возможной нагрузки с одного айпи на сайт. Я, например, сомневаюсь что сайту без монструозной посещаемости потребуется обрабатывать больше 3х запросов в секунду (с прыжками до 5 запросов) с одного айпи адреса. От всяких LOIС и других генераторов траффика это достаточная защита. Как и от ддоса с 10-20 прокси.
                                                                          • 0
                                                                            Выше озвучены масштабы в 2000 ботов. Какие к чертям 10-20 прокси? Это даже не детсад а ясли. 2000 ботов это кстати тоже очень мало.
                                                                      • +2
                                                                        Вы выбрали некрасивое неуниверсальное решение, зафильтровав паразитный траффик mod_rewrit'ом
                                                                        Оттолкнули целевых посетителей с браузером старой версии.
                                                                        Не побоялись написать такое решение на всеобщее обозрение и коллегам понесчастью

                                                                        Вот моя статейка с более элегантным и универсальным решением, но от школьного DOSа habrahabr.ru/blogs/sysadm/125300/
                                                                        • +1
                                                                          Разгрузили сервер до достаточного уровня — ок.
                                                                          Оттолкнули при этом 0 человек, маловероятно что там хоть кто-то нашелся бы с таким браузером — ок (а вот защитой от slowloris в данной ситуации наверняка бы вызвали тормоза для посетителей).
                                                                          Поделились на хабре интересной историей из реальной жизни — ок.

                                                                          А вот почему вам совесть позволяет пиарить свою статью «как стать ДОСером» для школьников, это уму не постижимо.
                                                                        • +15
                                                                          Однажды в студеную зимнюю пору зашел я на сервер. Был сильный DDoS.
                                                                          • +2
                                                                            Ну ты молодец. Победил школьника.
                                                                            • +2
                                                                              Герой. Желаю вам и дальнейших успехов в изучении базовых настроек веб-серверов.
                                                                              • 0
                                                                                Похоже и мы под такой атакой вторую неделю (два раза в один и тот же день в одно и то же время и по одному сценарию).
                                                                                Но первые меры уже приняли, теперь не должно доставлять проблем даже если повторится.
                                                                                Хотя при повторе в третий раз задействуем правоохранительные органы, если вышестоящие админы сами не справятся.
                                                                                • +3
                                                                                  Школьников и нужно учить, взрослых учить поздно.
                                                                                  К примеру у одного из моих знакомых провайдеров был такой школьник, который спам рассылал и пытался сайты взламывать. Лет 14 ему было. Молодого человека вычислили, отключили и обратились в милицию с заявлением, завели уголовное дело и все такое. Мама школьника, поняв всю серьезность ситуации, не просто отобрала компьютер у него, еще приходила к провайдеру и слезно молила закрыть дело, говорила, что если надо, ее мальчик будет приходить и делать грязную работу, полы мыть и пр. Никто, конечно, не использовал этого школьника, но за месяц общения со следователями и родителями мальчик стал шелковым и больше не занимался ерундой. Так что, даже в профилактических воспитательных целях заявление в милицию подавать стоит!
                                                                                  • 0
                                                                                    Я бы такого мальчика пригласил на стажировку себе в фирму.
                                                                                    • 0
                                                                                      Ищите таких мальчиков по фразе «взломать сайт».
                                                                                    • +2
                                                                                      И вместо того чтобы стать успешным айтишником, парень стал уборщиком. Успешным, конечно.
                                                                                      • 0
                                                                                        Чтобы стать айтишником нет нужды нарушать законы.
                                                                                        Думаю, родители дали ему достойное образование и он нашел себя.
                                                                                    • +2
                                                                                      Извините, я тут не в рамках обсуждений, а что это за 400 способов заработать в интернетах? Мне правда интересно.
                                                                                      • +2
                                                                                        399 способов — школоло-партнерки, 1 способ — получить высшее образование и устроиться на работу.
                                                                                        • +3
                                                                                          Это перефразированные «Остап знал четыреста относительно честных способов отъема денег у населения»
                                                                                        • +6
                                                                                          Я делал от такого очень простую предзащиту с отсеканием вот таких умников, сейчас точно не найду конфига, но что-то типа такого:
                                                                                          iptables -I INPUT -p tcp --dport 80 -m state --state NEW -m recent --set
                                                                                          iptables -I INPUT -p tcp --dport 80 -m state --state NEW -m recent --update --seconds 1 --hitcount 100 -j SET --add-set black_list_by_conn src,src
                                                                                          работает быстро, сервер не грузит

                                                                                          ну а дальше дело техники
                                                                                          ipset -N black_list_conn iptree --timeout 600

                                                                                          т.е. навсегда мы не блочим, всего на 10 мин сек, если какой-то ип делает больше 100 запросов в сек (обычно регулируется в нормально обстановке, например настроить и повесить на пару дней без блока с записью в лог), если он продолжит, тогда будет через 10 мин опять блочится.

                                                                                          ну и плюс все методы защиты на куках через ипсет и iptables очень эффективны. Если с умом все настроить, то можно сдерживать не только школьный ддос.

                                                                                          Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.