dr-mart

Смартлаб ддосят. Может посоветуете че-нить?

Народ, привет! Смартлабик ддосят используя сервера в США, Китае, Таиланде, Франции и т.п.
Смартлаб ддосят. Может посоветуете че-нить?

В прошлом атаки на нас организовывал вот этот хрен: https://github.com/arriven 
Смартлаб ддосят. Может посоветуете че-нить?

Координация шла через: https://github.com/db1000n-coordinators/LoadTestConfig 
Причем я так понимаю, смартлаб там не единственный, кого атакуют.

Я написал на ГитХаб несколько жалоб, ни ответа ни привета.

Так что, товарищи, нужен мозговой штурм, как защитить добрый смартлаб от этих подонков?:)
    ★5
    105 комментариев
    тупо эти страны отключить нельзя?
    avatar
    RomaZJ, 

    вопрос в том, как отключить эти странны, например не забанив гугл))

    Тимофей Мартынов, 

    забанить всех, гугл разбанить ручками))

    Тимофей Мартынов, найти подсети гугла и внести в исключения.

    avatar
    RomaZJ, отключать по ИП можно если не знаешь как работает НАТ.
    avatar
    RomaZJ, 

    Кац предлагает сдаться!!!
    avatar
    Если атака будет иметь затяжной характер, видел как справляются другие. Просто отрубатют доступ нафиг целыми подсетями. Начиная с иностранных. 

    Читал твой коммент, что это не возможно сделать. Но остальные как то все таки же делали
    avatar
    Андрей К, да наверное возможно…
    Вкл выкл.

    крыть по площадям geoip.

    выяснить, куда они долбятся, например — в «поиск».

    отключить нахрен.

    накатить ipset

    и к ибени маме, наотмашь:

    ipset -N ban iphash

    tail -f access.log | while read LINE; do echo "$LINE" | \

    cut -d'"' -f3 | cut -d' ' -f2 | grep -q 444 && ipset -A
        ban "${L%% *}"; done

     





    avatar
    Админа хорошего принять на работу

    С уважением

    P.S. В какой-то мере боты ломают все адреса в фоновом режиме. Грамотно построенная защита позволяет не думать о стандартных атаках. Ну и cloudflare — это ни разу не вундервафля без грамотных настроек. Судя по поведению СЛ в последние 2 дня с настройками и управлением — полный швах.
    avatar
    Мальчик buybuy, при условии, что админ должен работать безвозмездно, т.е., даром.
    avatar
    Мальчик buybuy, тут не админ нужен, а специалист по сетевой безопасности. У нас даже опытный админ на курсы по этому делу ходил. Потому что технологии постоянно развиваются.
    avatar
    Найми больше беслпатных админов :)
    avatar
    Igor, ибо как говорил Гегель, рано или поздно количество переходит в качество!
    avatar
    Igor, ага, причем хохлов… Так победи………

    Шортить рано...



    avatar
    nsk54, там боковик, от верхней границы шортим, от нижней лонгуем, главное про стопы не забывать )
    avatar
    а что админ сделает? это надо у Германа спросить, что делать?
    avatar
    А что Cloudflare не справляется
    avatar
    Не в обиду Тимофей и это спрашивает человек который 12 лет ведёт сайт и организовывает конференции по инвестициям.
    Вложись в сервисы защиты от ддос атак и найми за деньги норм админов, что здесь ещё советовать.
    Уже даже коммент невозможно написать, жесть.
    avatar
    SellBuySell, камон, помню вакансии Тимофея когда он набирал сотрудников для смартлаба — зарплаты в районе 15к, и писал отписки что типа раньше он тоже за такие деньги работал нося книжку Баффета в сумке. Типа пусть недавний студент читает посты и учится инвестировать и там зарабатывать, а работа на смартлабе — это так, хобби. Ну, понимаю подход, зачем платить сотрудникам, когда можно акций купить.))
    avatar
    SellBuySell, владельцу нормально что-то не знать, но непростительно не уметь решать вопросы.
    avatar
    Мальчик buybuy, не только на лабе во многих соцсетях.
    Тимофей, мне тут «в прямом эфире» один форумчанин показал как может менять, например, ники других форумчан (и снова исправлять)… Так что проблема не в «Богдане»…

    А вообще, Тимофей, у Вас же есть прямой контакт с Positive Technologies…
    avatar
    блокируйте по as через файрвол cloudflare. все атаки в основном идут с сетей хостинг провайдеров
    Вот ХохлоЖопый пингвин, кинжал ему по яйцам).
    МихаилРостовПапа, ну не знаю — у него Rust, Go и java — какой-то мамкин хацкер.
    avatar
    Надо выложить вакансию безопасника-админа. И, как уже повелось, работа за бесплатно.

    Если по делу — рейтлимит в нгинх, фаил2бан по рейтлимиту и написать скрипт блокировки подсети по ip для забугорья.
    Вадим Иванович, это не поможет. Ботнет нормальный обращается к сервису с одного айпи чуть ли не по одному разу...
    При приличном ddos забиваются входящие каналы так, что реальные клиенты не в состоянии пробиться…

    Т.е. все, что делается на сервере от ддоса не поможет.

    ЗЫ. Судя по тому что я что-то вижу тут не ддос, а так, ерунда какая-то…
    avatar
    Декоммунизация Богданов уже идет. Можно пожертвовать на ускорение процесса. Заодно исчезнут клиентские поддержки ВТБ и службы безопасности сбера :)
    avatar
    Напиши этим ребятам
    Сделают все под ключ
    qrator.ru/
    avatar
    На пенсию в 35, спасиб

    В службу поддержки хостинга срочно обращаться, если только это не собственный хостинг

    В службу поддержки хостинга срочно обращаться, если только это не собственный хостинг

    Вк тож ддосят похож.
    avatar
    нужен мозговой штурм, как защитить добрый смартлаб от этих подонков

    Тут есть два варианта:
    1) Своими силами — если есть достаточно квалифицированный админ и Cloudflare хоть как-то прикрывает.

    2) Обратиться за помощью к профессиональным сервисам, которые сами отфильтруют ботов и к тебе только чистый траф пойдет. Этот вариант, естессна, дороже, но прост как три копейки — заплатил и забудь про досеров.

    По второму варианту есть:

    ddos-guard.net/ru
    qrator.ru
    www.dosarrest.com

    Цены у всех разные, надо писать/звонить.

    avatar
    Это шанс Позитиву попиариться.
    avatar
    Нанять специалиста.
    За бабки.
    Деньги ему заплатить.
    И он поможет. Или поможет разобраться.
    avatar
    падазриваю чта адмын мегагиниальнаталантливауникальнатворчискыйадареныйитдитп и канечна бисплатный  или за даширак трудица саатветствинна в поти лица(ой апшибачка лядца лядца))… иль можит эт он сам с галадухи диверсию чинить удумыл)…
    avatar
    Смысл обращаться в гитхаб? Там инструмент для ddos только. Включи сервис очистки трафика у провайдера (митигацию). Самый простой способ быстро сбить волну, это фильтровать по геотегу.

    Потом можно тонко настроить фильтрацию. Но тут тебе понадобиться помощь специалиста. Причём, скорее всего не разовая. Потому что вектор атаки может меняться.
    Надо челобитную писать царю, чтобы быстрее ввели чебурнет.
    www.linkedin.com/in/arriven/details/experience/
    кажется это он

    интересно в linkedin community можно обозначить что он занимается ddos вредительством?

    avatar

    даёшь конкурс!

    чей рецепт приведёт к победе — тому премиум на год

    и педаль «за спасение смартлаба»))

    подари этому челу подписку на мозговик и пару твоих платных видосиков, может это смягчит его сердце.
    avatar
    Конечно я не большой специалист в инфобезе, но на гитхабе я не нашел атакующий вектор именно для смарт-лаба. Самый разумный вариант, надо понять профиль трафика и настроить cloud fare, возможно привлечь специалиста по данному вопросу. Ну и термоядерный вариант, забанить всех кроме России.
    avatar
    Немогу зайти с Нью Йорка)) Это не Я))  С 5 раза зашел!
    avatar
    1. Поменять IP сервера если его когда-то палили
    2. Забанить левые страны
    avatar
    Жадность порождает бедность
    avatar
    Самый легкий рецепт — перестать экономить на зарплате работников и нанять нормальных специалистов.
    avatar
    собрать статистику откуда идет и гасить эти ip
    avatar
    семь бед — один ресет
    Как-то отражал ддосы, когда занимался онлайн-проектами (игровыми).
    Но это было достаточно давно, тогда я делал защиту через использование js cookie, то есть если в боте нету js движка, он не сможет поставить такую анти-ддос куку. Вариант с баном по гео не оптимальное и временное решение. Сейчас уже любой нормальный ддосер, конечно, может эмулировать js или использовать ботнет (зомби-компы или реальные, если мы ведем речь о политически активных гражданах). Если это зомби компы или люди, надо просто отловить их IP, например, в момент атаки ночью быстро подсунуть им фейк-страницу и отфильтровать немногих попавших реальный юзеров.
    Еще способ, найти сигнатуру атакующих по юзер-агентам и прочим атрибутам http протокола. Адреса атакующих сбрасывать фаерволом, желательно до попадания в ядро linux, способы есть штатным iptables+ipset и прочими утилитами. Также я делал анализатор на Lua + nginx трафика, то есть куда ходит бот, как часто. Тут легко выявить сигнатуры атакующих, если только они не долбятся в разные страницы раз в пару минут, что было бы похоже на реального юзера. 

    Вообще у тебя бизнес, значит нужно не кустарное решение, а профессиональное, но это деньги. Куратор мощные парни, они этим очень давно и эффективно занимаются. Добавлю, что реальный айпи сервака спецы могут спалить разными способами, Cloudflare тоже обходится, это опять к вопросу об эмуляции браузера, поэтому лучше сразу ставь железку или облако в защищенный напрямую кластер, который стоит за аппаратными железками типа Arbor/Juniper, софтовыми фильтрами. Допустим, в OVH/Hetzner сразу стоят железки перед всеми серверами на фильтр L3/L4 атак. А вот L7 атаки по Http фильтруют только конторы типа Куратора, скорее всего своим быстрым софтом, который стоит на их железках перед твоим сервером. 
    avatar
    Вообще-то ДДОС — это когда делается очень много запросов, так много, что сервер перегружается и не успевает отвечать. Для обычного пользователя это выглядит так, как будто сайт недоступен или просто очень медленно работает. Но то, что происходит здесь, выглядит не как ДДОС, а как будто на хостинг этого сайта специально поставили зловредную программу, к-я будет всех тормозить и не пускать. При этом, если она все-таки пропустит, сайт работает нормально без тормозов. Это точно ДДОС?
    avatar
    СергейК, это просто эффект от ddos защиты cloudflare
    avatar
    vlad1024, какой-то странный эффект, хуже самого ддоса. 
    avatar
     Например, самое простое было бы пропускать залогиненных людей без всяких проверок. 
    avatar
    СергейК, чтобы понять «залогиненность», нужно поднять сессию, снюхать куку и т.д… этим можно (нужно) заниматься за фильтром ддос-запросов
    avatar
    какой-то странный ддос...

    в зависимости от типа используемых запросов, атака генерирует рост посещаемости или вызывает заметный спад посещаемости… а на смартлабе в последние дни все в пределах нормы:



    и еще....

    смартлаб почему-то открыт для пингов… более того, он открыт для тяжелых пингов… например 30-килобайтные пакеты пролетают на ура:

    Обмен пакетами с smart-lab.ru [172.64.111.18] с 30000 байтами данных:
    Ответ от 172.64.111.18: число байт=30000 время=48мс TTL=58
    Ответ от 172.64.111.18: число байт=30000 время=48мс TTL=58
    Ответ от 172.64.111.18: число байт=30000 время=48мс TTL=58
    Ответ от 172.64.111.18: число байт=30000 время=48мс TTL=58
    Ответ от 172.64.111.18: число байт=30000 время=48мс TTL=58
    Ответ от 172.64.111.18: число байт=30000 время=47мс TTL=58
    Ответ от 172.64.111.18: число байт=30000 время=48мс TTL=58

    это не айс
    avatar
    $100, запрос <> посетитель
    avatar
    Петрович, посещаемость = запросы
    avatar
    $100, не при атаке. При ддос атаке генериться туча запросов с одного IP. И в этих запросах нет данных, по которым определяется посетитель. Это просто не нужно атакующему.
    avatar
    $100, вот именно. Несколько месяцев назад поставили на сайт какую-то хрень, и она всё сломала. Нет никакого ДДОСа. 
    avatar
    СергейК, ддос и его характер видно по логам…

    не думаю, что Тимофей будет хлопать крыльями на пустом месте… но со стороны этот ддос выглядит как-то странно
    avatar
    на нормальных сайтах сделано так, ты заходишь на сайт он сохраняет твой айпи, если заходишь с другого айпи он требует подтвердить через смс
    avatar
    Подход комплексный нужен,
    Железки и дорогие решения не прокатят, если есть странички которые тупят.  
    И с freebsd можно было бы съехать) Хотя бы iptables были бы.


    avatar
    Не знаю где у СЛ хостинг, но у дата центра Селектел в СПб куча сервисов против ддос. Могу скинуть контакт их техдиректора, но только в личку Тимофею.
    avatar
    TwitterMan, согласен, у таких облачных провайдеров всегда есть средства
    хотя бы fault tolerance по разным серверам и Load balancing между ними
    думаю у смарта всё в одном месте стоит
    avatar
    Мартынову мозг за ДДосили, всюду мерещится какая то ересь, не может отличить ДДос от говносайта.
    avatar
    plazma37, вот это ты конечно блеснул интелектом! Пентиум 2 стоит ещё? Или от сеги меги мозг?
    Мультитрендовый, пентиум 86.
    avatar
    plazma37, заметно
    Мультитрендовый, проходи мимо, бродяга
    avatar
    Подожди просто немного и Бог его накажет.
    avatar
    Попробуй к белым хакерам обратись, или на форумы безопасности. Они могут помочь, причем зачастую бесплатно, либо за скромную оплату.
    avatar
    может, написать этому хрену из киева, типа вот зе фак, что мы русские вам украинцам сделали, чтоб вы нас тут дидосили ?
    хотя…
    avatar
    Можешь его начальнику написать
    www.linkedin.com/in/volodymyrkuznetsov/
    хотя он тоже хоха
    если, конечно, это этот чел тебя дудосит
    avatar
    Обратись в Позитив Технолоджи помогут.
    avatar
    Российским/СНГшным(кроме Украины) IP давать приоритет. Для остальных стран, да будет временно, то видно то не видно, пока более точечно не забанят.
    avatar
    case «http»:
      return buildHTTPPacket(c.Data)
      case «icmpv4»:
      return buildICMPV4Packet(c.Data)
      case «dns»:
      return buildDNSPacket(c.Data)

    Такие пакеты челик генерирует для атак.
    Закрыть для начала соотв порты. 
    80, 8080 и тд (никакого хттпя  удивлен, что 80 порт открыт), 53 и никаких пингов.
    пущай ток 443 будет
    в целом возможность входящих UDP обращений лучше полностью прикрыть.
    ipv6 — отключить.
    Должно остаться  торчать в сеть ток 443 тсп и ipv4. 

    const (
      TCPHeaderSize = 25 // 20 for header + at least 5 for options
      UDPHeaderSize = 8
      IPHeaderSize = 20
      )

    ну и у парня фиксированные заголовки  TCP пакетов. 25 байт
    Короче — напряги итэшников своих уже
    avatar
    А как ты этого чувака вычислил? Глянул, он для Far Cry 6 геймплей и мультиплеер пилил. Вряд ли он бы стал такими вещами сам заниматься.
    avatar
    Diamond, на гитхабе лежит конфиг для атакующего софта, он один из основных контрибьюторов. 
    github.com/db1000n-coordinators/LoadTestConfig/blob/main/inctructions.md
    avatar
    vlad1024, хреново :( буду держаться подальше от таких разработчиков.
    avatar
    настройки corse
    avatar
    Неоднократно сталкивались
    Если дидосили бы — смартлаб бы не работал
    Решается путем регулировки настроек и бана в cloud fare
    Скинь в личку поведение роботов
    Скорее всего нагуливают ботов для накрутки поведенческих Яндекса
    avatar
    70 мбит/с, это не ddos, такое переваривают легко большинство современных серверов. Это можно назвать http флудом и чистится хорошим админом с помощью nginx и фаервола. Более простой и дешёвый вариант — это грамотная настройка cloudflare со сменой ip сервера. Можно, конечно, сходить в ddos-guard, qrator и прочие конторы, но ценник там не порадует)
    avatar
    akkyoh, 70 — это out :)
    avatar
    xSVPx, еще лучше, что это за ddos в 9 мбит/с в пике?)
    avatar
    Предлагаю ввести экстерриториальную ответственность и отправить наших следователей для того чтобы они арестовали всех подозреваемых в любой точке мира! Такой вариант помощи рассматривается?
    «Ну не хочешь, тогда вычеркиваем».
    Попроси, чтоб не ДДОСили.

    Либо случайно попал под атаку, либо сам виноват и своим поведением вызвал на себя атаку, тогда это тебе урок.
    avatar
    Тимофей экономия на админах не всегда хорошо)


    правило для Cloudflare через Security -> WAF, чтобы не трогало известных ботов и по странам

    (not cf.client.bot and ip.geoip.country in {«CN» «FR» «US» «TH»})

    и желательно поменять новый IP и скрыть его
    avatar
    админ должен как штык в 6:00 сидеть на месте
    avatar
    Чет я не пойму, 60 мегабит — это ддос :)?
    Валерий Крылов, 60 это out :). как оказалось.
    Реальный входящий траффик несколько мегабит.

    ЗЫ. Рукалицо…
    ЗЫЫ. Лет пять назад какой-то еврейский телевизор (!) получил не очень хорошо написанную прошивку, для оффлайн веб браузера. В результате он стал в несколько тысяч потоков приходить на ресурсы, которые посещал его хозяин и пытался их реплицировать.(причем прям жрал как не в себя, через несколько часов переставал и начинал опять, вероятно когда его включали). Вот где-то столько нагрузки он ОДИН и мог создавать при полном отсутствии каких-либо мер. Но даже очень скромный сервер отдавал нормально, печаль была скорее в том, что всяческие логи адски раздулись и место кончилось.
    avatar
    Главное не полагаться что помогут, особенно из людей с погонами. Только собственные решения, а вы уже поняли кто наезжает, т.е. мозгов вам не занимать
    А как ты понял, что атаку в прошлый раз организовал именно «этот хрен»? А стандартные меры Анти-ДДОС, предоставляемые провайдером — не подходят?
    avatar
    TheFirstDayOfTheRest, где вы тут видите какие-то атаки? Входящего траффика мегабит с небольшим.
    Если бы ресурс был под атакой выб даже в ssh залогиниться не смогли, не то, чтобы переписываться тут с кем-то, читать что-то итп.

    Админы, вероятно нормально все делают. Но в каком-то другом проекте, не в этом....

    Кроилово ведёт к попадалову.
    Админ — это пожарный, он и должен 90% времени бездействовать. Но когда вдруг решили что он вовсе не нужен, то потом при микроскопических проблемах начинается «вот такое вот».
    avatar
    xSVPx, мамой клянусь всё жизнь мирно программировал, и тут за 4 дня слабал готовый монитор нагрузок… ага… кустарщина какаято а не ддосеры…
    с такими админами если у смартлаба что нибудь не пропатчено из серьёзных уязвимостей… там и ддосить то не надо будет… полный контроль получат.
    я бы если бы был Тимофеем заказал бы у Positive стресс тест… так на всякий случай…
    avatar
    взломать все соц. сети типочка и в личные сообщения каждому контакту переслать копрофильское гей-порно
    avatar
    Во-первых, сделать белый список IP. Это в основном адреса провайдеров, которые предоставляют IP для домашнего интернета. Их вы пропускаете на сайт свободно. Таких сеток наберется немного, но у пользователей не будет проблем с доступом. 
    Во-вторых, пока собирать IP, с которых идут атаки, в отдельную БД. При этом найти где-то (или купить) БД с такими адресами. 
    В-третьих, провести сортировку пользователей СЛ. Вычислить тех, кто сидит с IP из первого списка и добавить их в хорошие пользователи, а тех, кто сидит с IP из второго списка добавить в плохие пользователи, а если они ещё и публикуют плохие посты, то удалить их аккаунты. 

    avatar
    Нормальный антидос и нормальный сисадмин
    это просто бизнес, привыкай..  ты мешаешь другими, он мешает тебе, все по кругу взаимосвязанно.

    теги блога Тимофей Мартынов

    ....все тэги



    UPDONW
    Новый дизайн