Смартлаб ддосят. Может посоветуете че-нить?

тупо эти страны отключить нельзя?

Если атака будет иметь затяжной характер, видел как справляются другие. Просто отрубатют доступ нафиг целыми подсетями. Начиная с иностранных. 

Читал твой коммент, что это не возможно сделать. Но остальные как то все таки же делали

Вкл выкл.

Админа хорошего принять на работу

С уважением

P.S. В какой-то мере боты ломают все адреса в фоновом режиме. Грамотно построенная защита позволяет не думать о стандартных атаках. Ну и cloudflare — это ни разу не вундервафля без грамотных настроек. Судя по поведению СЛ в последние 2 дня с настройками и управлением — полный швах.

Найми больше беслпатных админов :)

Шортить рано...

а что админ сделает? это надо у Германа спросить, что делать?

А что Cloudflare не справляется

Не в обиду Тимофей и это спрашивает человек который 12 лет ведёт сайт и организовывает конференции по инвестициям.
Вложись в сервисы защиты от ддос атак и найми за деньги норм админов, что здесь ещё советовать.
Уже даже коммент невозможно написать, жесть.

Мальчик buybuy, не только на лабе во многих соцсетях.

Тимофей, мне тут «в прямом эфире» один форумчанин показал как может менять, например, ники других форумчан (и снова исправлять)… Так что проблема не в «Богдане»…

А вообще, Тимофей, у Вас же есть прямой контакт с Positive Technologies…

блокируйте по as через файрвол cloudflare. все атаки в основном идут с сетей хостинг провайдеров

Вот ХохлоЖопый пингвин, кинжал ему по яйцам).

Надо выложить вакансию безопасника-админа. И, как уже повелось, работа за бесплатно.

Если по делу — рейтлимит в нгинх, фаил2бан по рейтлимиту и написать скрипт блокировки подсети по ip для забугорья.

Декоммунизация Богданов уже идет. Можно пожертвовать на ускорение процесса. Заодно исчезнут клиентские поддержки ВТБ и службы безопасности сбера :)

Напиши этим ребятам
Сделают все под ключ
qrator.ru/

Вк тож ддосят похож.

Это шанс Позитиву попиариться.

Нанять специалиста.
За бабки.
Деньги ему заплатить.
И он поможет. Или поможет разобраться.

падазриваю чта адмын мегагиниальнаталантливауникальнатворчискыйадареныйитдитп и канечна бисплатный  или за даширак трудица саатветствинна в поти лица(ой апшибачка лядца лядца))… иль можит эт он сам с галадухи диверсию чинить удумыл)…

Смысл обращаться в гитхаб? Там инструмент для ddos только. Включи сервис очистки трафика у провайдера (митигацию). Самый простой способ быстро сбить волну, это фильтровать по геотегу.

Потом можно тонко настроить фильтрацию. Но тут тебе понадобиться помощь специалиста. Причём, скорее всего не разовая. Потому что вектор атаки может меняться.

Надо челобитную писать царю, чтобы быстрее ввели чебурнет.

www.linkedin.com/in/arriven/details/experience/
кажется это он

интересно в linkedin community можно обозначить что он занимается ddos вредительством?

подари этому челу подписку на мозговик и пару твоих платных видосиков, может это смягчит его сердце.

Конечно я не большой специалист в инфобезе, но на гитхабе я не нашел атакующий вектор именно для смарт-лаба. Самый разумный вариант, надо понять профиль трафика и настроить cloud fare, возможно привлечь специалиста по данному вопросу. Ну и термоядерный вариант, забанить всех кроме России.

Немогу зайти с Нью Йорка)) Это не Я))  С 5 раза зашел!

1. Поменять IP сервера если его когда-то палили
2. Забанить левые страны

Жадность порождает бедность

Самый легкий рецепт — перестать экономить на зарплате работников и нанять нормальных специалистов.

собрать статистику откуда идет и гасить эти ip

семь бед — один ресет

Как-то отражал ддосы, когда занимался онлайн-проектами (игровыми).
Но это было достаточно давно, тогда я делал защиту через использование js cookie, то есть если в боте нету js движка, он не сможет поставить такую анти-ддос куку. Вариант с баном по гео не оптимальное и временное решение. Сейчас уже любой нормальный ддосер, конечно, может эмулировать js или использовать ботнет (зомби-компы или реальные, если мы ведем речь о политически активных гражданах). Если это зомби компы или люди, надо просто отловить их IP, например, в момент атаки ночью быстро подсунуть им фейк-страницу и отфильтровать немногих попавших реальный юзеров.
Еще способ, найти сигнатуру атакующих по юзер-агентам и прочим атрибутам http протокола. Адреса атакующих сбрасывать фаерволом, желательно до попадания в ядро linux, способы есть штатным iptables+ipset и прочими утилитами. Также я делал анализатор на Lua + nginx трафика, то есть куда ходит бот, как часто. Тут легко выявить сигнатуры атакующих, если только они не долбятся в разные страницы раз в пару минут, что было бы похоже на реального юзера. 

Вообще у тебя бизнес, значит нужно не кустарное решение, а профессиональное, но это деньги. Куратор мощные парни, они этим очень давно и эффективно занимаются. Добавлю, что реальный айпи сервака спецы могут спалить разными способами, Cloudflare тоже обходится, это опять к вопросу об эмуляции браузера, поэтому лучше сразу ставь железку или облако в защищенный напрямую кластер, который стоит за аппаратными железками типа Arbor/Juniper, софтовыми фильтрами. Допустим, в OVH/Hetzner сразу стоят железки перед всеми серверами на фильтр L3/L4 атак. А вот L7 атаки по Http фильтруют только конторы типа Куратора, скорее всего своим быстрым софтом, который стоит на их железках перед твоим сервером. 

Вообще-то ДДОС — это когда делается очень много запросов, так много, что сервер перегружается и не успевает отвечать. Для обычного пользователя это выглядит так, как будто сайт недоступен или просто очень медленно работает. Но то, что происходит здесь, выглядит не как ДДОС, а как будто на хостинг этого сайта специально поставили зловредную программу, к-я будет всех тормозить и не пускать. При этом, если она все-таки пропустит, сайт работает нормально без тормозов. Это точно ДДОС?

 Например, самое простое было бы пропускать залогиненных людей без всяких проверок. 

какой-то странный ддос...

в зависимости от типа используемых запросов, атака генерирует рост посещаемости или вызывает заметный спад посещаемости… а на смартлабе в последние дни все в пределах нормы:



и еще....

смартлаб почему-то открыт для пингов… более того, он открыт для тяжелых пингов… например 30-килобайтные пакеты пролетают на ура:

Обмен пакетами с smart-lab.ru [172.64.111.18] с 30000 байтами данных:
Ответ от 172.64.111.18: число байт=30000 время=48мс TTL=58
Ответ от 172.64.111.18: число байт=30000 время=48мс TTL=58
Ответ от 172.64.111.18: число байт=30000 время=48мс TTL=58
Ответ от 172.64.111.18: число байт=30000 время=48мс TTL=58
Ответ от 172.64.111.18: число байт=30000 время=48мс TTL=58
Ответ от 172.64.111.18: число байт=30000 время=47мс TTL=58
Ответ от 172.64.111.18: число байт=30000 время=48мс TTL=58

это не айс

на нормальных сайтах сделано так, ты заходишь на сайт он сохраняет твой айпи, если заходишь с другого айпи он требует подтвердить через смс

Подход комплексный нужен,
Железки и дорогие решения не прокатят, если есть странички которые тупят.  
И с freebsd можно было бы съехать) Хотя бы iptables были бы.

Не знаю где у СЛ хостинг, но у дата центра Селектел в СПб куча сервисов против ддос. Могу скинуть контакт их техдиректора, но только в личку Тимофею.

Мартынову мозг за ДДосили, всюду мерещится какая то ересь, не может отличить ДДос от говносайта.

Подожди просто немного и Бог его накажет.

Попробуй к белым хакерам обратись, или на форумы безопасности. Они могут помочь, причем зачастую бесплатно, либо за скромную оплату.

может, написать этому хрену из киева, типа вот зе фак, что мы русские вам украинцам сделали, чтоб вы нас тут дидосили ?
хотя…

Можешь его начальнику написать
www.linkedin.com/in/volodymyrkuznetsov/
хотя он тоже хоха
если, конечно, это этот чел тебя дудосит

Обратись в Позитив Технолоджи помогут.

Российским/СНГшным(кроме Украины) IP давать приоритет. Для остальных стран, да будет временно, то видно то не видно, пока более точечно не забанят.

Такие пакеты челик генерирует для атак.
Закрыть для начала соотв порты. 
80, 8080 и тд (никакого хттпя  удивлен, что 80 порт открыт), 53 и никаких пингов.
пущай ток 443 будет
в целом возможность входящих UDP обращений лучше полностью прикрыть.
ipv6 — отключить.
Должно остаться  торчать в сеть ток 443 тсп и ipv4. 


ну и у парня фиксированные заголовки  TCP пакетов. 25 байт
Короче — напряги итэшников своих уже

А как ты этого чувака вычислил? Глянул, он для Far Cry 6 геймплей и мультиплеер пилил. Вряд ли он бы стал такими вещами сам заниматься.

настройки corse

Неоднократно сталкивались
Если дидосили бы — смартлаб бы не работал
Решается путем регулировки настроек и бана в cloud fare
Скинь в личку поведение роботов
Скорее всего нагуливают ботов для накрутки поведенческих Яндекса

70 мбит/с, это не ddos, такое переваривают легко большинство современных серверов. Это можно назвать http флудом и чистится хорошим админом с помощью nginx и фаервола. Более простой и дешёвый вариант — это грамотная настройка cloudflare со сменой ip сервера. Можно, конечно, сходить в ddos-guard, qrator и прочие конторы, но ценник там не порадует)

Предлагаю ввести экстерриториальную ответственность и отправить наших следователей для того чтобы они арестовали всех подозреваемых в любой точке мира! Такой вариант помощи рассматривается?

«Ну не хочешь, тогда вычеркиваем».
Попроси, чтоб не ДДОСили.

Либо случайно попал под атаку, либо сам виноват и своим поведением вызвал на себя атаку, тогда это тебе урок.

Тимофей экономия на админах не всегда хорошо)


правило для Cloudflare через Security -> WAF, чтобы не трогало известных ботов и по странам

(not cf.client.bot and ip.geoip.country in {«CN» «FR» «US» «TH»})

и желательно поменять новый IP и скрыть его

админ должен как штык в 6:00 сидеть на месте

Чет я не пойму, 60 мегабит — это ддос :)?

Главное не полагаться что помогут, особенно из людей с погонами. Только собственные решения, а вы уже поняли кто наезжает, т.е. мозгов вам не занимать

А как ты понял, что атаку в прошлый раз организовал именно «этот хрен»? А стандартные меры Анти-ДДОС, предоставляемые провайдером — не подходят?

TheFirstDayOfTheRest, где вы тут видите какие-то атаки? Входящего траффика мегабит с небольшим.
Если бы ресурс был под атакой выб даже в ssh залогиниться не смогли, не то, чтобы переписываться тут с кем-то, читать что-то итп.

Админы, вероятно нормально все делают. Но в каком-то другом проекте, не в этом....

Кроилово ведёт к попадалову.
Админ — это пожарный, он и должен 90% времени бездействовать. Но когда вдруг решили что он вовсе не нужен, то потом при микроскопических проблемах начинается «вот такое вот».

взломать все соц. сети типочка и в личные сообщения каждому контакту переслать копрофильское гей-порно

Во-первых, сделать белый список IP. Это в основном адреса провайдеров, которые предоставляют IP для домашнего интернета. Их вы пропускаете на сайт свободно. Таких сеток наберется немного, но у пользователей не будет проблем с доступом. 
Во-вторых, пока собирать IP, с которых идут атаки, в отдельную БД. При этом найти где-то (или купить) БД с такими адресами. 
В-третьих, провести сортировку пользователей СЛ. Вычислить тех, кто сидит с IP из первого списка и добавить их в хорошие пользователи, а тех, кто сидит с IP из второго списка добавить в плохие пользователи, а если они ещё и публикуют плохие посты, то удалить их аккаунты. 

Нормальный антидос и нормальный сисадмин

это просто бизнес, привыкай..  ты мешаешь другими, он мешает тебе, все по кругу взаимосвязанно.