Тимофей Мартынов
Тимофей Мартынов личный блог
23 апреля 2023, 20:19

Смартлаб ддосят. Может посоветуете че-нить?

Народ, привет! Смартлабик ддосят используя сервера в США, Китае, Таиланде, Франции и т.п.
Смартлаб ддосят. Может посоветуете че-нить?

В прошлом атаки на нас организовывал вот этот хрен: https://github.com/arriven 
Смартлаб ддосят. Может посоветуете че-нить?

Координация шла через: https://github.com/db1000n-coordinators/LoadTestConfig 
Причем я так понимаю, смартлаб там не единственный, кого атакуют.

Я написал на ГитХаб несколько жалоб, ни ответа ни привета.

Так что, товарищи, нужен мозговой штурм, как защитить добрый смартлаб от этих подонков?:)
105 Комментариев
  • RomaZJ
    23 апреля 2023, 20:24
    тупо эти страны отключить нельзя?
      • jaśnie wielmożny pan Szczur
        23 апреля 2023, 22:00

        Тимофей Мартынов, 

        забанить всех, гугл разбанить ручками))

      • Петрович
        23 апреля 2023, 22:26
        Тимофей Мартынов, найти подсети гугла и внести в исключения.

    • DrManhattan
      24 апреля 2023, 09:49
      RomaZJ, отключать по ИП можно если не знаешь как работает НАТ.
    • $even_17 (PhD)
      24 апреля 2023, 14:24
      RomaZJ, 

      Кац предлагает сдаться!!!
  • Андрей К
    23 апреля 2023, 20:26
    Если атака будет иметь затяжной характер, видел как справляются другие. Просто отрубатют доступ нафиг целыми подсетями. Начиная с иностранных. 

    Читал твой коммент, что это не возможно сделать. Но остальные как то все таки же делали
  • Вкл выкл.
  • jaśnie wielmożny pan Szczur
    23 апреля 2023, 23:40

    крыть по площадям geoip.

    выяснить, куда они долбятся, например — в «поиск».

    отключить нахрен.

    накатить ipset

    и к ибени маме, наотмашь:

    ipset -N ban iphash

    tail -f access.log | while read LINE; do echo "$LINE" | \

    cut -d'"' -f3 | cut -d' ' -f2 | grep -q 444 && ipset -A
        ban "${L%% *}"; done

     

  • nsk54
    23 апреля 2023, 20:29




  • Мальчик buybuy
    23 апреля 2023, 20:31
    Админа хорошего принять на работу

    С уважением

    P.S. В какой-то мере боты ломают все адреса в фоновом режиме. Грамотно построенная защита позволяет не думать о стандартных атаках. Ну и cloudflare — это ни разу не вундервафля без грамотных настроек. Судя по поведению СЛ в последние 2 дня с настройками и управлением — полный швах.
    • 3Qu
      23 апреля 2023, 22:05
      Мальчик buybuy, при условии, что админ должен работать безвозмездно, т.е., даром.
    • DrManhattan
      24 апреля 2023, 09:53
      Мальчик buybuy, тут не админ нужен, а специалист по сетевой безопасности. У нас даже опытный админ на курсы по этому делу ходил. Потому что технологии постоянно развиваются.
  • Igor
    23 апреля 2023, 20:33
    Найми больше беслпатных админов :)
    • Гуру Хренов
      23 апреля 2023, 22:33
      Igor, ибо как говорил Гегель, рано или поздно количество переходит в качество!
    • Сергей Хорошавин
      24 апреля 2023, 09:56
      Igor, ага, причем хохлов… Так победи………
  • nsk54
    23 апреля 2023, 20:36

    Шортить рано...



    • Eridanoy
      23 апреля 2023, 23:50
      nsk54, там боковик, от верхней границы шортим, от нижней лонгуем, главное про стопы не забывать )
  • qdesnik
    23 апреля 2023, 20:36
    а что админ сделает? это надо у Германа спросить, что делать?
  • Top Trader
    23 апреля 2023, 20:37
    А что Cloudflare не справляется
  • SellBuySell
    23 апреля 2023, 20:38
    Не в обиду Тимофей и это спрашивает человек который 12 лет ведёт сайт и организовывает конференции по инвестициям.
    Вложись в сервисы защиты от ддос атак и найми за деньги норм админов, что здесь ещё советовать.
    Уже даже коммент невозможно написать, жесть.
    • Vlad
      24 апреля 2023, 05:15
      SellBuySell, камон, помню вакансии Тимофея когда он набирал сотрудников для смартлаба — зарплаты в районе 15к, и писал отписки что типа раньше он тоже за такие деньги работал нося книжку Баффета в сумке. Типа пусть недавний студент читает посты и учится инвестировать и там зарабатывать, а работа на смартлабе — это так, хобби. Ну, понимаю подход, зачем платить сотрудникам, когда можно акций купить.))
    • DrManhattan
      24 апреля 2023, 09:56
      SellBuySell, владельцу нормально что-то не знать, но непростительно не уметь решать вопросы.
  • Мальчик buybuy, не только на лабе во многих соцсетях.
  • Cash
    23 апреля 2023, 20:41
    Тимофей, мне тут «в прямом эфире» один форумчанин показал как может менять, например, ники других форумчан (и снова исправлять)… Так что проблема не в «Богдане»…

    А вообще, Тимофей, у Вас же есть прямой контакт с Positive Technologies…
  • Сергей Юнусов
    23 апреля 2023, 20:39
    блокируйте по as через файрвол cloudflare. все атаки в основном идут с сетей хостинг провайдеров
  • МихаилРостовПапа
    23 апреля 2023, 20:40
    Вот ХохлоЖопый пингвин, кинжал ему по яйцам).
    • DrManhattan
      24 апреля 2023, 09:57
      МихаилРостовПапа, ну не знаю — у него Rust, Go и java — какой-то мамкин хацкер.
  • Вадим Иванович
    23 апреля 2023, 20:40
    Надо выложить вакансию безопасника-админа. И, как уже повелось, работа за бесплатно.

    Если по делу — рейтлимит в нгинх, фаил2бан по рейтлимиту и написать скрипт блокировки подсети по ip для забугорья.
    • xSVPx
      23 апреля 2023, 21:12
      Вадим Иванович, это не поможет. Ботнет нормальный обращается к сервису с одного айпи чуть ли не по одному разу...
      При приличном ddos забиваются входящие каналы так, что реальные клиенты не в состоянии пробиться…

      Т.е. все, что делается на сервере от ддоса не поможет.

      ЗЫ. Судя по тому что я что-то вижу тут не ддос, а так, ерунда какая-то…
  • xezdx
    23 апреля 2023, 20:48
    Декоммунизация Богданов уже идет. Можно пожертвовать на ускорение процесса. Заодно исчезнут клиентские поддержки ВТБ и службы безопасности сбера :)
  • На пенсию в 35
    23 апреля 2023, 20:55
    Напиши этим ребятам
    Сделают все под ключ
    qrator.ru/
  • Алексей Тихонов
    23 апреля 2023, 20:59

    В службу поддержки хостинга срочно обращаться, если только это не собственный хостинг

  • Алексей Тихонов
    23 апреля 2023, 20:59

    В службу поддержки хостинга срочно обращаться, если только это не собственный хостинг

  • Денис С
    23 апреля 2023, 21:00
    Вк тож ддосят похож.
  • Вася Пражкин
    23 апреля 2023, 21:07
    нужен мозговой штурм, как защитить добрый смартлаб от этих подонков

    Тут есть два варианта:
    1) Своими силами — если есть достаточно квалифицированный админ и Cloudflare хоть как-то прикрывает.

    2) Обратиться за помощью к профессиональным сервисам, которые сами отфильтруют ботов и к тебе только чистый траф пойдет. Этот вариант, естессна, дороже, но прост как три копейки — заплатил и забудь про досеров.

    По второму варианту есть:

    ddos-guard.net/ru
    qrator.ru
    www.dosarrest.com

    Цены у всех разные, надо писать/звонить.

  • Сергей
    23 апреля 2023, 21:07
    Это шанс Позитиву попиариться.
  • xSVPx
    23 апреля 2023, 21:07
    Нанять специалиста.
    За бабки.
    Деньги ему заплатить.
    И он поможет. Или поможет разобраться.
  • Raduga8
    23 апреля 2023, 21:13
    падазриваю чта адмын мегагиниальнаталантливауникальнатворчискыйадареныйитдитп и канечна бисплатный  или за даширак трудица саатветствинна в поти лица(ой апшибачка лядца лядца))… иль можит эт он сам с галадухи диверсию чинить удумыл)…
  • Людвиг ван Биткоин
    23 апреля 2023, 21:12
    Смысл обращаться в гитхаб? Там инструмент для ddos только. Включи сервис очистки трафика у провайдера (митигацию). Самый простой способ быстро сбить волну, это фильтровать по геотегу.

    Потом можно тонко настроить фильтрацию. Но тут тебе понадобиться помощь специалиста. Причём, скорее всего не разовая. Потому что вектор атаки может меняться.
  • Маркиз Лафайет
    23 апреля 2023, 21:13
    Надо челобитную писать царю, чтобы быстрее ввели чебурнет.
  • sl_walker
    23 апреля 2023, 21:13
    www.linkedin.com/in/arriven/details/experience/
    кажется это он

    интересно в linkedin community можно обозначить что он занимается ddos вредительством?

  • jaśnie wielmożny pan Szczur
    23 апреля 2023, 21:16

    даёшь конкурс!

    чей рецепт приведёт к победе — тому премиум на год

    и педаль «за спасение смартлаба»))

  • Artemunak
    23 апреля 2023, 21:19
    подари этому челу подписку на мозговик и пару твоих платных видосиков, может это смягчит его сердце.
  • vlad1024
    23 апреля 2023, 21:22
    Конечно я не большой специалист в инфобезе, но на гитхабе я не нашел атакующий вектор именно для смарт-лаба. Самый разумный вариант, надо понять профиль трафика и настроить cloud fare, возможно привлечь специалиста по данному вопросу. Ну и термоядерный вариант, забанить всех кроме России.
  • Buffetts grandson
    23 апреля 2023, 21:22
    Немогу зайти с Нью Йорка)) Это не Я))  С 5 раза зашел!
  • siesta00
    23 апреля 2023, 21:28
    1. Поменять IP сервера если его когда-то палили
    2. Забанить левые страны
  • Freeman Busido
    23 апреля 2023, 21:33
    Жадность порождает бедность
  • Tenechek
    23 апреля 2023, 21:36
    Самый легкий рецепт — перестать экономить на зарплате работников и нанять нормальных специалистов.
  • autotrade
    23 апреля 2023, 21:36
    собрать статистику откуда идет и гасить эти ip
  • Евгений Степанов
    23 апреля 2023, 21:42
    семь бед — один ресет
  • Конь В пальто
    23 апреля 2023, 21:51
    Как-то отражал ддосы, когда занимался онлайн-проектами (игровыми).
    Но это было достаточно давно, тогда я делал защиту через использование js cookie, то есть если в боте нету js движка, он не сможет поставить такую анти-ддос куку. Вариант с баном по гео не оптимальное и временное решение. Сейчас уже любой нормальный ддосер, конечно, может эмулировать js или использовать ботнет (зомби-компы или реальные, если мы ведем речь о политически активных гражданах). Если это зомби компы или люди, надо просто отловить их IP, например, в момент атаки ночью быстро подсунуть им фейк-страницу и отфильтровать немногих попавших реальный юзеров.
    Еще способ, найти сигнатуру атакующих по юзер-агентам и прочим атрибутам http протокола. Адреса атакующих сбрасывать фаерволом, желательно до попадания в ядро linux, способы есть штатным iptables+ipset и прочими утилитами. Также я делал анализатор на Lua + nginx трафика, то есть куда ходит бот, как часто. Тут легко выявить сигнатуры атакующих, если только они не долбятся в разные страницы раз в пару минут, что было бы похоже на реального юзера. 

    Вообще у тебя бизнес, значит нужно не кустарное решение, а профессиональное, но это деньги. Куратор мощные парни, они этим очень давно и эффективно занимаются. Добавлю, что реальный айпи сервака спецы могут спалить разными способами, Cloudflare тоже обходится, это опять к вопросу об эмуляции браузера, поэтому лучше сразу ставь железку или облако в защищенный напрямую кластер, который стоит за аппаратными железками типа Arbor/Juniper, софтовыми фильтрами. Допустим, в OVH/Hetzner сразу стоят железки перед всеми серверами на фильтр L3/L4 атак. А вот L7 атаки по Http фильтруют только конторы типа Куратора, скорее всего своим быстрым софтом, который стоит на их железках перед твоим сервером. 
  • СергейК
    23 апреля 2023, 21:52
    Вообще-то ДДОС — это когда делается очень много запросов, так много, что сервер перегружается и не успевает отвечать. Для обычного пользователя это выглядит так, как будто сайт недоступен или просто очень медленно работает. Но то, что происходит здесь, выглядит не как ДДОС, а как будто на хостинг этого сайта специально поставили зловредную программу, к-я будет всех тормозить и не пускать. При этом, если она все-таки пропустит, сайт работает нормально без тормозов. Это точно ДДОС?
    • vlad1024
      23 апреля 2023, 23:40
      СергейК, это просто эффект от ddos защиты cloudflare
      • СергейК
        23 апреля 2023, 23:43
        vlad1024, какой-то странный эффект, хуже самого ддоса. 
  • СергейК
    23 апреля 2023, 21:53
     Например, самое простое было бы пропускать залогиненных людей без всяких проверок. 
    • GOLD
      23 апреля 2023, 22:15
      СергейК, чтобы понять «залогиненность», нужно поднять сессию, снюхать куку и т.д… этим можно (нужно) заниматься за фильтром ддос-запросов
  • GOLD
    23 апреля 2023, 22:11
    какой-то странный ддос...

    в зависимости от типа используемых запросов, атака генерирует рост посещаемости или вызывает заметный спад посещаемости… а на смартлабе в последние дни все в пределах нормы:



    и еще....

    смартлаб почему-то открыт для пингов… более того, он открыт для тяжелых пингов… например 30-килобайтные пакеты пролетают на ура:

    Обмен пакетами с smart-lab.ru [172.64.111.18] с 30000 байтами данных:
    Ответ от 172.64.111.18: число байт=30000 время=48мс TTL=58
    Ответ от 172.64.111.18: число байт=30000 время=48мс TTL=58
    Ответ от 172.64.111.18: число байт=30000 время=48мс TTL=58
    Ответ от 172.64.111.18: число байт=30000 время=48мс TTL=58
    Ответ от 172.64.111.18: число байт=30000 время=48мс TTL=58
    Ответ от 172.64.111.18: число байт=30000 время=47мс TTL=58
    Ответ от 172.64.111.18: число байт=30000 время=48мс TTL=58

    это не айс
    • Петрович
      23 апреля 2023, 22:28
      $100, запрос <> посетитель
      • GOLD
        23 апреля 2023, 22:34
        Петрович, посещаемость = запросы
        • Петрович
          27 апреля 2023, 17:59
          $100, не при атаке. При ддос атаке генериться туча запросов с одного IP. И в этих запросах нет данных, по которым определяется посетитель. Это просто не нужно атакующему.
    • СергейК
      23 апреля 2023, 22:29
      $100, вот именно. Несколько месяцев назад поставили на сайт какую-то хрень, и она всё сломала. Нет никакого ДДОСа. 
      • GOLD
        23 апреля 2023, 22:37
        СергейК, ддос и его характер видно по логам…

        не думаю, что Тимофей будет хлопать крыльями на пустом месте… но со стороны этот ддос выглядит как-то странно
  • autotrade
    23 апреля 2023, 22:08
    на нормальных сайтах сделано так, ты заходишь на сайт он сохраняет твой айпи, если заходишь с другого айпи он требует подтвердить через смс
  • ilijaz
    23 апреля 2023, 22:12
    Подход комплексный нужен,
    Железки и дорогие решения не прокатят, если есть странички которые тупят.  
    И с freebsd можно было бы съехать) Хотя бы iptables были бы.


  • TwitterMan
    23 апреля 2023, 22:34
    Не знаю где у СЛ хостинг, но у дата центра Селектел в СПб куча сервисов против ддос. Могу скинуть контакт их техдиректора, но только в личку Тимофею.
    • kiryushka
      23 апреля 2023, 22:52
      TwitterMan, согласен, у таких облачных провайдеров всегда есть средства
      хотя бы fault tolerance по разным серверам и Load balancing между ними
      думаю у смарта всё в одном месте стоит
  • plazma37
    23 апреля 2023, 22:35
    Мартынову мозг за ДДосили, всюду мерещится какая то ересь, не может отличить ДДос от говносайта.
    • Мультитрендовый
      24 апреля 2023, 02:59
      plazma37, вот это ты конечно блеснул интелектом! Пентиум 2 стоит ещё? Или от сеги меги мозг?
      • plazma37
        24 апреля 2023, 06:42
        Мультитрендовый, пентиум 86.
  • Bogdan
    23 апреля 2023, 22:43
    Подожди просто немного и Бог его накажет.
  • Виталий Б.
    23 апреля 2023, 22:44
    Попробуй к белым хакерам обратись, или на форумы безопасности. Они могут помочь, причем зачастую бесплатно, либо за скромную оплату.
  • Гуру Хренов
    23 апреля 2023, 22:45
    может, написать этому хрену из киева, типа вот зе фак, что мы русские вам украинцам сделали, чтоб вы нас тут дидосили ?
    хотя…
  • kiryushka
    23 апреля 2023, 22:50
    Можешь его начальнику написать
    www.linkedin.com/in/volodymyrkuznetsov/
    хотя он тоже хоха
    если, конечно, это этот чел тебя дудосит
  • Максим
    23 апреля 2023, 22:50
    Обратись в Позитив Технолоджи помогут.
  • Андрей Рулин
    23 апреля 2023, 22:51
    Российским/СНГшным(кроме Украины) IP давать приоритет. Для остальных стран, да будет временно, то видно то не видно, пока более точечно не забанят.
  • Доктор
    23 апреля 2023, 22:56
    case «http»:
      return buildHTTPPacket(c.Data)
      case «icmpv4»:
      return buildICMPV4Packet(c.Data)
      case «dns»:
      return buildDNSPacket(c.Data)

    Такие пакеты челик генерирует для атак.
    Закрыть для начала соотв порты. 
    80, 8080 и тд (никакого хттпя  удивлен, что 80 порт открыт), 53 и никаких пингов.
    пущай ток 443 будет
    в целом возможность входящих UDP обращений лучше полностью прикрыть.
    ipv6 — отключить.
    Должно остаться  торчать в сеть ток 443 тсп и ipv4. 

    const (
      TCPHeaderSize = 25 // 20 for header + at least 5 for options
      UDPHeaderSize = 8
      IPHeaderSize = 20
      )

    ну и у парня фиксированные заголовки  TCP пакетов. 25 байт
    Короче — напряги итэшников своих уже
  • Diamond
    23 апреля 2023, 23:37
    А как ты этого чувака вычислил? Глянул, он для Far Cry 6 геймплей и мультиплеер пилил. Вряд ли он бы стал такими вещами сам заниматься.
  • Zvr
    24 апреля 2023, 00:23
    настройки corse
  • Al Du
    24 апреля 2023, 00:37
    Неоднократно сталкивались
    Если дидосили бы — смартлаб бы не работал
    Решается путем регулировки настроек и бана в cloud fare
    Скинь в личку поведение роботов
    Скорее всего нагуливают ботов для накрутки поведенческих Яндекса
  • akkyoh
    24 апреля 2023, 02:12
    70 мбит/с, это не ddos, такое переваривают легко большинство современных серверов. Это можно назвать http флудом и чистится хорошим админом с помощью nginx и фаервола. Более простой и дешёвый вариант — это грамотная настройка cloudflare со сменой ip сервера. Можно, конечно, сходить в ddos-guard, qrator и прочие конторы, но ценник там не порадует)
    • xSVPx
      24 апреля 2023, 13:57
      akkyoh, 70 — это out :)
      • akkyoh
        24 апреля 2023, 18:02
        xSVPx, еще лучше, что это за ddos в 9 мбит/с в пике?)
  • Мультитрендовый
    24 апреля 2023, 02:56
    Предлагаю ввести экстерриториальную ответственность и отправить наших следователей для того чтобы они арестовали всех подозреваемых в любой точке мира! Такой вариант помощи рассматривается?
  • hhayek
    24 апреля 2023, 03:43
    «Ну не хочешь, тогда вычеркиваем».
    Попроси, чтоб не ДДОСили.

    Либо случайно попал под атаку, либо сам виноват и своим поведением вызвал на себя атаку, тогда это тебе урок.
  • Сергей777
    24 апреля 2023, 04:09
    Тимофей экономия на админах не всегда хорошо)


    правило для Cloudflare через Security -> WAF, чтобы не трогало известных ботов и по странам

    (not cf.client.bot and ip.geoip.country in {«CN» «FR» «US» «TH»})

    и желательно поменять новый IP и скрыть его
  • 22022022
    24 апреля 2023, 05:32
    админ должен как штык в 6:00 сидеть на месте
  • Валерий Крылов
    24 апреля 2023, 07:55
    Чет я не пойму, 60 мегабит — это ддос :)?
    • xSVPx
      24 апреля 2023, 11:19
      Валерий Крылов, 60 это out :). как оказалось.
      Реальный входящий траффик несколько мегабит.

      ЗЫ. Рукалицо…
      ЗЫЫ. Лет пять назад какой-то еврейский телевизор (!) получил не очень хорошо написанную прошивку, для оффлайн веб браузера. В результате он стал в несколько тысяч потоков приходить на ресурсы, которые посещал его хозяин и пытался их реплицировать.(причем прям жрал как не в себя, через несколько часов переставал и начинал опять, вероятно когда его включали). Вот где-то столько нагрузки он ОДИН и мог создавать при полном отсутствии каких-либо мер. Но даже очень скромный сервер отдавал нормально, печаль была скорее в том, что всяческие логи адски раздулись и место кончилось.
  • Эдуард Лоскутов
    24 апреля 2023, 08:59
    Главное не полагаться что помогут, особенно из людей с погонами. Только собственные решения, а вы уже поняли кто наезжает, т.е. мозгов вам не занимать
  • Алексей
    24 апреля 2023, 09:08
    А как ты понял, что атаку в прошлый раз организовал именно «этот хрен»? А стандартные меры Анти-ДДОС, предоставляемые провайдером — не подходят?
  • xSVPx
    24 апреля 2023, 14:00
    TheFirstDayOfTheRest, где вы тут видите какие-то атаки? Входящего траффика мегабит с небольшим.
    Если бы ресурс был под атакой выб даже в ssh залогиниться не смогли, не то, чтобы переписываться тут с кем-то, читать что-то итп.

    Админы, вероятно нормально все делают. Но в каком-то другом проекте, не в этом....

    Кроилово ведёт к попадалову.
    Админ — это пожарный, он и должен 90% времени бездействовать. Но когда вдруг решили что он вовсе не нужен, то потом при микроскопических проблемах начинается «вот такое вот».
    • Сергей
      24 апреля 2023, 14:54
      xSVPx, мамой клянусь всё жизнь мирно программировал, и тут за 4 дня слабал готовый монитор нагрузок… ага… кустарщина какаято а не ддосеры…
      с такими админами если у смартлаба что нибудь не пропатчено из серьёзных уязвимостей… там и ддосить то не надо будет… полный контроль получат.
      я бы если бы был Тимофеем заказал бы у Positive стресс тест… так на всякий случай…
  • Бобёр
    24 апреля 2023, 15:11
    взломать все соц. сети типочка и в личные сообщения каждому контакту переслать копрофильское гей-порно
  • Дмитрий-сан
    24 апреля 2023, 16:47
    Во-первых, сделать белый список IP. Это в основном адреса провайдеров, которые предоставляют IP для домашнего интернета. Их вы пропускаете на сайт свободно. Таких сеток наберется немного, но у пользователей не будет проблем с доступом. 
    Во-вторых, пока собирать IP, с которых идут атаки, в отдельную БД. При этом найти где-то (или купить) БД с такими адресами. 
    В-третьих, провести сортировку пользователей СЛ. Вычислить тех, кто сидит с IP из первого списка и добавить их в хорошие пользователи, а тех, кто сидит с IP из второго списка добавить в плохие пользователи, а если они ещё и публикуют плохие посты, то удалить их аккаунты. 

  • Никита Коробейников
    24 апреля 2023, 22:47
    Нормальный антидос и нормальный сисадмин
  • Макро Партнёры
    25 апреля 2023, 15:18
    это просто бизнес, привыкай..  ты мешаешь другими, он мешает тебе, все по кругу взаимосвязанно.

Активные форумы
Что сейчас обсуждают

Старый дизайн
Старый
дизайн