RuWeb.net Forum - разработано XMB

как бороться с флуд-атаками?

docker - 20.8.2008 в 18:48

В этом месяце столкнулся с двумя ярко-выраженными флуд атаками (на /forum/ где ipb)
В среднем суточный расход - 100-150 и вдруг пара дней по 1.4 и 1.6 гига и по статистике - 1-2 юзера за этот сеанс. Причем, один раз из штатов, другой из нидерландов. Никто не сталкивался?
Так понимаю - типичная флуд атака на форум с попытками запостить свой спам (у меня каптча там везде стоит, поэтому сообщений никаких не остается естественно).
Какие здесь могут варианты защиты? Есть пара их Ip-ков в статиститике, но если просто баннить ведь можно попать на какую-нибудь публичную проксю и забанишь всех юзеров оттуда..? Ведь не факт что в этом случае ip распознаваемый webanalyser-ом - не фейковый?

Anonymous - 21.8.2008 в 23:36

Что значит публичный прокся? Если подразумевается открытый прокся, то такой банить нужно особо не задумываясь, по открытым проксям и dnsbl-ы соответствующие ведутся. Если вы думаете, что с какой-то подсети, где за реальным ip-адресом скрывается пара сотен машины вдруг появился к вам лавинообразный интерес, то 99,9% - зря вы так думаете.
Мой совет - закрывайте доступ этим ip-адресам к вашему ресурсу.

Мы, флуд и ддос отслеживаем и начинаем разгребать, только когда начинается значительная нагрузка на сервер, а так, всех не отследишь.

ln - 21.8.2008 в 23:43

блокировка IP через .htaccess обсуждалаь тут: http://forum.ruweb.net/viewthread.php?tid=1800

[Изменено 21.8.2008 от ln]

docker - 22.8.2008 в 00:30

видимо я чего-то не понимаю, но разве не может данный флуд-робот ломиться с компа какой-нибудь домашней сетки провайдера - в этом случае его определяемый ip будет общим внешним ip такой же как и у всех юзеров этой сетки?

ln - 22.8.2008 в 04:22

Может, конечно, но какова вероятность, что из этой же подсети кому-то потребуется ваш сайт? И никто же не советует блокировать ip навечно, через месяц запрет снимите.

Anonymous - 31.8.2008 в 18:55

Насчет этого ясно, спасибо.
Здесь проблема еще - как своевременно выявить и предотвратить такую атаку? Он например в какой-нибудь день запускается и за пару часов 2 гига сжирает, а ты это только потом замечаешь.
В directadmin-е нет каких либо режимов уведомлений в случае если например дневной трафик вдвое превысит среднюю норму и т.п.?

docker - 31.8.2008 в 18:57

^^^ это был я ^^^
А то заблокировать-то можешь, но только после того как столько траффика лишишься...

[Изменено 31.8.2008 от docker]