docker
Newbie
Сообщения: 5
Зарегистрирован: 16.8.2006
Пользователя нет на форуме
|
![[*]](./images/xmbforum/default_icon.gif) когда размещено 20.8.2008 в 18:48 |
|
|
как бороться с флуд-атаками?
В этом месяце столкнулся с двумя ярко-выраженными флуд атаками (на /forum/ где ipb)
В среднем суточный расход - 100-150 и вдруг пара дней по 1.4 и 1.6 гига и по статистике - 1-2 юзера за этот сеанс. Причем, один раз из штатов, другой
из нидерландов. Никто не сталкивался?
Так понимаю - типичная флуд атака на форум с попытками запостить свой спам (у меня каптча там везде стоит, поэтому сообщений никаких не остается
естественно).
Какие здесь могут варианты защиты? Есть пара их Ip-ков в статиститике, но если просто баннить ведь можно попать на какую-нибудь публичную проксю и
забанишь всех юзеров оттуда..? Ведь не факт что в этом случае ip распознаваемый webanalyser-ом - не фейковый?
|
|
|
Анонимный
Не зарегистрирован
Сообщения: N/A
Зарегистрирован: N/A
Пользователя нет на форуме
|
| когда размещено 21.8.2008 в 23:36 |
|
|
Что значит публичный прокся? Если подразумевается открытый прокся, то такой банить нужно особо не задумываясь, по открытым проксям и dnsbl-ы
соответствующие ведутся. Если вы думаете, что с какой-то подсети, где за реальным ip-адресом скрывается пара сотен машины вдруг появился к вам
лавинообразный интерес, то 99,9% - зря вы так думаете.
Мой совет - закрывайте доступ этим ip-адресам к вашему ресурсу.
Мы, флуд и ддос отслеживаем и начинаем разгребать, только когда начинается значительная нагрузка на сервер, а так, всех не отследишь.
|
|
|
ln
Administrator
Сообщения: 70
Зарегистрирован: 28.9.2006
Пользователя нет на форуме
|
| когда размещено 21.8.2008 в 23:43 |
|
|
блокировка IP через .htaccess обсуждалаь тут: http://forum.ruweb.net/viewthread.php?tid=1800
[Изменено 21.8.2008 от ln]
|
|
|
docker
Newbie
Сообщения: 5
Зарегистрирован: 16.8.2006
Пользователя нет на форуме
|
| когда размещено 22.8.2008 в 00:30 |
|
|
видимо я чего-то не понимаю, но разве не может данный флуд-робот ломиться с компа какой-нибудь домашней сетки провайдера - в этом случае его
определяемый ip будет общим внешним ip такой же как и у всех юзеров этой сетки?
|
|
|
ln
Administrator
Сообщения: 70
Зарегистрирован: 28.9.2006
Пользователя нет на форуме
|
| когда размещено 22.8.2008 в 04:22 |
|
|
Может, конечно, но какова вероятность, что из этой же подсети кому-то потребуется ваш сайт? И никто же не советует блокировать ip навечно, через месяц
запрет снимите.
|
|
|
Анонимный
Не зарегистрирован
Сообщения: N/A
Зарегистрирован: N/A
Пользователя нет на форуме
|
| когда размещено 31.8.2008 в 18:55 |
|
|
Насчет этого ясно, спасибо.
Здесь проблема еще - как своевременно выявить и предотвратить такую атаку? Он например в какой-нибудь день запускается и за пару часов 2 гига сжирает,
а ты это только потом замечаешь.
В directadmin-е нет каких либо режимов уведомлений в случае если например дневной трафик вдвое превысит среднюю норму и т.п.?
|
|
|
docker
Newbie
Сообщения: 5
Зарегистрирован: 16.8.2006
Пользователя нет на форуме
|
 когда размещено 31.8.2008 в 18:57 |
|
|
^^^ это был я ^^^
А то заблокировать-то можешь, но только после того как столько траффика лишишься...
[Изменено 31.8.2008 от docker]
|
|
|
