Предлагаю обсудить возможные варианты защиты от ДДоС. Не только программные, которые можно применять на одном отдельно взятом сервере, но и те, которые связаны с дублированием баз данных с последующей синхронизацией и.т.д.
-
XSS.stack #1 – первый литературный журнал от юзеров форума
DDoS Защита от ДДоС
- Автор темы S-tamps
- Дата начала
Я начну список защит, которые я на данный момент знаю:
1) Авторизация на сайте. неплохо защищает от http флуда, но некоторые боты могут это обходить
2) Работа с куками. Немногоие боты умеют принимать и работать с куками. тоже неплохо помгает при http флуде - если проверка на куки не пройдена, не будет нагружаться лишний раз бд и нагрузка будет не такой сильной.
3) создание зеркал сайтов - слишком напряжно атакующему завалить и основной сайт и зеркала. тем более финансово это выходит ему в разы дороже. это тоже можно считать определенной защитой от ддоса.
4) аппаратный фаервол для защиты от ддоса Diadem. все слышали о нем. но он пока находиться в стадии тестирования. хотя по заверениям разработчиков штука будет неплохая.
5)
хорошая статейка. помогает защититься от небольших ддос армий - в пару-тройку К ботов.
=====
я больше ничего не знаю пока
1) Авторизация на сайте. неплохо защищает от http флуда, но некоторые боты могут это обходить
Код:
<?$name="DDoSer"; ## логин пользователя
$pass="loh"; ## пароль пользователя
if(!isset($PHP_AUTH_USER))
{
Header('WWW-Authenticate: Basic realm="Stat"');
Header('HTTP/1.0 401 Unauthorized');
exit;
}
else
{
if(($PHP_AUTH_USER != $name ) || ($PHP_AUTH_PW != $pass))
{
Header('WWW-Authenticate: Basic realm="Stat"');
Header('HTTP/1.0 401 Unauthorized');
exit;
}
}
?>
Код:
<?php
if(!$cookie)
{
/* посылаем заголовок переадресации на страницу,
с которой будет предпринята попытка установить cookie */
header("Location: $PHP_SELF?cookie=1");
/* устанавливаем cookie с именем "test" */
setcookie("test","1");
}
else
{
if(!$test)
{
header("Location: http://localhost/ddos/test1.php");// это любой пустой скрипт
}
}
?>4) аппаратный фаервол для защиты от ддоса Diadem. все слышали о нем. но он пока находиться в стадии тестирования. хотя по заверениям разработчиков штука будет неплохая.
5)
http://xakep.ru/magazine/xa/081/066/1.asp
хорошая статейка. помогает защититься от небольших ддос армий - в пару-тройку К ботов.
=====
я больше ничего не знаю пока
Dr0ne
+ вход по картинке могу предложить (типа введите число, которое вы видите, не помню как "красиво" такая фигня называется
)
+ вход по картинке могу предложить (типа введите число, которое вы видите, не помню как "красиво" такая фигня называется
)- Автор темы
- Добавить закладку
- #4
Давайте рассмотрим следующий вариант.
Сейчас подавляющее большинство сайтов исользуют в работе SQL. Соответственно, большинство ДДоСов направляется в виде запросов к базе данных, т.к. именно таким способом легче всего завалить сайт небольшим боьнетом ( тормознутость SQL на большом количестве запросо хорошо известна ).
Представим себе, что есть форум. И валят именно через форум. Есть ли возможность организовать защиту таким образом, чтобы поставить какой-то фильтр между непосредственно сайтом и базой таким образом, чтобы к примеру, проверялось, что запрос к базе идет именно со страница сайта, а не снаружи. Ну, или что-то подобное.
Сейчас подавляющее большинство сайтов исользуют в работе SQL. Соответственно, большинство ДДоСов направляется в виде запросов к базе данных, т.к. именно таким способом легче всего завалить сайт небольшим боьнетом ( тормознутость SQL на большом количестве запросо хорошо известна ).
Представим себе, что есть форум. И валят именно через форум. Есть ли возможность организовать защиту таким образом, чтобы поставить какой-то фильтр между непосредственно сайтом и базой таким образом, чтобы к примеру, проверялось, что запрос к базе идет именно со страница сайта, а не снаружи. Ну, или что-то подобное.
Great
называется CAPTCHA. это обходиться. генерация цифр и букв там идет определнным образом. так что если разобрать ссылку на картинку, то можно авторизироватся влегкую.
почитай это - http://xakep.ru/post/31268/default.asp
=======
S-tamps
может я конечно ошибаюсь, но можно сделать возможность входа только с сайта. можно попробовать считывать http заголовки "Referer:", т.е. адрес с которого пришел юзер. но это ведь тоже можно подделать, но для этого надо делать спецефическиех ботов. кароче говоря это защитит от ботов которые не получают полностью струтуру передаваемых данных на сервер, а просто получают адрес атакуемаго сайта.
таких ботов сейчас большенство, я бы дже сказал что 95%. 5% оставим на тех кто до этого додумался
называется CAPTCHA. это обходиться. генерация цифр и букв там идет определнным образом. так что если разобрать ссылку на картинку, то можно авторизироватся влегкую.
почитай это - http://xakep.ru/post/31268/default.asp
=======
S-tamps
может я конечно ошибаюсь, но можно сделать возможность входа только с сайта. можно попробовать считывать http заголовки "Referer:", т.е. адрес с которого пришел юзер. но это ведь тоже можно подделать, но для этого надо делать спецефическиех ботов. кароче говоря это защитит от ботов которые не получают полностью струтуру передаваемых данных на сервер, а просто получают адрес атакуемаго сайта.
таких ботов сейчас большенство, я бы дже сказал что 95%. 5% оставим на тех кто до этого додумался
Если юзать нормальный движок, то нагрузка при сабже будет только на "сетевой интерфейс".
nerezus
а что ты подразумеваешь под "нормальным движком"? объясни.
а что ты подразумеваешь под "нормальным движком"? объясни.
Dr0ne
например, что мешает выдавать неавторизованным юзверям кэшированную страницу?
т.е. никаких обращений ни к БД, ни к ЖД.
например, что мешает выдавать неавторизованным юзверям кэшированную страницу?
т.е. никаких обращений ни к БД, ни к ЖД.
Я согласен с нером. Апач свалить намного сложнее чем БД.
Кстати, апач тоже крайне не рокоммендуется юзать.
ease: nginX
Известная фишка. ДЛ на нем либо работал либо еще работает))
Помню нас переводили, когда ддос был частый, все пахало как часы.
в принципе да. нагрузка идет только на веб демон.
у кого какие еще будут мысли по защите от ддоса?
у кого какие еще будут мысли по защите от ддоса?
А что вы думаете насчет проверки юзер агента клиента. Ддос боты использующие http запросы к страницам его врядли имеют. Слышал что такие есть, но еще далеко не все. Т.е. для нормального Ддоса придется изображать юзера по полной. Может бред...
тогда нельзя будет заходить на сайт с мобилы, т.к. сомневаюсь что на браузерах на мобилах есть юзер агент
А зачем? Раз идет проверка, значит сервер уже принял запрос.
Просто выдать кэш.
Причем что мешает ботам начать юзать UserAgent строку?
Добавлено в [time]1156602097[/time]
есть )
а что тогда насчет указанного выше:
По идее аналогично.
Но пока не все же используются.
там модифицировать бота раз плюнуть для добавления UserAgent.
не сочтите за рекламу.. просто наткнулся на так называемую eX-DDOS Protection
правда и просит он за скрипт не много не мало 250 енотов
Автор- ГЫУК
правда и просит он за скрипт не много не мало 250 енотов
Автор- ГЫУК
я тока непойму - как можно защитить от SYN флуда с того уровня на котором работает php ?
Добавлено в [time]1156629640[/time]
UserAgent также легко можно подделать как и Реферер, как я предлогал. для этого нужна модификация всего одной процедуры бота. в этом нет ничего сложного и тем более большенство ботов подделывают эту строку
Добавлено в [time]1156629640[/time]
UserAgent также легко можно подделать как и Реферер, как я предлогал. для этого нужна модификация всего одной процедуры бота. в этом нет ничего сложного и тем более большенство ботов подделывают эту строку
UserAgent также легко можно подделать как и Реферер, как я предлогал. для этого нужна модификация всего одной процедуры бота. в этом нет ничего сложного и тем более большенство ботов подделывают эту строку