Есть ли сейчас в Украине фирма, эффективно умеющая бороться с ddos-сетями? В очередной раз сайт грохнули.

Kostiantyn KorsunНасколько я знаю, ЭФФЕКТИВНО бороться с DDoSами и ботнетами никто в мире не в состоянии.

Dmitry OzirniyВ Украине таких не знаю никого. Но вы можете попробовать в недалёком зарубежье: http://hll.msu.ru/item_168.html

Dmitry OzirniyКонстантин, с ДДоСом бороться можно, но это очень дорого и сложно.

Kostiantyn KorsunTo Dmitry Ozirniy: Разумеется, я это и хотел сказать, просто поленился расписывать проблему, которая ИМХО известна всем (или многим).

Vladimir GninyukСтанислав, попробуйте пообщаться с Дата Груп,я знаю, что они должны были начать предлагать данный сервис с использованием Цисковских технологий. Хотя, мои попытки собрать инфу год назад были не очень удачными, но может за год, что-то изменилось.

Не зная чем вы занимаетесь и маштабность ваших ресурсов трудно, что-то предлагать, но в любом случае есть смысл ознакомится с сервисами от Akamai и prolexic... (так сказать, начнем с Hi-End)

В любом случае, необходимо нарисовать "образ врага" (ведь не каждый встречный вас "валить" захочет). А результаты данной работы, могут указать, порой, на неожиданный сценарий защиты...

Stanislav ORDСпасибо большое всем за помощь. Насколько я понял, защита от ДДос это гонка вооружений. При атаке в 1 Gbs гонка вооружений становится чересчур затратной. С россиянами я имел печальный опыт securelab. Результатат не было, были требования покупать все более дорогие каналы. Узнаю насчет Дата Груп, но,,, лучше бы за пределами Украины. Тупо конечно, но приходится просто ждать, пока у атакующего кончатся деньги. И зеркала не спасают. Интересно, что можно перенаправить атаку, просто прописав в днс нужный адрес))). Но это нужно точно знать заказчика. Вчера ради интереса перенаправил на один правительственный сайт -- таки упал. Еще раз спасибо за советы

Kostiantyn Korsunto Stanislav ORD >>Вчера ради интереса перенаправил на один правительственный сайт -- таки упал.<<
Во как! А что за сайт, если не секрет? Что-то никто не сообщал об этом. Правительственный сайт под дос-атакой - это, знаете-ли, событие! Кибернападение! Аларм!

Dmitry Ozirniyпри ограниченном бюджете выбор у вас действительно небольшой. Хорошая защита от ДДоС, по моим представлениям, включает фильтрацию на маршрутизаторах в точках обмена трафика, зеркала сайта в разных частях света, специальные железки с адаптирующимся под изменения в атаке поведением и пр. Если же у вас нет таких денег, то надёжную защиту построить сложновато. У атакующих явное преимущество в этой войне.
Судя по всему, ваш сайт интересен преимущественно в Украине. Вы пробовали временно зафильтровать прямо на фаерволе веб-сервера все айпишники, кроме украинских? Ну и дальше фильтровать отдельные подозрительные адреса из Украины. Более того, по случаям ДДоСа из Украины можно писать провайдерам с описанием атаки, многие идут навстречу и фильтруют трафик у себя.
Список украинских сетей без Укртелекома:
http://www.colocall.net/ua/prefixes.txt

Dmitry OzirniyКонстантин, подобный сценарий в шутку озвучивали на Хабре (для России). Действительно, в случае падения украинского гос.сайта от ДДоС СБУ, по идее, должна этим заинтересоваться. А вот какова должна быть их реакция?

Stanislav ORDМой сайт ОРД. А перенаправил атаку на сайт СБУ. Вчера он лежал)). Зеркала не помогают

Kostiantyn KorsunРеакция предсказуема: согласно ст.ст.361-363 УК Украины. Если есть ущерб, подтвержденный собственником (распорядителем) ресурса и выраженный в материальном и/или материальном виде и доказательства (например, логи сервера, надлежащим образом снятые и оформленные) - есть основания для возбуждения уголовного дела. Вот только перспективы его раскрыть, как мы все понимаем, невелики. Это если без помощи международного и/или всеукраинского сообщества. А если с ней - чуть больше:-))) А возбуждать "мертвородженные" дела никто и нигде не любит...

Kostiantyn KorsunTo Stanislav ORD : >>Мой сайт ОРД. А перенаправил атаку на сайт СБУ. Вчера он лежал)). Зеркала не помогают <<
Это вызов. Смело.

Dmitry OzirniyKostiantyn Korsun, да уголовное дело - то такое. Как они ДДоС остановят? Тут одним постановлением суда не отделаешься.

Kostiantyn KorsunTo Dmitry Ozirniy • >>Kostiantyn Korsun, да уголовное дело - то такое. Как они ДДоС остановят? Тут одним постановлением суда не отделаешься. <<
Честно?
А никак! Ничего принципиально нового нет в подлунном мире, правоохранители наши могут только нагнать ажиотажа и напугать админов 363-й статьей. А технически решение вопроса достаточно традиционно, в том числе в этом топике описано.

Kostiantyn KorsunДа, вот еще: СБУ в состоянии организовать полномасштабное расследование инцидента с запросом всех данных из всех организаций в пределах Украины, а также через правоохранительные органы других стран, с которыми налажено эффективное взаимодействие. Но остановить "сейчас" - вопрос чисто технический

Evgen Kostenko2Kostiantyn Korsun JHL - ОРД - це саме той сайт, який СБУ захоче захищати за правду і неправду, що там про неї та її співробітників була там надрукована. :)

Stanislav ORDА насколько реально существование ресурса на сервисе типа tor? Пусть медленно, но лучше чем никак

Vladimir GninyukСтанислав, а какому типу атаки ДДОС подвергся ваш ресурс? Откуда шла атака? Кто предполагаемый заказчик и исполнитель?

Stanislav ORDЯ типах атак не раздираюсь. Знаю что мощная для нас беспрецедентно. 1Gbs. О заказчике тож сложно говорить. Ничего особо острого не было. Лето. Привычно долбали Хорошковского. Последний материал был об исчезновении нашего автора Климентьева. Но этот материал был и на других ресурсах. Ботсеть в разных странах, даже не посчитаешь, откуда больше запросов идет. Вчера проверил, прописал в dns аде другого своего сайта, он тут же лег. Можно в принципе и президентский сейчас бесплатно завалить. Но...регистратор может домен отнять. Лишние хлопоты. Нужно таки думать о tor или других альтернативных сетях

Dmitry OzirniyI2P: http://forum.ixbt.com/topic.cgi?id=15:65189 В этой сети уже даже есть Пиратская Бухта.
Не вижу как вам помогут альтернативные сети.
Предлагаю вам другой вариант: пока перенесите часть статей на бесплатный хостинг, к которому можно привязать домен. Например, posterous, или еще что-то. С дизайном там не густо, но информацию разместить можно. А там и атака закончится и вернётесь на старый сервер.

Alexandr YatsukНаилучший способ борьбы с ДДос атакой - подождать пока у атакующего закончатся деньги. Получается так :)

Stanislav ORDВ принципе да. Но говорят эти услуги подешевели, а во вторых, что делать если атаку заказал миллионер или же ее осуществляют "государевы люди" на жалованье и могут это делать вечно?

Gleb Paharenko@Stanislav
У нас в группе обсуждалась тема ДОС на IMENA.UA и как они отбились:
http://www.linkedin.com/newsArticle?viewDiscussion=&articleID=72168719&gid=1220117&trk=EML_anet_nws_c_ttle-dDhOon0JumNFomgJt7dBpSBA

Нужно скопировать ссылку, по клику у меня не открывается.

Все таки желательно привести детали ДОС атаки, дампы пакетов, примеры адресов откуда идет.

Alex BodrykTor не занимается хостингом сайтов, его предназначение - анонимный серфинг по Интернету.

По теме: попробуйте захоститься в Америке, у большого хостера с кучей anti DDoS оборудования. Заковыка будет только в цене вопроса, за какие деньги хостер будет согласен держать эту атаку.
Пример такого хостинга:
http://gigabitdc.com/ddos-protection/
P.S. Самому закупаться "железом" не рекомендую, время возврата инвестиций будет астрономическим.

Stanislav ORDспасибо. так и сделали в принципе и уже восстановились. Медленно грузимся потому как атака продолжается, но грузимся. Но недешевая это услуга, недешевая

Alex BodrykДа, если говорить о том на кого уж перенаправлять (что считаю крайней мерой, и ни в коем случае не агитирую) то эффективно должно быть перенаправление поочередно на самые известные ресурсы хакерского сообщества - xakep.ru, antichat.ru и так далее. У администраторов данных ресурсов вполне могут найтись полезные связи для решения проблемы.

Stanislav ORDНу да, или нарваться еще и на их атаки))

Alex BodrykЕсли Вы настолько отчаялись, что решили сделать перенаправление, то хуже не будет.

Если еще продолжать думать в этом направлении, то в принципе прекратить атаку возможно - для этого нужно попросту вычислить IP адрес (или другой канал связи, сейчас через Twitter некоторые бот-сети управляются) ботнет контроллера.
Самый простой и очевидный способ получения адреса - сравнение исходящих соединений нескольких ботов. Информацию эту может получить та же СБУ, запросив данные у провайдеров ботов.

P.S. Более эффективными чем СБУ должны быть организации типа NSA и US-CERT ;).

Stanislav ORDДа у меня как раз подозрения, что СБУ этим и занимается. В Украине большинство атак идет из Укртелекома))

Oleksandr Koval's'kyiхлопотно защищатся, но можно... по моему мнению, нужно в штате отдельно спеца держать....хотя таких единицы

Ilya TruschenkoDDOS измерять только в гигабитах - эт как-то очень поверхностно. Можно и на 128К канале сервер положить, если правильные запросы формировать. В этом случае стоит внимательно разобрать структуру запросов и банить айпишники по созданным сигнатурам тем же snortом. Я боролся с DDOS дважды - первый раз спасал сайт нац. информагенства во время президенстких выборов, второй раз - сеть инет.магазинов - если в первом случае помогло наращивание мощности сервера, установка промежуточного веб-сервера и прочие оптимизации, то с сетью оказалось сложнее - после всех моих ухищрений сервер начал отдавать контент настолько шустро, что в датацентре, в котором сервер стоял - начали умирать роутеры. Так как датацентр итак был самый крупный, то ничего не оставалось делать, как перевести наш сервер на отдельный канал (без биллинга и прочего, грубо говоря, напрямую к uplinkу подключили) и ограничить по скорости отдачу контента зарубежным пользователям, что сняло проблему

Alexandr YatsukМне приходилось иметь дело с DDOS... несколько раз точно :)

Расскажите детальнее о втором случае. Это же на скольки гигабитах отдачи начали умирать роутеры датацентра ? Самый крупный ....это Воле сервера стояли?

Ilya Truschenkoне буду называть имена :) но ДДОС делился на "глупый" брутфорс, который на себя взял ДЦ, и собственно запросы к веб-серверу, с которыми пришлось бороться самому. Сколько оно было в гигабитах, я не в курсе, но у меня в бан-листе оказалось около 30 тыс. хостов

Comments