• Форум посвящен самостоятельной (бесплатной) защите от ддос атак.
    Есть мануалы по настройке сервера от Ddos для сисадминов и готовые инструменты от ддос-атак для вебмастеров.

    Простое, эффективное, точное и проверенное бесплатное решение от мощных ддос-атак: PHP скрипт + Cloudflare, с панелью управления.

Медленный ддос: Slow Post, Slowloris, RUDY и др.

admin

admin

Администратор
Администрация
#1
#1
Отличительными чертами медленных ддос-атак (Slow DDos) являются относительно небольшое количество задействованных в них ботов и наличие определенной тактики, использующей те или иные уязвимости конкретного сервера.

Если задача мощных ддос-атак это положить сервер, то медленный ддос может быть использован для дестабилизации и замедления работы сайта. При медленной ддос-атаке сайт может переодически виснуть и выдавать ошибки, а владелец сайта будет грешить на хостера, каналы связи, ДНС или даже на плохую погоду, не догадываясь, что его ддосят. Пользователей будут раздражать глюки сайта и значительная их часть может уйти к конкурентам, которые, возможно, и являются заказчиками ддоса.

Медленный ддос не требует больших ресурсов и может осуществляться даже с одной машины. Для организации медленных ддос-атак могут использоваться специальные программы, такие как Slowloris и R.U.D.Y (R U Dead Yet?). Эти программы работают по принципам Slow Post и Slow HTTP headers. Практика показывает, что веб-сервера Apache, Nginx, Lightpd, IIS с дефолтными настройками уязвимы к подобным атакам.
 
Последнее редактирование:
M

Marcus

Member
#2
#2
Недавно сервер завис глянул логи, это похоже на медленный ддос?
Код: 
79.141.160.93 - - [18/Dec/2014:07:03:54 +0400] "GET / HTTP/1.0" 200 52091 "http://xxx.com/" "Mozilla/5.0 (Windows NT 6.0) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/36.0.1985.143 Safari/537.36" "-"
79.141.160.93 - - [18/Dec/2014:07:03:56 +0400] "POST /login/login HTTP/1.0" 200 15183 "http://xxx.com/" "Mozilla/5.0 (Windows NT 6.0) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/36.0.1985.143 Safari/537.36" "-"
79.141.160.93 - - [18/Dec/2014:07:03:57 +0400] "GET /forums/127/ HTTP/1.0" 200 55164 "http://xxx.com/forums/127/" "Mozilla/5.0 (Windows NT 6.0) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/36.0.1985.143 Safari/537.36" "-"
79.141.160.93 - - [18/Dec/2014:07:03:59 +0400] "GET /forums/180/ HTTP/1.0" 200 36153 "http://xxx.com/forums/180/" "Mozilla/5.0 (Windows NT 6.0) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/36.0.1985.143 Safari/537.36" "-"
79.141.160.93 - - [18/Dec/2014:07:04:03 +0400] "GET /forums/127/ HTTP/1.0" 200 44761 "http://xxx.com/forums/127/" "Mozilla/5.0 (Windows NT 6.0) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/36.0.1985.143 Safari/537.36" "-"
79.141.160.93 - - [18/Dec/2014:07:04:05 +0400] "GET /forums/224/ HTTP/1.0" 200 26427 "http://xxx.com/forums/224/" "Mozilla/5.0 (Windows NT 6.0) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/36.0.1985.143 Safari/537.36" "-"
79.141.160.93 - - [18/Dec/2014:07:04:09 +0400] "GET /forums/27/ HTTP/1.0" 200 37744 "http://xxx.com/forums/27/" "Mozilla/5.0 (Windows NT 6.0) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/36.0.1985.143 Safari/537.36" "-"
79.141.160.93 - - [18/Dec/2014:07:04:10 +0400] "POST /login/login HTTP/1.0" 200 15192 "http://xxx.com/login" "Mozilla/5.0 (Windows NT 6.0) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/36.0.1985.143 Safari/537.36" "-"
79.141.160.93 - - [18/Dec/2014:07:04:11 +0400] "GET /forums/36/ HTTP/1.0" 200 30243 "http://xxx.com/forums/36/" "Mozilla/5.0 (Windows NT 6.0) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/36.0.1985.143 Safari/537.36" "-"
79.141.160.93 - - [18/Dec/2014:07:04:12 +0400] "POST /login/login HTTP/1.0" 200 15193 "http://xxx.com/login/" "Mozilla/5.0 (Windows NT 6.0) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/36.0.1985.143 Safari/537.36" "-"
79.141.160.93 - - [18/Dec/2014:07:04:13 +0400] "GET /forums/27/ HTTP/1.0" 200 33281 "http://xxx.com/forums/27/" "Mozilla/5.0 (Windows NT 6.0) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/36.0.1985.143 Safari/537.36" "-"
5.254.151.57 - - [18/Dec/2014:07:04:32 +0400] "GET /forums/36/ HTTP/1.0" 200 30287 "http://xxx.com/forums/36/" "Mozilla/5.0 (Windows NT 6.1; rv:33.0) Gecko/20100101 Firefox/33.0" "-"
5.254.151.57 - - [18/Dec/2014:07:04:32 +0400] "POST /login/login HTTP/1.0" 200 15219 "http://xxx.com/login/" "Mozilla/5.0 (Windows NT 6.1; rv:33.0) Gecko/20100101 Firefox/33.0" "-"
5.254.151.57 - - [18/Dec/2014:07:04:33 +0400] "GET / HTTP/1.0" 200 52091 "http://xxx.com/" "Mozilla/5.0 (Windows NT 6.1; rv:33.0) Gecko/20100101 Firefox/33.0" "-"
5.254.151.57 - - [18/Dec/2014:07:04:36 +0400] "GET /forums/224/ HTTP/1.0" 200 26427 "http://xxx.com/forums/224/" "Mozilla/5.0 (Windows NT 6.1; rv:33.0) Gecko/20100101 Firefox/33.0" "-"
5.254.151.57 - - [18/Dec/2014:07:04:36 +0400] "POST /login/login HTTP/1.0" 200 15191 "http://xxx.com/login" "Mozilla/5.0 (Windows NT 6.1; rv:33.0) Gecko/20100101 Firefox/33.0" "-"
5.254.151.57 - - [18/Dec/2014:07:04:37 +0400] "GET /forums/127/ HTTP/1.0" 200 54752 "http://xxx.com/forums/127/" "Mozilla/5.0 (Windows NT 6.1; rv:33.0) Gecko/20100101 Firefox/33.0" "-"
5.254.151.57 - - [18/Dec/2014:07:04:37 +0400] "POST /login/login HTTP/1.0" 200 15200 "http://xxx.com/login" "Mozilla/5.0 (Windows NT 6.1; rv:33.0) Gecko/20100101 Firefox/33.0" "-"
5.254.151.57 - - [18/Dec/2014:07:04:38 +0400] "GET /forums/77/ HTTP/1.0" 200 37744 "http://xxx.com/forums/77/" "Mozilla/5.0 (Windows NT 6.1; rv:33.0) Gecko/20100101 Firefox/33.0" "-"
5.254.151.57 - - [18/Dec/2014:07:04:38 +0400] "POST /login/login HTTP/1.0" 200 15190 "http://xxx.com/login" "Mozilla/5.0 (Windows NT 6.1; rv:33.0) Gecko/20100101 Firefox/33.0" "-"
5.254.151.57 - - [18/Dec/2014:07:04:39 +0400] "GET /forums/16/ HTTP/1.0" 200 30243 "http://xxx.com/forums/16/" "Mozilla/5.0 (Windows NT 6.1; rv:33.0) Gecko/20100101 Firefox/33.0" "-"
5.254.151.57 - - [18/Dec/2014:07:04:39 +0400] "POST /login/login HTTP/1.0" 200 15191 "http://xxx.com/login/" "Mozilla/5.0 (Windows NT 6.1; rv:33.0) Gecko/20100101 Firefox/33.0" "-"
Чередуются одинаковые запросы. Айпи польский и шведский (название провайдера: Anonine VPN). Через какое-то время приводит к зависанию сервера. Что в настройках подкрутить?

Так боты сервер не вешают, но создают дополнительную лишнюю нагрузку, что сказывается на производительности сайта. Вручную начинаешь добавлять в файервол, через какое-то время появляются новые. Я думаю может их скриптом проверять, допустим, если за день айпи запрашивает одну и ту же страницу более 200 раз, то банить его или добавлять в специальный список, тогда проверять вручную и банить подозрительные.

А кто как решает эту проблему?
 
admin

admin

Администратор
Администрация
#3
#3
Это, вероятно, перебор паролей. Многие пользователи устанавливают простые пароли типа 123456, их можно взломать и флудить от них.

Можно попробовать поймать на куку. Проверьте, устанавливают ли боты куки, видят ли редиректы.

Отсеивать таких ботов можно примерно так.
PHP: 
if (!isset($_COOKIE['checkuser'])) setcookie("checkuser", 1, time()+300);

if ($_SERVER['REQUEST_URI']=='/login/login') 
{ 
    if (is_file('ban/'.$_SERVER['REMOTE_ADDR'])) exit;
    if (!isset($_COOKIE['checkuser'])) file_put_contents('ban/'.$_SERVER['REMOTE_ADDR']); // обращаемся к внутренней странице, предполагается, что куки уже установлен 
}
Если не получится, обращайтесь [email protected].
 
Войдите или зарегистрируйтесь для ответа.
Сверху