• 87233
  • 186
  • 15
Нравится блог?
Подписывайтесь!

Сказ о том как Арбалет Геннадьевич ДДОС-атаку отбивал

Представим себе такую ситуацию. Вы являетесь счастливым обладателем собственного интернет-ресурса, будь то сайта, блога, форума - в принципе не суть важно. Так вот, в один прекрасный день вам на e-mail приходит письмо от службы поддержки хостинга, так называемого "саппорта", с информацией о блокировке вашего аккаунта по причине слишком большой нагрузки на их сервера. Загрузка CPU зашкаливает под 100%, запросы к MySQL поражают своими объемами (от 1 Gb/час). Подобная ситуация, особенно для новичков веб-мастеринга, как гром среди ясного неба. Возникает паника и многочисленные вопросы: "За что?", "Да кому мой полугодовалый ресурс с посещением до 100 хостов в сутки насолил?", "Что делать?" и так далее.

Нагрузка на CPU при DDOS-атаке

Количество запросов к MySQL резко возрастает. Исходящий трафик зашкаливает.

Во-первых, если такое произошло, возьмите себя в руки, успокойтесь и постарайтесь трезво оценить ситуацию. Во вторых, сразу же пишите в саппорт вашего хостера с просьбой прокомментировать причину столь внезапной блокировки. Если служба поддержки подтвердит ddos-атаку, то есть атаку на ваш ресурс с множества зараженных троянами компьютеров из сети Интернет (так называемых "зомби") с целью блокирования доступа посетителям, а также всевозможным поисковым роботам (Яндес, Google, Rambler, Yahoo и др.), тогда уже начинайте предпринимать действия по предотвращению дальнейших осложнений, таких как: недоступность сайта для посетителей, выпадение из индексов ПС, падение доходов от партнерских программ (к примеру, биржа ссылок SAPE, Google ADSense) и т. д.

Итак, начните с того, что откройте файл .htaccess или создайте, если такого нет, в корневой директории вашего сайта. По идее, если вы никогда им не пользовались, то он должен быть пуст либо содержать только закомментированные строки (строки, начинающиеся с символа "#"). В первую очередь вставляем подобный код, я его называю "заглушка" ;)

# Закрываем доступ для всех
Order Deny,Allow
Deny from all

Сохраняем файл .htaccess. После этой операции все ip-адреса будут блокироваться и никто не сможет получить доступ к вашему сайту, в том числе и вы сами. Через пару секунд вы уже заметите по нормализовавшимся графикам производительности в панели управления хостингом либо по растущим файлам www.ваш-сайт-error_log, что .htaccess начал свою работу по отсеиванию всех и вся. Первый этап пройден. Все "щели" заткнули, но вместе с тем оказались "заткнуты" и все "окна". Настала пора переходить к анализу лог-файлов нашего сервера на предмет выборки атакующих ip. В моем случае логи располагались в папке logs в корневой директории хостинга (заметьте, хостинга, а не сайта). Обычно сервер Apache создает два файла логов. Грубо говоря, лог доступа (access) и лог ошибок доступа (error). Скачиваем файл лога доступа (файлик с именем, содержащим название вашего сайта и слово "access"). При открытии видим, огромное количество строк с указанием времени доступа, ip-адреса, операционной системы, версии браузера, в общем, достаточно обширную информацию, которая включает в себя даже ключевые слова по которым на сайт переходили из поисковых систем. Вручную выбирать ip-адреса для нас будет слишком уж муторно, поэтому скачаем программку анализатора логов. Благо есть такая бесплатная и достаточно полно формирующая отчет из лог-файлов. Скачиваем AlterWind Log Analyzer Lite и устанавливаем. Теперь можно загрузить через данную программу лог доступа к вашему сайту и сгенерировать HTML-отчет. На вкладке "Visitors" будут выведен список ip-адресов, пытавшихся получить доступ к вашему ресурсу. Выбирайте те, напротив которых стоит очень много запросов (больше 100) - ддосят скорее всего с них. Не бойтесь по ошибке выбрать обычного посетителя, сейчас вы на войне, и пара невинных жертв не сделает вам погоды для дальнейших посещений. Тем более ip-адреса достаточно часто меняются, так что вы никого не обидите, если на время перекроете им доступ к сайту.

После выборки всех подозрительных ip-адресов открываем опять файл .htaccess и редактируем следующим образом.

Order Allow,Deny
# Сначала разрешаем доступ всем
Allow from all
# НО! Запрещаем доступ со следующих адресов
Deny from xx.xx.xxx.xxx
Deny from xx.xxx.xx.xx
Deny from xxxxx.ru
# Можно задать шаблон для отсеивания ip. Ниже будут заблокированы все домены ниже xx.ru
Deny from .xx.ru

Сохраняем и... в принципе вот и всё. Периодически проверяйте файлы логов доступа на предмет новых атакующих айпишников и добавляйте их к своему списку в .htaccess. Помните, что рано или поздно атаки прекратятся - ведь дело то это достаточно дорогое ;).

P.S. Кстати, чуть не забыл. При выборе ip-адресов не заносите в "черный список" адреса типа .yandex.ru, .yandex.net, .rambler.ru, google – это поисковые роботы, индексирующие ваш сайт.

Источник: моя же статейка на Блоге IT-шника

С уважением, Арбалет Геннадьевич. Вебмастер.

2 сентября 2009, 2:45
4572

Loading...

Комментарии

Tanir
0
0
Спасибо, грамотно. +1
даааа, согласен
Дюже благодарствую. Рад стараться.
OS_aka
0
0
спасибо за рекомендацию.... рано или поздно ею придется воспользоваться.... а пока будем иметь ввиду...О_о
Был рад способствовать.

Оставьте свой комментарий

Спасибо за открытие блога в Yvision.kz! Чтобы убедиться в отсутствии спама, все комментарии новых пользователей проходят премодерацию. Соблюдение правил нашей блог-платформы ускорит ваш переход в категорию надежных пользователей, не нуждающихся в премодерации. Обязательно прочтите наши правила по указанной ссылке: Правила

Также можно нажать Ctrl+Enter

Популярные посты

«До какой же еще степени унижения должен дойти народ?!»

«До какой же еще степени унижения должен дойти народ?!»

Министерство труда и соцзащиты провело через парламент очередной крайне неоднозначный закон, который может вызвать всплеск недовольства в стране.
openqazaqstan
15 нояб. 2017 / 11:17
  • 28479
  • 21
Самый большой мошенник в стране: об эффективной схеме развода «Казахтелеком»

Самый большой мошенник в стране: об эффективной схеме развода «Казахтелеком»

История о том, как Народный провайдер наваривается на своих клиентах, намерено не отключая услуги, и беря лишние деньги за ненужные и не оказываемые услуги.
ligaspravedlivosti
17 нояб. 2017 / 19:12
  • 27698
  • 188
Бесспорные доказательства – путь к упрощенному судопроизводству

Бесспорные доказательства – путь к упрощенному судопроизводству

В Казахстане введен институт упрощенного (письменного) судопроизводства, который позволяет повысить доступность правосудия и сократить сроки рассмотрения дел.
mark_iceberg
вчера / 15:49
  • 14843
  • 2
«Почему я не хочу встречаться с мужчинами-казахами»

«Почему я не хочу встречаться с мужчинами-казахами»

Заранее отпишусь, данный пост не является попыткой оскорбить собственную нацию) Как говорится о вкусах не спорят, каждому свое.
Bonittta
16 нояб. 2017 / 14:28
  • 15522
  • 372
Новшества на орбите уголовного правосудия

Новшества на орбите уголовного правосудия

Недавно я приняла участие в международной конференции по модернизации уголовного процесса, прошедшей в Бурабае. В чем значимость данных реформ для обычного казахстанца?
mirabeisenova
вчера / 16:22
  • 11555
  • 1
Почему катастрофический отток интеллектуальной элиты не тревожит Астану?

Почему катастрофический отток интеллектуальной элиты не тревожит Астану?

Как сообщает телеканал КТК, только за последние девять месяцев Казахстан покинули 28200 человек, из них почти пять тысяч инженеров, около 2700 экономистов и 1700 учителей.
openqazaqstan
17 нояб. 2017 / 11:00
  • 11335
  • 57
Задержан казахстанец, продававший детей в сексуальное рабство в ОАЭ и Бахрейн

Задержан казахстанец, продававший детей в сексуальное рабство в ОАЭ и Бахрейн

Подтверждаются худшие предположения, циркулирующие в соцсетях. Периодические исчезновения детей в разных регионах Казахстана объясняются не только семейными проблемами и «синими китами».
openqazaqstan
16 нояб. 2017 / 15:46
  • 7847
  • 54
О «топ-30», «топ-50» и прочих понтах можно пока забыть

О «топ-30», «топ-50» и прочих понтах можно пока забыть

В объективности выводов швейцарского банка Credit Suisse усомниться трудно – его экономические рейтинги относятся к самым авторитетным и их явно трудно упрекнуть в предвзятости
openqazaqstan
18 нояб. 2017 / 17:21
  • 7122
  • 84
Система госинститутов Казахстана напоминает очень дорогое казино

Система госинститутов Казахстана напоминает очень дорогое казино

Сегодня в прессу просочились детали скандальной сделки ЕНПФ с «мусорными» облигациями ТОО «Бузгул Аурум», о которой уже подробно рассказывалось в начале года.
openqazaqstan
15 нояб. 2017 / 16:13
  • 3365
  • 21