• 84375
  • 186
  • 15
Нравится блог?
Подписывайтесь!

Сказ о том как Арбалет Геннадьевич ДДОС-атаку отбивал

Представим себе такую ситуацию. Вы являетесь счастливым обладателем собственного интернет-ресурса, будь то сайта, блога, форума - в принципе не суть важно. Так вот, в один прекрасный день вам на e-mail приходит письмо от службы поддержки хостинга, так называемого "саппорта", с информацией о блокировке вашего аккаунта по причине слишком большой нагрузки на их сервера. Загрузка CPU зашкаливает под 100%, запросы к MySQL поражают своими объемами (от 1 Gb/час). Подобная ситуация, особенно для новичков веб-мастеринга, как гром среди ясного неба. Возникает паника и многочисленные вопросы: "За что?", "Да кому мой полугодовалый ресурс с посещением до 100 хостов в сутки насолил?", "Что делать?" и так далее.

Нагрузка на CPU при DDOS-атаке

Количество запросов к MySQL резко возрастает. Исходящий трафик зашкаливает.

Во-первых, если такое произошло, возьмите себя в руки, успокойтесь и постарайтесь трезво оценить ситуацию. Во вторых, сразу же пишите в саппорт вашего хостера с просьбой прокомментировать причину столь внезапной блокировки. Если служба поддержки подтвердит ddos-атаку, то есть атаку на ваш ресурс с множества зараженных троянами компьютеров из сети Интернет (так называемых "зомби") с целью блокирования доступа посетителям, а также всевозможным поисковым роботам (Яндес, Google, Rambler, Yahoo и др.), тогда уже начинайте предпринимать действия по предотвращению дальнейших осложнений, таких как: недоступность сайта для посетителей, выпадение из индексов ПС, падение доходов от партнерских программ (к примеру, биржа ссылок SAPE, Google ADSense) и т. д.

Итак, начните с того, что откройте файл .htaccess или создайте, если такого нет, в корневой директории вашего сайта. По идее, если вы никогда им не пользовались, то он должен быть пуст либо содержать только закомментированные строки (строки, начинающиеся с символа "#"). В первую очередь вставляем подобный код, я его называю "заглушка" ;)

# Закрываем доступ для всех
Order Deny,Allow
Deny from all

Сохраняем файл .htaccess. После этой операции все ip-адреса будут блокироваться и никто не сможет получить доступ к вашему сайту, в том числе и вы сами. Через пару секунд вы уже заметите по нормализовавшимся графикам производительности в панели управления хостингом либо по растущим файлам www.ваш-сайт-error_log, что .htaccess начал свою работу по отсеиванию всех и вся. Первый этап пройден. Все "щели" заткнули, но вместе с тем оказались "заткнуты" и все "окна". Настала пора переходить к анализу лог-файлов нашего сервера на предмет выборки атакующих ip. В моем случае логи располагались в папке logs в корневой директории хостинга (заметьте, хостинга, а не сайта). Обычно сервер Apache создает два файла логов. Грубо говоря, лог доступа (access) и лог ошибок доступа (error). Скачиваем файл лога доступа (файлик с именем, содержащим название вашего сайта и слово "access"). При открытии видим, огромное количество строк с указанием времени доступа, ip-адреса, операционной системы, версии браузера, в общем, достаточно обширную информацию, которая включает в себя даже ключевые слова по которым на сайт переходили из поисковых систем. Вручную выбирать ip-адреса для нас будет слишком уж муторно, поэтому скачаем программку анализатора логов. Благо есть такая бесплатная и достаточно полно формирующая отчет из лог-файлов. Скачиваем AlterWind Log Analyzer Lite и устанавливаем. Теперь можно загрузить через данную программу лог доступа к вашему сайту и сгенерировать HTML-отчет. На вкладке "Visitors" будут выведен список ip-адресов, пытавшихся получить доступ к вашему ресурсу. Выбирайте те, напротив которых стоит очень много запросов (больше 100) - ддосят скорее всего с них. Не бойтесь по ошибке выбрать обычного посетителя, сейчас вы на войне, и пара невинных жертв не сделает вам погоды для дальнейших посещений. Тем более ip-адреса достаточно часто меняются, так что вы никого не обидите, если на время перекроете им доступ к сайту.

После выборки всех подозрительных ip-адресов открываем опять файл .htaccess и редактируем следующим образом.

Order Allow,Deny
# Сначала разрешаем доступ всем
Allow from all
# НО! Запрещаем доступ со следующих адресов
Deny from xx.xx.xxx.xxx
Deny from xx.xxx.xx.xx
Deny from xxxxx.ru
# Можно задать шаблон для отсеивания ip. Ниже будут заблокированы все домены ниже xx.ru
Deny from .xx.ru

Сохраняем и... в принципе вот и всё. Периодически проверяйте файлы логов доступа на предмет новых атакующих айпишников и добавляйте их к своему списку в .htaccess. Помните, что рано или поздно атаки прекратятся - ведь дело то это достаточно дорогое ;).

P.S. Кстати, чуть не забыл. При выборе ip-адресов не заносите в "черный список" адреса типа .yandex.ru, .yandex.net, .rambler.ru, google – это поисковые роботы, индексирующие ваш сайт.

Источник: моя же статейка на Блоге IT-шника

С уважением, Арбалет Геннадьевич. Вебмастер.

2 сентября 2009, 2:45
4504

Загрузка...
Loading...

Комментарии

Tanir
0
0
Спасибо, грамотно. +1
даааа, согласен
Дюже благодарствую. Рад стараться.
OS_aka
0
0
спасибо за рекомендацию.... рано или поздно ею придется воспользоваться.... а пока будем иметь ввиду...О_о
Был рад способствовать.

Оставьте свой комментарий

Спасибо за открытие блога в Yvision.kz! Чтобы убедиться в отсутствии спама, все комментарии новых пользователей проходят премодерацию. Соблюдение правил нашей блог-платформы ускорит ваш переход в категорию надежных пользователей, не нуждающихся в премодерации. Обязательно прочтите наши правила по указанной ссылке: Правила

Также можно нажать Ctrl+Enter

Популярные посты

Они сделали это! Kaspi Bank презентовал свое мобильное приложение

Они сделали это! Kaspi Bank презентовал свое мобильное приложение

Изучив ошибки предшественников и собрав воедино новейшие идеи онлайн-банкинга, Kaspi Bank наконец выпустил... свое мобильное приложение!
niyazov
20 июня 2017 / 15:05
  • 7724
  • 4
Отмечаю юбилей! 5 лет назад покорил Монблан – главное украшение в Короне Европы

Отмечаю юбилей! 5 лет назад покорил Монблан – главное украшение в Короне Европы

Сегодня настоящий юбилей! У меня и Юрия Суханова из Смоленска! Ровно 5 лет назад 16 июня мы стояли на вершине Монблана (4809м), вершине с которой начинался альпинизм!
Almazoff
16 июня 2017 / 13:39
  • 6808
  • 25
Кайрат Келимбетов об азербайджанской инвестиции: «Вернется и «тело», и проценты»!

Кайрат Келимбетов об азербайджанской инвестиции: «Вернется и «тело», и проценты»!

Мы записали уникальное интервью с Кайратом Келимбетовым. Предлагаю вам посмотреть первую часть, где мы постарались по возможности поставить все точки на «I» именно по Азербайджанскому вопросу.
Zhumanova
19 июня 2017 / 12:00
  • 5626
  • 7
Почему мы должны быть благодарны журналисту Джеймсу Палмеру за критику ЭКСПО

Почему мы должны быть благодарны журналисту Джеймсу Палмеру за критику ЭКСПО

Как одним критичным постом зарубежному журналисту Джеймсу Палмеру удалось вскрыть сразу несколько гнойников казахстанского общества.
anotherblogger
вчера / 0:39
  • 4997
  • 53
«За красный диплом доплата будет?» Записки карьериста о потерянном поколении

«За красный диплом доплата будет?» Записки карьериста о потерянном поколении

«Вы пригласили, вот я и пришел» - именно с таким выражением лица сидят на собеседовании молодые люди. Создается впечатление, что человек без опыта работы дает шанс заполучить такого «ценного» кадра как он.
ArenMir
16 июня 2017 / 15:58
  • 4031
  • 44
Долговое рабство: почему казахстанцы берут кредиты под 1330%

Долговое рабство: почему казахстанцы берут кредиты под 1330%

Эти кабальные займы никакой пользы для экономики не несут, при этом ухудшают финансовые возможности населения, пополняют ряды новых неплательщиков, тем самым создавая социальную напряженность в...
Armanjan
18 июня 2017 / 15:43
  • 3684
  • 28
Инфантильный миф о «молодом народе Казахстана» опасен. В 21-м веке ни у кого нет форы

Инфантильный миф о «молодом народе Казахстана» опасен. В 21-м веке ни у кого нет форы

Терпеть не могу миф о том, что мы "молодой народ, окруженный старыми нациями" и у нас еще есть время на развитие. Это чушь! Мы что - на миллион лет позже эволюционировали из обезьян?
Aks_Ras
18 июня 2017 / 10:16
  • 2918
  • 18
В Казахстане заблокировали сайт, раскритиковавший EXPO в «захолустной» Астане

В Казахстане заблокировали сайт, раскритиковавший EXPO в «захолустной» Астане

Все помнят Медузу и ЖЖ. Теперь в этот "особенный" список попал сайт Foreign policy. Предполагается, что причиной блокировки стала нелицеприятная заметка Джеймса Палмера об EXPO в Астане.
Seattle
19 июня 2017 / 15:40
5 фильмов, за которые Голливуду должно быть стыдно

5 фильмов, за которые Голливуду должно быть стыдно

Однажды Джоэл Шумахер попросил прощение за свою несуразную работу в том самом фильме про Бэтмена. Его примеру должны последовать многие режиссёры, которые умудрились испортить свои картины.
Seattle
16 июня 2017 / 15:53
  • 2329
  • 18