про erlang.dmitriid.com

3 views
Skip to first unread message

Dmitrii Dimandt

unread,
Nov 10, 2009, 3:30:58 AM11/10/09
to erlang-...@googlegroups.com
Сайт работает с перебоями, меня DDOS'ят с
IP адресов моего же хостера :)

Пустился во все тяжкие, читаю про DDOS/QoS
и прочая и прочая, одновременно пиная
хостера. Поэтому ожидайте переменную
облачность с осадками :) Надеюсь в
течение дня-двух что-то поменять в
лучшую сторону :)

Alexander Dergachev

unread,
Nov 10, 2009, 4:10:25 AM11/10/09
to erlang-...@googlegroups.com

Это наверное ребята из соседнего треда, про производительность, балуются :))

/Regards,
Alexander Dergachev

Andrey Nikolaev

unread,
Nov 10, 2009, 5:14:39 AM11/10/09
to erlang-...@googlegroups.com
Забить IP адреса в iptables и пусть досят до посинения.

2009/11/10 Dmitrii Dimandt <dmit...@gmail.com>:

Dmitrii Dimandt

unread,
Nov 10, 2009, 5:28:48 AM11/10/09
to erlang-...@googlegroups.com

Ах вы ж гады :)

Иван

unread,
Nov 10, 2009, 6:02:35 AM11/10/09
to Erlang в России
А хостер что говорит?

Artem Semenov

unread,
Nov 10, 2009, 6:13:37 AM11/10/09
to erlang-...@googlegroups.com
Странный какой-то хостер. Не защищенный от ddos с обоих сторон.

10 ноября 2009 г. 14:02 пользователь Иван <neh...@gmail.com> написал:

Dmitrii Dimandt

unread,
Nov 10, 2009, 7:05:17 AM11/10/09
to erlang-...@googlegroups.com
Хостер говорит:
"
Hi,

We sent your ddos coming from one of iweb server to our abuse
department.


They will get back in touch with you shortly.
"

Это было в субботу :)

Dmitrii Dimandt

unread,
Nov 10, 2009, 7:06:07 AM11/10/09
to erlang-...@googlegroups.com

Я пока читаю про QoS, потом комплекс мер
сразу применю — от бана по IP до QoS до
чего еще дотянутся руки :)

Стал, блин, на старости лет админом :)

Dmitrii Dimandt

unread,
Nov 10, 2009, 7:06:53 AM11/10/09
to erlang-...@googlegroups.com
Тут фишка в том, что атака идет с
серверов, которые у них же и хостятся :)
А так им в целом пофиг — есть планы с
ограничением по скорости и
нелимитированым трафиком, что там
твоирится, их, судя по всему, не волнует.

Дмитрий Омелечко

unread,
Nov 10, 2009, 7:18:05 AM11/10/09
to erlang-...@googlegroups.com
у меня перед серваками стоят опята и вот Это:

pass in quick on $ext_if inet proto tcp to (ext_if) flags S/SA synproxy state \
    (max-src-conn 100, max-src-conn-rate 15/5 overload <bruteforce> flush global) tag EXT_SYN queue ext_syn_ack

реально помагает :)


Kirill Zaborski

unread,
Nov 10, 2009, 7:23:42 AM11/10/09
to erlang-...@googlegroups.com
"Опята" - это кто?

С уважением,
Кирилл Заборский.

10 ноября 2009 г. 15:18 пользователь Дмитрий Омелечко
<dva...@gmail.com> написал:

Дмитрий Омелечко

unread,
Nov 10, 2009, 7:34:22 AM11/10/09
to erlang-...@googlegroups.com
Прошу прощения за сленг. OpenBSD

10 ноября 2009 г. 14:23 пользователь Kirill Zaborski <qri...@gmail.com> написал:

Dmitrii Dimandt

unread,
Nov 10, 2009, 7:47:17 AM11/10/09
to erlang-...@googlegroups.com
ээээ :) что это такое, что он делает, и
куда его писать? :)

> реально помагает :)
>
>
>
> >

Дмитрий Омелечко

unread,
Nov 10, 2009, 9:26:47 AM11/10/09
to erlang-...@googlegroups.com
Заранее сори за оффтопик.

OpenBSD:

http://openbsd.org/

А эта строка относится к конфигурации PF:

ftp://ftp3.usa.openbsd.org/pub/OpenBSD/doc/pf-faq.txt

В данном случае фаервол пропускает не более 100 запросов на соединение (флаги S/SA: syn, syn-ack) с 1 IP и не чаще 15 запросов в 5 секунд. В случае нарушения этот адресс автоматически попадает в таблицу <bruteforce> с которой можно поступать как угодно. Я просто блокирую. В итоге через пол часа работы в бане получается весь бот-нет.

10 ноября 2009 г. 14:47 пользователь Dmitrii Dimandt <dmit...@gmail.com> написал:

Artem Semenov

unread,
Nov 10, 2009, 9:36:08 AM11/10/09
to erlang-...@googlegroups.com
>с которой можно поступать как угодно.
В ответ заддосить.

10 ноября 2009 г. 17:26 пользователь Дмитрий Омелечко
<dva...@gmail.com> написал:

Dmitry Murashkin

unread,
Nov 10, 2009, 10:37:57 AM11/10/09
to erlang-...@googlegroups.com
А что толку блокирования? Канал то к серваку все равно забит
запросами...
И если на забаненом IP сидит наивный девочка с вирусякой генерящей
запросы, то девочка в итоге навсегда теряет из вида ваш сайт.

Dmitrii Dimandt

unread,
Nov 10, 2009, 11:18:26 AM11/10/09
to erlang-...@googlegroups.com
Ага, спасибо. Будем посмотреть.

Интересно, что https://files.dmitriid.com/psad/traffic.png  Трафик ВНЕЗАПНО исчез в субботу в пятницу вечером 0_о  

Дмитрий Омелечко

unread,
Nov 10, 2009, 1:59:28 PM11/10/09
to erlang-...@googlegroups.com
Ничего не мешает сделать переадресацию "девочки" на страницу "админы бухают сайт не работает", и флашить эту таблицу раз в к-то время.

 А что до канала, из своего опыта, просто так даже 1Гбит без команды от мастера бот-нет не забьет. Вот если идет прямая наводка, или как у меня было - в наглую требуют денег за прекращение атаки, вот тогда только такие меры и работают. Бот-нет не резиновый, и у него боты заканчиваются, а с ними заканчиваются все аргументы :)

10 ноября 2009 г. 17:37 пользователь Dmitry Murashkin <dmura...@gmail.com> написал:

Dmitrii Dimandt

unread,
Nov 12, 2009, 3:54:57 AM11/12/09
to erlang-...@googlegroups.com
В общем, ларчик открывался просто. Пару
месяцев тому назад я
экспериментировал с hadoop'ом. Где же еще
экспериментировать, как не на production-
сервере? :)

В итоге оказалось, что непонятно по
какой причине при запуске систему hadoop
начинал жрать 99% процессора и,
возможно, столько же памяти :)

В общем, apt-get remove hadoop && reboot спасло отца
русской демократии :)

Правда, откуда получалось 3 MBit'а трафика
[1] и какого хрена один из IP адресов слал
на меня 25-250 тыс. пакетов, так и осталось
невыясненым :) Но сайт наконец-то ожил :)


[1] https://files.dmitriid.com/psad/traffic.png
Reply all
Reply to author
Forward
0 new messages