Ddos атаки
(сейчас 23:40 на +0 (GMT)?)
Просто с 21:00 (GMT) в течении полутора часов кажется сам был жертвой бомбежки... и вот... на любимом КодНете как всегда в пору и о злободневном.
Даже о "защите" успел немного почитать. Похоже, что это утопия. Вот скажем статейка - http://www.membrana.ru/articles/internet/2003/03/21/192300.html
Особенно понравилась характеристика личностей занимающихся ДДоС атаками.
одним словом глючить начал
http://www.xakep.ru/magazine/xa/081/066/1.asp
Ну у меня тоже весь сервак в моем распоряжении, правда хиленький, вчера тремя секундами не отделался, по несколько минут отзыва ждал, с трудом прорывался, за три часа до кнопки перезагрузки в админке долез бы, наверное, если бы все кое-как само не расчесалось :)
Да, увы, и по SSH вообще не мог зарутиться.
Чуть не забыл. За день до этого пара-тройка... десятков шизиков могли подумать, что я дал им повод для "кровной мести" (ржунимагу).
Кстати, в логах Апача ничего подозрительного не нашел, или плохо искал.
Да и вот вопрос, может ещё чего глянуть? Мало ли у меня там портов открыто? Могла ли ДДоС атака осуществляться посредством большого кол-ва запросов на прокси-сервер (запароленный) или ПОП3?
А как это сделать, не сидя в теплом кресле в офисе датаЦентра где расположен сервак? :) Т.е. максимум что может сделать саппорт - нажать reset, если мне и вправду нереально зайти под рутом. Отклонять атаки, как мне было сказано (да и как написано в договоре о дополнительных услугах) - удовольствие не из дешевых (50 баксов час) и по правде не во всех случаях является необходимой мерой. Т.е. я лично настолько не дорожу этим серваком, данными на нем, его работоспособностью и высоким апТаймом, чтобы еще хоть на копейку раскошелиться.
Собственно в связи с этим вопрос, теоретически, если ничего не предпринимать, какова средняя продолжительность атаки? Ведь если это не заранее хорошо спланированное действие (например, как в случае с повальными атаками на сервера майкрософта, ЖЖ и.т.д.), все что имеет начало, имеет и конец (С) ?
добавлено:
2 ~ArchimeD~
Спасибо за линк, вступление прям с моей вчерашней ночи списано :)
Что значит "той же странички"? Т.е. сервер отдает браузеру 1-2мб, вместо обычных 29кб? И какой же новый контент в 995кб?
Или речь идет о нагрузке на память (в чем я, судя по размерам, сомневаюсь)?
Вот может я просто не просто не разбираюсь в роботе сервера и как говорится тупонул.
Вот например есть сайт его имеется 2 копии на домашнем сервере где создаю и тестирую все на нем загрузка в опере показывает что 29 Кб весь контент сайта грузится а вот на сервере сайт загрузился где-то на пределе 50-100Кб (тоесть все что должно было появится появилось), а потом еще грузит хз что?
Конечно можно нажимать стоп но всеравно просто для справки
Просмотр ХТМЛ (даже если там нет инсертов в виде таблиц стилей и картинок) я так понимаю ничего не дал и дать не может?
Также не думаю что ты не заметил бы "левых" изменений в собственных скриптах...
Я бы рекомендовал смотреть подобное в сниффере на клиентской стороне (скажем моем любимом WebActivityMonitor), если ты полагаешь, что браузеру что-то передается, посмотри для начала, сколько завесили заголовки ХТТП (мало ли, хотя они и отсылаются до контента, что после - не знаю). Ну по крайней мере глянь - что там приходит.
А возможно сервер настолько замучан, что просто не закрывает соединение и браузер тужится чего-то с него получить, в таком случае размер в опере теоретически может отображаться не совсем корректно.
Извините, местами сам туплю и себе же противоречу.
А возможно сервер настолько замучан, что просто не закрывает соединение и браузер тужится чего-то с него получить, в таком случае размер в опере теоретически может отображаться не совсем корректно.
А вы в курсе, как устроен HTTP протокол, и как дожен себя вести сервер или клиент? Это как то не совсем коректно.
А вот Content-size из заголовков действительно можно залоггировать и сравнить.
К тому же постом выше уже принес изввинения за возможную невнятность в высказываниях.
Что касается ХТТП, снова же, поправьте, если ошибаюсь, но соединение инициированное клиентом (браузером "Опера") может быть разорвано по разным причинам, но кажется в большинстве случаев (не могу судить в контексте специфических полей запроса отсылаемого браузером, говорю о том, что делает мой ишачок "по умолчанию" запрашивая к-л страницу) это действие провоцирует сервер, если же сервер не захлопнет коннект (сужу по работе с IE), браузер будет долго и нудно висеть в состоянии "загрузки", поле Content-Length (если оно вообще имеется) полученное браузером не заставит (по крайней мере в случае получения обычного text/html содержимого) клиента разорвать соединение по получении указанного числа байт.
Впрочем, обрываю поток догадок, а то черезчур смахивает на флейм, тем более описанная в топике проблема немного отличается, помимо самого состояния "ожидания данных" Опера отображает их нарастающий обьем.
Так или иначе, прежде, чем винить браузер, интереса ради следует ознакомиться с телом приходящих (?) пакетов.
З.Ы. [COLOR="Gray"]и все таки она вертится[/COLOR]
Да, относительно обьема самого заголовка, ведь пусть спецификация ХТТП и ограничивает его длину, но не настолько, чтобы помешать серверу отдать одним только хидером ~10кб произвольного мусора (число вычислялось на моей машине)
снова повторюсь - без пива и сниффера я бы не обошелся :) Если кто знает методы попроще - поделитесь, буду весьма признателен.
Гм, конечно фантастическое предположение, но все же, если предположить, что сайт таки ломанули, и скажем занесли какой нибудь большой код в базу данных, и из этой базы все попадает на страницу...
короче если есть возможность лучше заменить все скрипты на серваке скриптами из резервных копий, тоже самое проделать со всеми файлами .htaccess и с базами данных. или скачать все с сервака и сравнить с "домашней" версией какой-нибудь прогой на различия по сожержанию (не по дате!!!).
если все выше сказанное отметено, как бред параноика, имхо - остается только вариант InterWen со сниффером.