Re: Отлов ботнета

David Mzareulyan david at hiero.ru
Mon Sep 10 15:09:13 MSD 2007


Вы так и не сообщили самые главные параметры атаки -- размер ботнета и идут 
ли запросы с _каждого_ адреса ботнета с повышенной частотой (или каждый отдельный 
бот долбит редко)? Если каждый бот долбит часто, то отлавливайте их любым 
из посоветованных в этом треде методов. Если же боты берут только числом, 
а отличить по частоте бота от юзера невозможно, то надо перенести главную 
страницу (раз атака идёт только на неё) на какой-нибудь index2.php, а на 
старом месте поставить, например, JS-редирект на новый адрес. Можно с одновременной 
простановкой куки. Если боты не сверхумные, это их отфильтрует.

> Короч говоря сервак не справлялся из-за пых-пых. Все боты
> предположительно
> ломятся на /, юзерагенты ставят умные, по этому не отловить.
> Можно опять таки пробовать посмотреть, кто ломится только на / много
> раз и
> не просит не одной другой страницы - пускать в фильтр. Канал
> забивается
> только в случае, если ботам таки отдавать контент. Как временное
> решение
> поставил http-аутентификацию с написанным логином и паролем в
> подсказке.
> Вроди бы это временно решило трабл.
> 08.09.07, Vitaly Puzrin <vitaly at rcdesign.ru> написал(а):
> 
>> То есть, грузят методом забивки ресурсов, которые отвечают за
>> динамические страницы? Канала и карточки хватает?
>> 
>> Может получится анонимусам отдавать статику, а к динамике только
>> авторизованных пропускать? Если не форум, то такое иногда
>> прокатывает.
>> 
>> Ну и man pf курить, как уже писали, это святое.
>> 
>> Надо сначала посмотреть, со скольки адресов запросы идут и какого
>> вида. Может и не совсем DDoS. Просто иногда действительно много
>> скачивают. Иначе б вас авторизация не спасла.
>> 
>> Vitaly Puzrin
>> http://www.rcdesign.ru
>> суббота, 8 сентября 2007 г., you wrote:
>> 
>> ДЛ> Приветствую.
>> ДЛ> У меня DDOS'ят сервак и временным решением пока-что вышло
>> ДЛ> поставить авторизацию и боты ее не проходят, юзеры - от части.
>> ДЛ> Хочу сделать вылов Ip адресов ботов и бросать их в iptables
>> TARPIT.
>> ДЛ> Как выяснить, кто бот, а кто нет?
>> ДЛ> Есть идея делать nginx'ом http redirect и тем, кто прошел
>> ДЛ> редирект ставить переменнную и редиректить обратно.
>> ДЛ> Кто не прошел редирект - бот.
>> ДЛ> Потом сравнивать тех, кто запрашивал что-либо и кто прошел
>> ДЛ> цепочку редиректов и банить ботов.
>> ДЛ> Какие идеи?
>> ДЛ>


-- 
С уважением
Давид Мзареулян
david at hiero.ru








More information about the nginx-ru mailing list