DDoS -атаки на молодые проекты

[RiseX]

Просто немного фактов о DDoS-атаках на cайт нашего проекта RiseX.net

 

В последние недели участились атаки на сайт, и это наступило быстрее, чем ожидалось. Клиенты торговали сквозь лаги, иногда сайт полностью ложился.

В принципе, атаки были не сильные и быстро отбивались своими силами. Но стало ясно, что нужна защита получше, чем free Cloudflare.

В итоге перешли на Qrator. Сразу же протестировали их, нашли пару косяков и все исправили. Теперь сайт выдерживает малые и средние атаки. Защита от атак посерьезнее — вопрос необходимости и времени. Пока цена вывода сайта из строя слишком высока, чтобы этим кто-то занимался несколько часов подряд, не говоря уже о сутках и более.

Сразу же после перехода на Qrator в техподержку пришло вот такое сообщение:

Наши айтишники предположили, что каких-то своих уникальных методов у него нет. Просто логинится на сайт ботами и начинает простейшие операции с целью вывести из строя серверные приложения. Это легко пресекается.

Цели таких атак на молодые проекты:

• заказ
• вымогательство
• just for lulz

 

Если ваш проект тоже сталкивался с ддосами, пишите как было, как решили проблему и чего хотели атакующие.

[kursexpert]

19 минут назад, RiseX сказал:

Qrator

И почем?

[Vashobmen24]

Сталкивался с таким,сайт работает а операции не работают)пошел на ддг они ложили болт,не могу справится( позиционировали себя как супер пупер анти ддос) пошел к своим старым знакомим,цена не кусается,а выдерживают любой ддос(реально любой)

Цена как по мне не кусается,около 4к рублей за фильтрацию.

[Lexis77]

Спамопиар?
 

[Ainz]

2 часа назад, kursexpert сказал:

И почем?

Если отписать такой отзыв, то будет скидка.

[Vashobmen24]

4 часа назад, Lexis77 сказал:

Спамопиар?
 

нет,просто  я казал что мне такое писали)мог скрин прислать)

[Lexis77]

@Vashobmen24 вопрос к ТСу был, который не желает вести свою ветку, но наделал кучу никому не нужных и весьма "натянутых" постов.

[Vashobmen24]

1 минуту назад, Lexis77 сказал:

@Vashobmen24 вопрос к ТСу был, который не желает вести свою ветку, но наделал кучу никому не нужных и весьма "натянутых" постов.

тогда самопиар)

[Lexis77]

я другое слово использовал ))

[YoshCat]

12 минут назад, Lexis77 сказал:

я другое слово использовал ))

зачем букву "д" затер?

[kursexpert]

Мне просто интересно, почему не клаудфларе? Минимальный тариф + чуть-чуть времени адекватного админа решают все проблемы. 

[RiseX]

25.10.2019 в 17:19, kursexpert сказал:

Мне просто интересно, почему не клаудфларе? Минимальный тариф + чуть-чуть времени адекватного админа решают все проблемы. 

Тема достаточно холиварная 🙂

Во-первых, защита от ddos никогда не позиционировалась cloudflare как главная их фича. Они больше по облачному dns хостингу и cdn, и туда уже бонусом идет все остальное. В т.ч. и защита от DDoS. Поэтому какая-то нормальная защита у них начинается на пакете Enterprise, но никак не на первом тарифе. За те деньги, что они берут за первый пакет, нет смысла нормально защищать не только от средних, но и от малых атак.

 

Во-вторых, нам нужна защита не только от атак Layer 7, но и от Layer 4. Первые тарифы от Cloudflare тут отпадают.

Кто-то сидит на первом тарифе Cloudflare и доволен, но это не значит что предпринимались серьезные атаки на ресурс. У нас были мощные атаки который Куратор отражал отлично. У них хорошая техподдержка, отличная защита для своей цены. Ну и 2 разных ддосера которые нас атаковали и с которыми потом общались говорят что это лучшая защита которая есть в снг. Как-то так. По ценам вы спрашивали - смотрите их сайт.

 

25.10.2019 в 01:51, Lexis77 сказал:

вопрос к ТСу был, который не желает вести свою ветку, но наделал кучу никому не нужных и весьма "натянутых" постов.

 

Ну данная тема явно не для ветки обменника, как по мне. Насчет спамопиара - была бы такая цель о проекте писалось бы гораздо чаще и с разных акков. Ну вы поняли.

По поводу натянутых постов - возможно правы, не первой важности темы. Прислушаюсь.

Edited 26 Oct 2019, 14:47 by RiseX

[head_crab]

@RiseX  cloudflare  и подобные все равно часть атаки срежут.

1 час назад, RiseX сказал:

это не значит что предпринимались серьезные атаки на ресурс

Тут ни один внешний сервис не поможет полностью. Свои админы и программисты должны тоже хорошо поработать.

[En1ken]

24.10.2019 в 20:07, RiseX сказал:

Просто немного фактов о DDoS-атаках на cайт нашего проекта RiseX.net

 

В последние недели участились атаки на сайт, и это наступило быстрее, чем ожидалось. Клиенты торговали сквозь лаги, иногда сайт полностью ложился.

В принципе, атаки были не сильные и быстро отбивались своими силами. Но стало ясно, что нужна защита получше, чем free Cloudflare.

В итоге перешли на Qrator. Сразу же протестировали их, нашли пару косяков и все исправили. Теперь сайт выдерживает малые и средние атаки. Защита от атак посерьезнее — вопрос необходимости и времени. Пока цена вывода сайта из строя слишком высока, чтобы этим кто-то занимался несколько часов подряд, не говоря уже о сутках и более.

Сразу же после перехода на Qrator в техподержку пришло вот такое сообщение:

Наши айтишники предположили, что каких-то своих уникальных методов у него нет. Просто логинится на сайт ботами и начинает простейшие операции с целью вывести из строя серверные приложения. Это легко пресекается.

Цели таких атак на молодые проекты:

• заказ
• вымогательство
• just for lulz

 

Если ваш проект тоже сталкивался с ддосами, пишите как было, как решили проблему и чего хотели атакующие.

Тут недавно пару раз объявлялся вот такое утырок. Бил по главной странице причем ни кеш запросов ни куратор не могли помочь. Сайл уходил периодически в даун. Никак . не могли узнать что он такого делает, по логам прост о масса запросов, но потом начал травить этого урода и он в порыве истерии слил как он это делает. https://habr.com/ru/post/116056/ атака slow-get, выявить ее довольно таки сложно  так как 90% трафика считается лигитимным.

Выводы

1) Slow HTTP POST позволяет организовывать атаки на отказ в обслуживании, с недостижимым раньше соотношением необходимой мощности/канала атакующего компьютера (компьютеров) и атакуемого сервера. 
2) Огромное количество малых и средних сайтов на сегодняшний день подвержены этой атаке. Причем зачастую со стороны сервера сложно даже диагностировать, что сайт атакуют – трафик не превышает нормальных значений.
3) Реализация атаки очень проста, и практически не требует никаких вложений. Более того, это единственная известная науке атака на отказ в обслуживании, которую реально организовать через прокси!
4) Схожесть трафика атаки с легальным трафиком усложняют фильтрацию «вредных» пакетов, а также позволяют легко организовать сложно обнаруживаемый ботнет.

[bitokshop]

Была атака 26 октября, сначала положили сайт, затем написали в телегу 

Стояла защита ddos guard, которая сразу отключила сайт, а потом когда админ проснулся сайт снова включил +поставил допзащиту. Из-за того что атака выпала на субботу-воскресенье, то сайт был в оффлайне 20 часов. Таки дела 🙂

Все ддосеры смотрю любят жути нагонять на жертв.

[sergwayne]

9 minutes ago, bitokshop said:

то сайт был в оффлайне 20 часов.

 

и какие потери ? за 20ч такто можно всех клиентов потерять...

[Vashobmen24]

Не реклама а то будете кидать камни в меня)скажу одно что самый топовый анти ддос это промы,им вообще по барабану кто и где бьет,ддг это понты и не чего более))Пишете им и в течении 10 минут сайт под фильтром (даже переезжать не надо).Вот такие вот дела)и не каких тех админов не надо)

Edited 31 Oct 2019, 11:29 by Vashobmen24

[AsicFox]

On 10/28/2019 at 4:04 PM, bitokshop said:

Была атака 26 октября, сначала положили сайт, затем написали в телегу 

Стояла защита ddos guard, которая сразу отключила сайт, а потом когда админ проснулся сайт снова включил +поставил допзащиту. Из-за того что атака выпала на субботу-воскресенье, то сайт был в оффлайне 20 часов. Таки дела 🙂

Все ддосеры смотрю любят жути нагонять на жертв.

1 в 1 Были атакованы на прошлой неделе. Сайт положили. Включили Sucuri Protection, и на вторую атаку он слился, т.к не смог пробить защиту. Сайт возобновил работу через час после утренней атаки. Смс и скрипт 1 в 1

On 10/28/2019 at 4:15 PM, sergwayne said:

 

и какие потери ? за 20ч такто можно всех клиентов потерять...

Мы возобновили работу после этой атаки через час, особо потерь не было, у него только самый простой метод атаки ботами. За утро нагнал больше 10 лямов запросов.

Edited 31 Oct 2019, 12:28 by AsicFox

[AsicFox]

On 10/24/2019 at 7:27 PM, kursexpert said:

И почем?

Вымагал 270$, и говорил заключим контракт + скажет того кто сделал на нас заказ)

On 10/25/2019 at 5:19 PM, kursexpert said:

Мне просто интересно, почему не клаудфларе? Минимальный тариф + чуть-чуть времени адекватного админа решают все проблемы. 

Да, схема рабочая, час времени и все работает

[kursexpert]

3 минуты назад, AsicFox сказал:

Вымагал 270$, и говорил заключим контракт + скажет того кто сделал на нас заказ)

Я имел в виду стоимость защиты. 

[AsicFox]

2 minutes ago, kursexpert said:

Я имел в виду стоимость защиты. 

200$/год

[obmenoff]

Пишите заявление в отдел К, или в кибер полицию,найдут быстро.

[QIWIm]

А почему не публиковать, где защита стоит ( без доменной зоны), тем самым другие будут иметь выбор по защите.

Ну и от себя добавлю, у клиента, вот примерно такое-же письмо, как выше опубликовали... и не буду трогать и все расскажу и тд... ничего не получилось у него.

НО, он тут же, написал что будет тогда спам звонков. И началось, телефон на сайте, телефоны под киви (из заявок брал)... лежали просто от звонков. Не возьмешь - звонят без перерыва, возьмешь -тогда сброс и заново все. Но это было года два-три назад...

Edited 31 Oct 2019, 20:07 by QIWIm

[bitokshop]

 

 

1 hour ago, QIWIm said:

А почему не публиковать, где защита стоит ( без доменной зоны), тем самым другие будут иметь выбор по защите.

у хостера стоит ddos guard.

 

1 hour ago, QIWIm said:

Ну и от себя добавлю, у клиента, вот примерно такое-же письмо, как выше опубликовали... и не буду трогать и все расскажу и тд... ничего не получилось у него.

НО, он тут же, написал что будет тогда спам звонков. И началось, телефон на сайте, телефоны под киви (из заявок брал)... лежали просто от звонков. Не возьмешь - звонят без перерыва, возьмешь -тогда сброс и заново все. Но это было года два-три назад...

Слышал про такие штуки. Быстро не лечится:

Самый эффективный способ сейчас - это поставить приветствие длительностью 10-15 сек, например "Здравствуйте, оставайтесь пожалуйста на линии вам ответит оператор...". Флуд звонками у всех настроен так, что звонок сразу сбрасывается. Боты будут сбрасывать после 1ой секунды приветствия, а клиенты дозвонятся

 

Такого давно не слышал, это единичные случаи и стоит дорого, так как быстро банят номера с которых звонят.

[Vashobmen24]

47 минут назад, bitokshop сказал:

 

 

у хостера стоит ddos guard.

 

Слышал про такие штуки. Быстро не лечится:

Самый эффективный способ сейчас - это поставить приветствие длительностью 10-15 сек, например "Здравствуйте, оставайтесь пожалуйста на линии вам ответит оператор...". Флуд звонками у всех настроен так, что звонок сразу сбрасывается. Боты будут сбрасывать после 1ой секунды приветствия, а клиенты дозвонятся

 

Такого давно не слышал, это единичные случаи и стоит дорого, так как быстро банят номера с которых звонят.

Берешь сим телефонию и в принципе все.Все не забанишь.