Атаки и что делать.

[Гость]

К сожалению, наш сайт постоянно атакуют методом DoS (denial of service, "отказ в доступе"). Т.е. производится несколько запросов в секунду с хоста, при этом атака производится одновременно с нескольких хостов (компьютеровсерверов), таким образом веб-сервер запросы "нормальных пользователей" посылает, т.е. даёт им самый низкий приоритет обработки, и их запрос не обрабатывается вовремя или вообще не обрабатывается.

 

Т.к. сайт располагается на сервере "виртуального хостинга" (т.е. много сайтов на одном сервере) - у каждого аккаунта есть лимит на технические ресурсы сервера, кои быстро кончаются в результате такой атаки.

 

1) Банить теперь будем целиком по подсети. Если Вы по каким-то причинам не можете зайти на форум (ошибка 403, "доступ запрещен"): пришлите Ваш IP, с которого нет доступа на адрес support@masterforex.org

 

2) Если обнаружили, что сервер "упал" и пишет "пользователь превысил максимальное кол-во процессов и был заблокирован" - это значит нас скорее-всего ДоСят.

 

В таком случае:

 

а) Сразу же пишите об этом на почту.

 

б) Не надо давить кнопку "обновить", постоянно "проверяя" работоспособность форума - вы этим только усугубите ситуацию, и рискуете попасть в бан-лист после запуска скрипта. Т.е. в таком случае не заходите на форум чаще 1-го раза хотя бы в 5 минут. Не работает - подождите еще 5 минут.

 

3) Т.к. защититься от ДоСа почти нереально, особенно в условиях виртхоста, приношу заранее свои извинения за возможную временную неработоспособность хоста, т.к. недоброжелатели всё-таки оказались и работают. По-всей видимости по-заказу, т.к. за всю свою жизнь ни разу не видел хакерской группы, осуществляющую целенаправленную атаку постоянно без причин на это ("ради прикола").

 

Вопросы сюда.

[Stary Lyss]

1) Банить теперь будем целиком по подсети. Если Вы по каким-то причинам не можете зайти на форум (ошибка 403, "доступ запрещен"): пришлите Ваш IP, с которого нет доступа на адрес support@masterforex.org

 

 

А если подключение по дайлапу - там же IP каждый раз новый?

[Andersen82]

1) Банить теперь будем целиком по подсети. Если Вы по каким-то причинам не можете зайти на форум (ошибка 403' date=' "доступ запрещен"): пришлите Ваш IP, с которого нет доступа на адрес support@masterforex.org

 

 

А если подключение по дайлапу - там же IP каждый раз новый?[/quote']

 

Согласен у мя дома диалап а на работе выделенка, и если я нахожусь дома на диалапе, то как быть с ентим? ведь действительно IP каждый раз новый... :(

[RUSLAN]

...пришлите Ваш IP' date=' с которого нет доступа на адрес support@masterforex.org...

Вопросы сюда.[/quote']

 

Я думаю, что стоит также пояснить народу как в свойствах в "подключении к Интернету (или сети)" найти IP-адресс.

Например, для меня, до недавнего времени, это было проблематично.

Ну, это конечно, если действительно вам необходима такая информация о проблемах доступа.

[RUSLAN]

...пришлите Ваш IP' date=' с которого нет доступа на адрес support@masterforex.org...

Вопросы сюда.[/quote']

 

Я думаю, что стоит также пояснить народу как в свойствах в "подключении к Интернету (или сети)" найти IP-адресс.

Например, для меня, до недавнего времени, это было проблематично.

Ну, это конечно, если действительно вам необходима такая информация о проблемах доступа.

[gaura]

1) Банить теперь будем целиком по подсети. Если Вы по каким-то причинам не можете зайти на форум (ошибка 403' date=' "доступ запрещен"): пришлите Ваш IP, с которого нет доступа на адрес support@masterforex.org

 

 

А если подключение по дайлапу - там же IP каждый раз новый?[/quote']

 

Согласен у мя дома диалап а на работе выделенка, и если я нахожусь дома на диалапе, то как быть с ентим? ведь действительно IP каждый раз новый... :(

у провайдера есть диапазон адресов выделяемых при подключении. за этот диапазон он обычно не выходит. (особенно 2 первые цифры, если я не ошибаюсь).

to t13:

 

если бы локальный форум был бы, т.е. у вас на серваке, - это не проблема, например, можно в файрволле ставить флажок "блокировать подсеть атакующего" или IP атакующего на ... минут?*

помогает. Agnitum Outpost Firewall 3.0/- оч. хор. прога. там все это можно настраивать. А на серваке форума можно настройки файрвола менять?*

[Гость]

Нет, нельзя. Атакующие хосты блокируются временно, но полностью не спасает.

 

Насчёт диал-апа: с него ну очень трудно сделать сразу кучу запросов в секунду. Как правило грохают с проксей или выделенок.

[Гость]

Самый простой способ определить имя хоста и IP-адрес: идем на http://whois-service.ru/lookup/ и видим чуть ниже по центру свой домен и внешний ИП.

[gaura]

Самый простой способ определить имя хоста и IP-адрес: идем на http://whois-service.ru/lookup/ и видим чуть ниже по центру свой домен и внешний ИП.

- но тут он кажет только провайдерский IP, т.е. если например сетка в организации, то он покажет только тот IP, который был выделен организации, т.е. внешний. Ни имя внут сервака, ничего...

если внутренний хош увидеть, то ком. строка, IPconfig.

[Гость]

Коннект идёт по внешнему ИП, который и блокируется, случай чего :wink1:

[VladFX]

Еще могу добавить одну интересную весч - я заметил, что когда через интернет эксплорер форум не грузится - то через Оперу грузится. Медленно, но грузится. Вот...

[Гость]

Опера и прочие не майкрософтовские движки построены на нормальных стандартах, поэтому умеют грузить кусочками данные, а ослик ждет их "охапкой" и иногда недожидается (например при проблемах с сетьюинетомканаломсервером) :roll:

Таймаут ожидания хоста естественно настраивается в самом ослике (для тех кто не знал :wink1: ).

[Dialer]

Не сочтите за наглость, я в этом не сильно "рублю", но есть такое наблюдение, так сказать, методом "тыка":

 

-если страница форума только начинается, загрузка идет "ласточкой", но ближе к ее концу, - начинаются проблемы, "пыхтит", мигает и, в лучшем случае загружается с самого начала, а должна бы на том месте, где нажимается кнопка Refresh;

 

-по сравнению с другими аналогичными форумами на движке pHp, объем страницы гораздо больше, как на мой взгляд.

 

Возможно, решением проблемы будет "обрезание" количества постов на одной странице и все придет в норму.

Я уже неоднократно наблюдал подобную операцию и она давала положительный результат.

 

Извините за вмешательство, но проблема существует и, видимо, не только у меня. Попытка - не пытка :D

 

С уважением.

[tanaol]

как зарегился на форуме - сразу начались атаки на мой ИП - "стена" по нескольку раз в день выдает - "обнаружено сканирование ...." - и как гады до моего ИП добрались? :evil: ф топку бы их

[tanaol]

вот откуда