http код для ddos атаки

Обсуждение в разделе «AntiDDos - АнтиДДОС», начал(-а) dondy, 7.03.2016.

  1. dondy

    dondy Member

    Регистрация:
    5.06.2015
    Сообщения:
    565
    Одобрения:
    60
    Репутация:
    5
    какой http код отдавать заблокированым запросам ?
     
  2. GAiN

    GAiN Elder - Старейшина

    Регистрация:
    2.04.2011
    Сообщения:
    2 399
    Одобрения:
    151
    Репутация:
    57
    429, 502, 503 - любой из них например
     
    Это одобряет dondy.
  3. Егорыч+++

    Администрация

    Регистрация:
    27.05.2002
    Сообщения:
    1 331
    Одобрения:
    208
    Репутация:
    19
    лучше всего 444
     
    Это одобряют dondy, GAiN и t0ma5.
  4. GAiN

    GAiN Elder - Старейшина

    Регистрация:
    2.04.2011
    Сообщения:
    2 399
    Одобрения:
    151
    Репутация:
    57
    интересно, в википедии указано:
    https://ru.wikipedia.org/wiki/Список_кодов_состояния_HTTP
    но на практике не видел применения данного кода, как его можно применить ?
     
    Это одобряет dondy.
  5. Isis

    Isis Мафиозя //хекед :D

    Регистрация:
    20.11.2006
    Сообщения:
    3 481
    Одобрения:
    1 185
    Репутация:
    288
    429 Too Many Requests
     
    Это одобряют dondy и GAiN.
  6. Егорыч+++

    Администрация

    Регистрация:
    27.05.2002
    Сообщения:
    1 331
    Одобрения:
    208
    Репутация:
    19
    Скажем так. При Ддос атаках рекомендуется именно он, так как создает минимальную нагрузку на сеть и дает возможность быстро освободить сокеты. При обращении к серверу тех,кто получает этот код просто будет ощущение, что он убит. В nginx очень даже часто применяется, по сути почти как стандарт для отваливания всяких ботов. Можно и другие типы выдавать при Ддос попробовать обмануть ботов, но при 444 опять же нагрузка вообще не ощущается.
     
  7. pas9x

    pas9x Member

    Регистрация:
    13.10.2012
    Сообщения:
    332
    Одобрения:
    244
    Репутация:
    17
    Заблокированным айпишникам никакой код отправлять ненадо. Их надо банить файрволом (iptables, ipfw).
    Да и каким образом ты собрался банить айпишники? В .htaccess чтоли добавляешь?
    Если уж совсем клинический случай то отдавать 403 - доступ запрещён. Это универсальный код сообщающий, что посетителю сюда нельзя.
     
  8. t0ma5

    t0ma5 Member

    Регистрация:
    10.02.2012
    Сообщения:
    407
    Одобрения:
    203
    Репутация:
    39
    блокировать надо при жестком досе, а так за одним айпишником может быть не только один комп, как бы v4
    при чем тут .htaccess? обсуждались коды ответа
     
  9. pas9x

    pas9x Member

    Регистрация:
    13.10.2012
    Сообщения:
    332
    Одобрения:
    244
    Репутация:
    17
    Жёсткий ддос - это атака мощностью от 1 гигабита которая перекрывает сетевой канал сервера. Обычным http-флудом уже в основном пользуются только школьники. Профессиональные ддосеры года три как перешли на атаки типа amplification.

    Вероятность того, что с одного айпишника будет и атакующий и нормальный посетитель которые друг о друге ничего не знают ничтожно мала. Так банят все и никто не жалуется. Я тоже уже несколько лет так баню на серверах с высокой посещаемостью и никто не жалуется.

    Чувак, не сочти за троллинг, я просто советую) Если ты атакующему ip-адресу собрался выдавать определённый http-ответ то бан происходит на стороне веб-сервера. Либо (в это с трудом верится) на стороне веб-приложения.
    Если бан делается на стороне сервера то с вероятностью 99% ты добавляешь забаненые айпишники в файл .htaccess. Ну не перезагружаешь-же ты nginx чтоб забанить айпишник когда атакующих айпишников тысячи. Если-же тебя атакует 1 вася пупкин то об этом изначально надо было говорить в топике. Просто непонятно от какого масштаба ддоса ты хочешь защититься.
     
  10. t0ma5

    t0ma5 Member

    Регистрация:
    10.02.2012
    Сообщения:
    407
    Одобрения:
    203
    Репутация:
    39
    и всё же им ддосят, и очень глупо банить тысячи айпи когда поможет один локейшен в nginx

    омг вы никогда не пользовались мобильным инетом?
    явно видно что вы не пользовались nginx, его не надо перезагружать, и на нём не банят ip
    вычисляется критерий флуда, будь то урл/юзер агент/рефа и добавляется локейшен - правило для обработки этих запросов, которое просто отдаёт код ответа( о чем и был топик )
    nginx reload если что перечитывает конфиги, не надо его рестартить
     
  11. pas9x

    pas9x Member

    Регистрация:
    13.10.2012
    Сообщения:
    332
    Одобрения:
    244
    Репутация:
    17
    Вот когда тебя подолбят тысячи поймёшь глупо или нет. Так делают все, ddos deflate и ему подобные методы основаны на этом. На хабре целая куча статей об этом. От того, что ты потеряешь одного посетителя ничего страшного не случится.

    Лимит на локейшен спасёт только от небольшого хттп-флуда с нескольких айпишников. Надо было сразу писать, что тебя атакует полтора анонимуса.

    Да неважно мобильный, не мобильный. У тебя скорее всего посещаемость сайта не высокая, вот ты и борешься за каждого посетителя. Когда объёмы трафика промышленные то пох, что у пары человек сайт не работает из-за того, что по великой случайности их сосед заражён вирусом и долбит тот-же сайт. Поверь мне, когда упадёт важный сервак и клиенты начнут тебя выматеривать то ты будешь счастлив спасти свою задницу даже с потерей 5% посетителей)
     
  12. t0ma5

    t0ma5 Member

    Регистрация:
    10.02.2012
    Сообщения:
    407
    Одобрения:
    203
    Репутация:
    39
    вот нафига вы срач разводите? вопрос был о http коде, а не о том как досят, и как его отбивают
    я что спорил что хороший досс глупо отбивать на уровне сервера?
    и с чего такие закидоны "У тебя скорее всего посещаемость сайта не высокая"? у меня вообще нет сайта, я работал в этой сфере и видел как у дц канал вообще нахер падал вместе со всеми кто там был
    "Вот когда тебя подолбят тысячи поймёшь глупо или нет" не поймешь, если сервер не пентиум2, nginx может не напрягаясь отлупливать по 40к запрос в секунду, даже не заметит
     
  13. pas9x

    pas9x Member

    Регистрация:
    13.10.2012
    Сообщения:
    332
    Одобрения:
    244
    Репутация:
    17
    Ок ок, молчу) надо сразу просто все условия оговаривать
     
  14. Егорыч+++

    Администрация

    Регистрация:
    27.05.2002
    Сообщения:
    1 331
    Одобрения:
    208
    Репутация:
    19
    Есть как бы конкретный пример, когда код ошибки имеет значение. Вот стоит у тебя сервер за крупным антиддосером, и фильтрует этот антиддосер все крупные атаки. Но вот незадача, проходят все атаки уровня 7 . И приходится свой сервер подкручивать и думать как забанить у себя этих ботов или ограничить их как. И тут не работают баны на iptables, ipfw. Только в самом браузере можно забанить. Конечно можно создать преграду ввиде скриптов или капчи у антиддосера, но это плохо влияет на ресурс.
     
  15. KaelMan

    KaelMan Seo-Гуру

    Регистрация:
    30.04.2010
    Сообщения:
    294
    Одобрения:
    20
    Репутация:
    8
    HTTP атака будет актуальна ещё лет 10, а атака ICMP лет 50.
    10% ботнетов наверное сейчас на amplification. Фильмов пересмотрелись?
     
  16. KaelMan

    KaelMan Seo-Гуру

    Регистрация:
    30.04.2010
    Сообщения:
    294
    Одобрения:
    20
    Репутация:
    8
  17. pas9x

    pas9x Member

    Регистрация:
    13.10.2012
    Сообщения:
    332
    Одобрения:
    244
    Репутация:
    17
    Да.
     
  18. KaelMan

    KaelMan Seo-Гуру

    Регистрация:
    30.04.2010
    Сообщения:
    294
    Одобрения:
    20
    Репутация:
    8
    Актуальные атаки на сегодня http://prntscr.com/aoy4qv

    Если атака от 10гб/с то ип таблес вам точно не поможет.
     
  19. exploit_support

    exploit_support New Member

    Регистрация:
    9.08.2015
    Сообщения:
    10
    Одобрения:
    1
    Репутация:
    1
    Смотря, что это за атака. Мощность не всегда "решает", имеет значение типа ddos'a.
     
Загрузка...