http код для ddos атаки

Discussion in 'AntiDDos - АнтиДДОС' started by dondy, 7 Mar 2016.

  1. dondy

    dondy Member

    Joined:
    5 Jun 2015
    Messages:
    560
    Likes Received:
    61
    Reputations:
    5
    какой http код отдавать заблокированым запросам ?
     
  2. GAiN

    GAiN Elder - Старейшина

    Joined:
    2 Apr 2011
    Messages:
    2,550
    Likes Received:
    172
    Reputations:
    99
    429, 502, 503 - любой из них например
     
    dondy likes this.
  3. Егорыч+++

    Staff Member

    Joined:
    27 May 2002
    Messages:
    1,373
    Likes Received:
    895
    Reputations:
    20
    лучше всего 444
     
    dondy, GAiN and t0ma5 like this.
  4. GAiN

    GAiN Elder - Старейшина

    Joined:
    2 Apr 2011
    Messages:
    2,550
    Likes Received:
    172
    Reputations:
    99
    интересно, в википедии указано:
    https://ru.wikipedia.org/wiki/Список_кодов_состояния_HTTP
    но на практике не видел применения данного кода, как его можно применить ?
     
    dondy likes this.
  5. banned

    banned Banned

    Joined:
    20 Nov 2006
    Messages:
    3,324
    Likes Received:
    1,193
    Reputations:
    252
    429 Too Many Requests
     
    dondy and GAiN like this.
  6. Егорыч+++

    Staff Member

    Joined:
    27 May 2002
    Messages:
    1,373
    Likes Received:
    895
    Reputations:
    20
    Скажем так. При Ддос атаках рекомендуется именно он, так как создает минимальную нагрузку на сеть и дает возможность быстро освободить сокеты. При обращении к серверу тех,кто получает этот код просто будет ощущение, что он убит. В nginx очень даже часто применяется, по сути почти как стандарт для отваливания всяких ботов. Можно и другие типы выдавать при Ддос попробовать обмануть ботов, но при 444 опять же нагрузка вообще не ощущается.
     
  7. pas9x

    pas9x Elder - Старейшина

    Joined:
    13 Oct 2012
    Messages:
    423
    Likes Received:
    585
    Reputations:
    52
    Заблокированным айпишникам никакой код отправлять ненадо. Их надо банить файрволом (iptables, ipfw).
    Да и каким образом ты собрался банить айпишники? В .htaccess чтоли добавляешь?
    Если уж совсем клинический случай то отдавать 403 - доступ запрещён. Это универсальный код сообщающий, что посетителю сюда нельзя.
     
  8. t0ma5

    t0ma5 Reservists Of Antichat

    Joined:
    10 Feb 2012
    Messages:
    828
    Likes Received:
    815
    Reputations:
    90
    блокировать надо при жестком досе, а так за одним айпишником может быть не только один комп, как бы v4
    при чем тут .htaccess? обсуждались коды ответа
     
    _________________________
  9. pas9x

    pas9x Elder - Старейшина

    Joined:
    13 Oct 2012
    Messages:
    423
    Likes Received:
    585
    Reputations:
    52
    Жёсткий ддос - это атака мощностью от 1 гигабита которая перекрывает сетевой канал сервера. Обычным http-флудом уже в основном пользуются только школьники. Профессиональные ддосеры года три как перешли на атаки типа amplification.

    Вероятность того, что с одного айпишника будет и атакующий и нормальный посетитель которые друг о друге ничего не знают ничтожно мала. Так банят все и никто не жалуется. Я тоже уже несколько лет так баню на серверах с высокой посещаемостью и никто не жалуется.

    Чувак, не сочти за троллинг, я просто советую) Если ты атакующему ip-адресу собрался выдавать определённый http-ответ то бан происходит на стороне веб-сервера. Либо (в это с трудом верится) на стороне веб-приложения.
    Если бан делается на стороне сервера то с вероятностью 99% ты добавляешь забаненые айпишники в файл .htaccess. Ну не перезагружаешь-же ты nginx чтоб забанить айпишник когда атакующих айпишников тысячи. Если-же тебя атакует 1 вася пупкин то об этом изначально надо было говорить в топике. Просто непонятно от какого масштаба ддоса ты хочешь защититься.
     
  10. t0ma5

    t0ma5 Reservists Of Antichat

    Joined:
    10 Feb 2012
    Messages:
    828
    Likes Received:
    815
    Reputations:
    90
    и всё же им ддосят, и очень глупо банить тысячи айпи когда поможет один локейшен в nginx

    омг вы никогда не пользовались мобильным инетом?
    явно видно что вы не пользовались nginx, его не надо перезагружать, и на нём не банят ip
    вычисляется критерий флуда, будь то урл/юзер агент/рефа и добавляется локейшен - правило для обработки этих запросов, которое просто отдаёт код ответа( о чем и был топик )
    nginx reload если что перечитывает конфиги, не надо его рестартить
     
    _________________________
  11. pas9x

    pas9x Elder - Старейшина

    Joined:
    13 Oct 2012
    Messages:
    423
    Likes Received:
    585
    Reputations:
    52
    Вот когда тебя подолбят тысячи поймёшь глупо или нет. Так делают все, ddos deflate и ему подобные методы основаны на этом. На хабре целая куча статей об этом. От того, что ты потеряешь одного посетителя ничего страшного не случится.

    Лимит на локейшен спасёт только от небольшого хттп-флуда с нескольких айпишников. Надо было сразу писать, что тебя атакует полтора анонимуса.

    Да неважно мобильный, не мобильный. У тебя скорее всего посещаемость сайта не высокая, вот ты и борешься за каждого посетителя. Когда объёмы трафика промышленные то пох, что у пары человек сайт не работает из-за того, что по великой случайности их сосед заражён вирусом и долбит тот-же сайт. Поверь мне, когда упадёт важный сервак и клиенты начнут тебя выматеривать то ты будешь счастлив спасти свою задницу даже с потерей 5% посетителей)
     
  12. t0ma5

    t0ma5 Reservists Of Antichat

    Joined:
    10 Feb 2012
    Messages:
    828
    Likes Received:
    815
    Reputations:
    90
    вот нафига вы срач разводите? вопрос был о http коде, а не о том как досят, и как его отбивают
    я что спорил что хороший досс глупо отбивать на уровне сервера?
    и с чего такие закидоны "У тебя скорее всего посещаемость сайта не высокая"? у меня вообще нет сайта, я работал в этой сфере и видел как у дц канал вообще нахер падал вместе со всеми кто там был
    "Вот когда тебя подолбят тысячи поймёшь глупо или нет" не поймешь, если сервер не пентиум2, nginx может не напрягаясь отлупливать по 40к запрос в секунду, даже не заметит
     
    _________________________
  13. pas9x

    pas9x Elder - Старейшина

    Joined:
    13 Oct 2012
    Messages:
    423
    Likes Received:
    585
    Reputations:
    52
    Ок ок, молчу) надо сразу просто все условия оговаривать
     
  14. Егорыч+++

    Staff Member

    Joined:
    27 May 2002
    Messages:
    1,373
    Likes Received:
    895
    Reputations:
    20
    Есть как бы конкретный пример, когда код ошибки имеет значение. Вот стоит у тебя сервер за крупным антиддосером, и фильтрует этот антиддосер все крупные атаки. Но вот незадача, проходят все атаки уровня 7 . И приходится свой сервер подкручивать и думать как забанить у себя этих ботов или ограничить их как. И тут не работают баны на iptables, ipfw. Только в самом браузере можно забанить. Конечно можно создать преграду ввиде скриптов или капчи у антиддосера, но это плохо влияет на ресурс.
     
  15. KaelMan

    KaelMan Seo-Гуру

    Joined:
    30 Apr 2010
    Messages:
    50
    Likes Received:
    23
    Reputations:
    -4
    HTTP атака будет актуальна ещё лет 10, а атака ICMP лет 50.
    10% ботнетов наверное сейчас на amplification. Фильмов пересмотрелись?
     
  16. KaelMan

    KaelMan Seo-Гуру

    Joined:
    30 Apr 2010
    Messages:
    50
    Likes Received:
    23
    Reputations:
    -4
  17. pas9x

    pas9x Elder - Старейшина

    Joined:
    13 Oct 2012
    Messages:
    423
    Likes Received:
    585
    Reputations:
    52
    Да.
     
  18. KaelMan

    KaelMan Seo-Гуру

    Joined:
    30 Apr 2010
    Messages:
    50
    Likes Received:
    23
    Reputations:
    -4
    Актуальные атаки на сегодня http://prntscr.com/aoy4qv

    Если атака от 10гб/с то ип таблес вам точно не поможет.
     
  19. exploit_support

    exploit_support New Member

    Joined:
    9 Aug 2015
    Messages:
    11
    Likes Received:
    1
    Reputations:
    2
    Смотря, что это за атака. Мощность не всегда "решает", имеет значение типа ddos'a.