Перейти к содержимому

Как проверить ddos атаку на сайт

  • автор:

Как узнать DDoS или нет?

Приветствую! Как узнать наверняка, сайт ддосят или просто высокая нагрузка? Дело в том, что на сервер с DDoS защитой, 8 гб озу, 4 ядра и всего 1000 уников в день, сайт жутко долго открывается, постоянно 502 и 504 ошибки.

1 established) 1 Foreign 4 FIN_WAIT1 8 LISTEN 14 SYN_RECV 31 LAST_ACK 92 SYN_SENT 118 CLOSE_WAIT 120 FIN_WAIT2 247 TIME_WAIT 403 ESTABLISHED

делал примитивную защиту от SYN-flood, путем активации: net.ipv4.tcp_syncookies = 1
но на самом деле такого рода ддос, Я думаю, фильтрует сам хостинг провайдер.

На сервере: debian 7.9, nginx 1.8, php5-fpm 5.4, mysql 5.5.

htop показывает 100% нагрузку на все 4 ядра и использование 3гб из 8.

Подскажите пожалуйста, как вычислить причину тормозов? И у знать наверняка, ддос или тормоза сайта. Спасибо!

  • Вопрос задан более трёх лет назад
  • 17935 просмотров

Комментировать
Решения вопроса 3
Админ хостинг провайдера

Очень похоже на application level DDoS. Хостинг провайдер обычно защищает от грубых атак типа DNS amplification и тд, вас же сайт скорее всего досят более тонко — нашли самые тяжелые страницы и постоянно их запрашивают.
Изучите какие процессы грузят ЦПУ ? если nginx/php/mysql установите и используйте nginxtop и анализируйте access логи nginx на предмет паразитной активности,
Обязательно настройте мониторинг трафика, цпу, озу, и тд .

Еще изучите вывод netstat — сделайте выборку по портам 80 и 443 (если используется) и посмотрите возможно большинство запросов идут с небольшой группы ип адресов — заблокируйте их в iptables и посмотрите на результат.

Ответ написан более трёх лет назад
Нравится 3 4 комментария
webpixel @webpixel Автор вопроса

netstat -an | grep :80 | wc -l
693

netstat -ntu | awk » | cut -d: -f1 | sort | uniq -c | sort -n

13 45.79.158.192 14 14.32.39.216 15 117.240.187.35 18 41.74.76.123 21 113.200.250.112 38 86.99.223.240 116 SERVER_IP 8142 127.0.0.1

webpixel @webpixel Автор вопроса
ТОП4 из access.log:

104084 117.169.6.98 73477 117.169.6.180 36086 117.169.6.115 20970 117.169.6.151

webpixel: ваш сайт ориентированн на Китайскую аудиторию ? если нет закрывайте всю 24ую подсеть
webpixel @webpixel Автор вопроса
Владимир: я уже забанил весь китай с помощью iptables + ipset. спасибо.

leahch

Алексей Черемисин @leahch Куратор тега Linux
Я мастер на все руки, я козлик Элек Мэк 🙂

А просто top что говорит? Может быть просто сайт туго работает?
Ну и DDOS всегда можно отличить по массовой сетевой загрузке. Например по ifstat.
Мне что-то кажется, что у вас просто с сайтом тормоза. И в php-fpm сделайтелог медленных запросов (slow log). Да и что ресурсы то жрет, система или процессы?

Ответ написан более трёх лет назад
Нравится 1 24 комментария
webpixel @webpixel Автор вопроса

сделал, пошли записи такого рода:

[31-Oct-2015 15:35:18] [pool www] pid 29088 script_filename = /var/www/SITE.com/html/index.php [0x00007fd1d7f10920] mysql_query() /var/www/SITE.com/html/wp-includes/wp-db.php:1750 [0x00007fd1d7f0fb40] _do_query() /var/www/SITE.com/html/wp-includes/wp-db.php:1654 [0x00007fd1d7f0f3e0] query() /var/www/SITE.com/html/wp-includes/wp-db.php:2230 [0x00007fd1d7f01c80] get_results() /var/www/SITE.com/html/wp-includes/query.php:3499 [0x00007fd1d7f01af8] get_posts() /var/www/SITE.com/html/wp-includes/query.php:3874 [0x00007fd1d7f01988] query() /var/www/SITE.com/html/wp-includes/class-wp.php:549 [0x00007fd1d7f016f0] query_posts() /var/www/SITE.com/html/wp-includes/class-wp.php:622 [0x00007fd1d7f01510] main() /var/www/SITE.com/html/wp-includes/functions.php:886 [0x00007fd1d7f012f0] wp() /var/www/SITE.com/html/wp-blog-header.php:14 [0x00007fd1d7f011e0] +++ dump failed

leahch

Алексей Черемисин @leahch Куратор тега Linux

Ну так теперь на mysql логи медленных запросов включите, далее скорее всего индексы нужно будет посмотреть.

Как узнать, что на сайт идет DDoS-атака?

DDoS-атака (распределенная атака типа “отказ в обслуживании”) – это угроза, которая может нанести серьезный ущерб вашему сайту и бизнесу. Важно знать признаки DDoS-атаки, чтобы быстро реагировать и минимизировать потери. В этой статье мы рассмотрим, как узнать, что на сайт идет DDoS-атака, какие симптомы могут указывать на это, а также какие действия можно предпринять для обнаружения и предотвращения атаки.

Признаки DDoS-атаки

Резкое увеличение трафика на сайте

Один из первых признаков DDoS-атаки – это резкое и необъяснимое увеличение трафика на сайте. Если вы заметили подозрительное повышение посещаемости, возможно, ваш сайт подвергается атаке.

Замедление работы сайта и отказы в обслуживании

Другой симптом DDoS-атаки – замедление работы сайта или полное прекращение его работы. Это происходит из-за того, что сервер перегружен большим количеством запросов, которые генерируют атакующие.

Временные проблемы с доступом к сайту

Если пользователи сообщают о том, что временами испытывают проблемы с доступом к вашему сайту, это тоже может быть связано с DDoS-атакой. Часто атакующие используют тактику “постепенного наращивания”, поэтому проблемы с доступом могут быть непостоянными.

Как обнаружить DDoS-атаку

Мониторинг сервера

Систематическое наблюдение за состоянием сервера и анализ логов позволяет своевременно обнаружить подозрительную активность. Можно использовать специализированные инструменты, такие как Nagios или Zabbix, которые уведомляют о проблемах с сервером.

Анализ трафика

Изучайте статистику трафика на вашем сайте. Если обнаружите необычные изменения в объеме трафика или посещаемости, это может указывать на DDoS-атаку. Уделяйте внимание странам-источникам трафика и IP-адресам посетителей. Если большая часть трафика исходит из одной страны или одной группы IP-адресов, это может указывать на атаку.

Использование специализированных инструментов

Существуют специальные инструменты для обнаружения и блокировки DDoS-атак, такие как Cloudflare, Incapsula или Arbor Networks. Они могут обнаруживать аномальные паттерны трафика и предотвращать атаки на ранней стадии.

Как предотвратить DDoS-атаку

Создание резервных копий

Создавайте регулярные резервные копии данных сайта, чтобы иметь возможность быстро восстановить его после атаки.

Ограничение количества соединений

Ограничьте количество одновременных соединений с сервером для снижения нагрузки на него.

Использование CDN (Content Delivery Network)

CDN позволяет распределить нагрузку на сайт по нескольким серверам в разных географических точках, что затрудняет проведение DDoS-атаки.

Обновление программного обеспечения

Следите за обновлениями программного обеспечения и операционной системы сервера. Обновления обычно устраняют уязвимости, которые могут использоваться для проведения атак.

Внедрение WAF (Web Application Firewall)

WAF представляет собой защиту, которая блокирует подозрительные запросы и атаки на уровне приложений, что снижает риск DDoS-атак.

DDoS-атаки могут нанести серьезный ущерб вашему сайту и бизнесу, поэтому важно знать признаки и уметь своевременно реагировать.

Обязательно мониторьте состояние сервера, анализируйте трафик и используйте специализированные инструменты для обнаружения и предотвращения атак.

Также не забывайте про предупредительные меры, такие как создание резервных копий данных, ограничение количества соединений, использование CDN, обновление ПО и внедрение WAF.

Ваша задача – сделать ваш сайт менее уязвимым для DDoS-атак и минимизировать их возможные последствия, а так же – выбрать ответственного провайдера, предлагающего защиту от DDoS.

Стресс-тест на DDoS

Тест на DDoS или распределенную атаку типа «отказ в обслуживании» — проверка на устойчивость информационных систем к одной из самых серьезных угроз кибербезопасности нашего времени.

Эта технология имитирует нападение в изолированной среде, чтобы узнать лимиты устойчивости систем веб-ресурса и применить превентивные защитные меры. Услуга призвана укрепить систему цифровой обороны тех компаний и организаций, которые критически зависят от бесперебойной доступности своих интернет-ресурсов.

Что такое DDoS-атака

DDoS — распределенная кибератака на определенный сервис (например, веб-страницу или сервер), цель которой состоит в переполнении открытых портов ресурса массой запросов, чтобы ограничить его работоспособность или сделать недоступным для легитимных пользователей. DDoS-атаки проводятся с помощью так называемых «ботнетов» — сетей заранее зараженных хакерами устройств, которые могут проводить одновременную отправку ложного трафика по указанию управляющего киберпреступника («ботмастера»).

Кибератаки типа «отказ в обслуживании» занимают сегодня первое место по росту популярности среди киберпреступников и уровню опасности для сайтов. Мощное нападение, которое можно организовать буквально за несколько сотен долларов, способно надолго парализовать работу крупного веб-ресурса, понизить репутацию, позиции в поиске и привести к существенным финансовым потерям.

Как проводится стресс-тест

Цель DDoS теста — контролируемым образом определить, при каких условиях этот тип кибернападений может достичь успеха, и улучшить структуру защиты, чтобы сделать ее максимально устойчивой к будущим атакам. Для достижения этого предпринимаются следующие шаги:

  1. Нагрузочное тестирование. Выполняя стресс-тест на всех уровнях сетевой модели OSI контролируемым образом и без простоя сервиса у заказчика, мы определяем уровень устойчивости к DDoS-атаке. Мы можем выполнять DoS («отказ в обслуживании») или DDoS («распределенный отказ в обслуживании») тестирование, в зависимости от задач и предполагаемой загрузки ресурса, определенной с клиентом, а также моделировать проведение атаки из разных стран. При этом вся нагрузка ложится на наши серверные ресурсы, не затрагивая мощности проверяемого сайта.
  2. Превентивные меры безопасности. Если клиент уязвим для DDoS-атаки, мы заранее применяем ряд защитных мер, чтобы помочь избежать воздействия атаки, до ее начала. Благодаря подобным действиям, система безопасности клиента становится более гибкой и может выдерживать высокие пики трафика без ущерба для ИТ-инфраструктуры.
  3. Реактивные меры безопасности. В случае, если клиент подвергается DDoS-атаке, мы предоставляем нужные инструменты и настраиваем защитную систему, чтобы свести к минимуму прямой ущерб, причиненный атакой, а также избежать возможных косвенных последствий.

Как заказать DDoS тестирование

Заказать DoS или DDoS тест можно также, как и остальные услуги CyberFlow. Новые клиенты могут воспользоваться формой заказа на официальном сайте, существующие — через обращение в техподдержку. Сроки и стоимость проведения тестирования, а также последующего анализа уязвимостей зависят от числа и масштабности веб-ресурсов.

Мы всегда на связи в соцсетях

Как понять, что на сайт идет DDoS-атака

Понять, что на сайт идет DDoS-атака, не всегда просто. Нету какой то четкой грани или определенного параметра — нужно смотреть на ситуацию целиком. Атака может происходить разными способами, а иногда и их комбинациями. Возможные варианты:

  1. Сайт работает в какой то степени, но открывается или очень очень медленно, либо открывается только в части случаев (типичные ошибки — 503 Service Unavailable, 504 Gateway Timeout). Типичная ситуация, когда атака не очень интенсивная, но ее хватает, чтобы полностью загрузить сервер с сайтом. Если зайти на сервер по SSH, то можно увидеть, что нагрузка в разы выше положенного (Load Average существенно выше обычно. Обычно в десятки раз).
  2. Сайт не открывается совсем. В некоторых случаях может выводится «заглушка» хостинга о том, что «сайт временно заблокирован» или подобное. Такое возможно, когда служба поддержки хостинга «видит» атаку и, чтобы не пострадали другие клиенты, блокирует атакуемый сайт (есть разные варианты блокировок — зависит от фантазии хостинга). Обычно владельцу сайта при этом отправляется письмо о том, что сайт под атакой, и необходимо воспользоваться сервисом по защите от DDoS-атаки. Если при этом зайти по SSH на сервер, то нагрузка будет около нулевой, т. к. весь трафик фильтруется хостингом. Самый простой для обнаружения вариант — владелец сайта поставлен в известность техподдержкой хостинга. Такой вариант характерен для относительно мало-интенсивной атаки, при которой инфраструктура хостинга в целом продолжает работать (обычно это атака на уровне L7 OSI — HTTP-flood и подобное).
  3. Не работает как ваш сайт так и сайт хостинг-провайдера. Атака такой интенсивности, при котором полностью «забиты» каналы данного оператора. Такой сценарий сложно отличить от какой то не штатной ситуации у хостинг-провайдера (сетевые проблемы — обрыв связи и подобное). Обычно, владельца сайта попытаются уведомить о проблемах. Это самый сложный вариант — сложно диагностируется и сложно устраняется. Атака серьезного уровня. Есть большая сложность воспользоваться каким-либо сервисом фильтрации DDoS, т. к., при отсутствии актуальных резервных копий, могут быть проблемы с доступом к серверу даже по FTP или SSH (может не получится скачать файлы сайта, чтобы перенести к другому оператору или AntiDDoS-сервису).

В целом, обнаружение DDoS-атаки может вызвать сложности у неподготовленного человека. Если у Вас есть подозрения, что вас атакуют — напишите нам [email protected] , мы вынесем свой вердикт и предложим способы решения.

Похожие публикации:
  1. Invoke kotlin зачем нужен
  2. This close c что это
  3. Как отключить мобильные данные на андроид
  4. Как рисовать в visual studio

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *