Τι κάνεις άραγε όταν σου επιτίθεται ένα botnet τέτοιων διαστάσεων;
Κι ακόμη χειρότερα, τι κάνεις όταν δε μπορείς να το ξεχωρίσεις εύκολα γιατί κάνει legitimate traffic, δηλαδή συνηθισμένα http requests για το /index.php που έχεις στον web server σου;
Passive os fingerprint, kai to stavro sou :-)
Comment από panayotis — Απριλίου 8, 2008 @ 5:03 μμ
Αστα να πάνε…
Μέχρι στιγμής το μόνο που κάνει δουλειά είναι το fail2ban ..
Θα δοκιμάσω και το mod_evasive που βρήκα τώρα, αν και το fail2ban είναι πιο generic..
Το πρόβλημα δεν είναι ότι σου την πέφτουν 1, 2, 5, 10 IP από fat-pipes για να σε γονατίσουν.. Είναι ότι σου την πέφτουνε χιλιάδες διαφορετικά με σχετικά μεγάλη χρονική διαφορά μέχρι να επανέλθουν (οπότε με τη στενή έννοια δεν κάνουν τίποτα κακό), αλλά λόγω του πλήθους σε γονατίζουν..
Και ανά δυο requests, αλλάζει και το UserAgent ..
Comment από Sotiris Tsimbonis — Απριλίου 9, 2008 @ 10:14 πμ
Μόνο 400K hosts; Εδώ υπάρχουν μέχρι και 18Μ… Αυτό μου θυμίζει τις εποχές 10+ χρόνια πριν που η Panix.com είχε βγει offline:
http://www.interesting-people.org/archives/interesting-people/199609/msg00018.html
Comment από adamo — Απριλίου 10, 2008 @ 11:27 μμ
..και ενώ φαίνεται ότι έχει σταματήσει (μέχρι την επόμενη φορά)
μπορώ να πω ότι ..1500 διαφορετικές IP μέσα σε 1 ώρα, ανεβάζουν load 50 σ’ένα P4 @2GHz αν δεν κάνεις κάτι..
Μακριά από μας..
Comment από Sotiris Tsimbonis — Απριλίου 14, 2008 @ 9:45 πμ
What a Botnet looks like.
Comment από adamo — Μαΐου 10, 2008 @ 12:56 πμ
[...] και μερικές μέρες το http://www.irc.gr δέχεται ένα τρομερό attack από botnet που δεν έχει εύκολη [...]
Pingback από DDoS attack to www.irc.gr « GRNet - The Greek IRC Network — Μαΐου 29, 2008 @ 10:14 πμ