@mamontionk

Атакуют сайт с тысяч разных IP. Как защитить?

Столкнулся с неординарной для меня задачей.
Пару дней назад начал сильно расти трафик на сайт (.ru). Сначала обрадовался, но потом посмотрев глубину просмотра и почасовой график посещений, понял, что меня каким-то образом атакуют.
Несколько раз в сутки в течении часа происходит пиковый рост уникальных посетителей в 3-4 раза превосходящий обыкновенный трафик. К примеру, обычно в час около 500 уников, тогда как в пик атаки около 2000 уников за час! И это не DoS. Промежуток между спамными обращениями несколько секунд в пик, а в то время, когда они маскируются под обычный траф, могут достигать несколько десятков секунд с одного IP.
Двиг сайта самописный. Всё пишется в логи. Поэтому счёл задачу ординарной, проделанной уже далеко не раз, я полез разбираться и ловить злодея по обычным признакам. Но не тут-то было...
Итак, картина. Тысячи посетителей с уникальными IP с реальных нормальных подсетей со всей России (сотовые операторы, разные там телеком и прочее). Нормальные HTTP_USER_AGENT и HTTP_REFERER. Но только по общему анализу за сутки получается определить, что что-то не так, да и то глазами.
К примеру, за час с одного IP могут быть несколько заходов с разными HTTP_USER_AGENT но с одного поисковика. Или наоборот – один и тот же HTTP_USER_AGENT и разные IP.
По всевозможным серверным переменным в PHP (HTTP_X_FORWARDED_FOR, HTTP_X_REAL_IP и пр.) прокси не определяется.
При более глубоком анализе получилось найти несколько признаков для блокировки и вроде как отбиваю пока бОльшую часть спамного трафика. Но эти признаки скорей мелкое упущение со стороны атакующего, нежели моё достижение. Если атакующий исправит эти признаки, то я уже не смогу определить спамный заход. Единственный признак это один-два просмотра и всё. Но это уже становится ясно постфактум, да и не позволяет со 100% вероятностью определить спамера.
Предположу, что цель этих атак увеличить показатель отказов сайта, как один из параметров ранжирования в поисковых системах.
Вопросы:
1. У кого какие мысли зачем вообще это?
2. Каким образом это делается? (огромное количество нормальных IP)
3. Как победить?
  • Вопрос задан
  • 745 просмотров
Решения вопроса 2
Aleksandr-JS-Developer
@Aleksandr-JS-Developer
Лучше проще, чем никогда
Это DDos (Distributed Denial of Service) атака.
Невероятно старая технология и невероятно эффективная.

1. У кого какие мысли зачем вообще это?
Есть несколько целей использования DDos. Одна из основных - это обрушение сайта или инфраструктуры жертвы по причине нехватки ресурсов на обработку запросов сервером.
Ещё есть интересный способ DDos`ом прикрыть реальную активность хакера.
Ещё, не могу найти, была статья на Хабре про взлом с помощью DDos`a. Там в какой-то момент, перед падением, сервер ещё не упал, но фильтровать нормально запросы переставал. Перед самым падением прокидывался вредоносный запрос, который проходил удачно.

2. Каким образом это делается? (огромное количество нормальных IP)
Классический подход требует три сущности:
Первая - Атакуюший
Вторая - Ботнет
Третья - Жертва

упрощённая схема
ddos-attack-01.jpg


Ботнет - это устройства, которые делают запросы. Причём, скорее всего, это устройства не хакера, а обычные телефоны, компьютеры людей, которые ничего не подозревают. Суть в том, что хакер заражает устройства вирусом. Вирус закрепляется в системе и затаивается. Не делает ничего, ждёт команды.
Когда атакующий решил атаковать жертву, он шлёт команды всем заражённым устройствам и те, в свою очередь, начинают одновременно спамить жертву.
Ботнет может состоять не только из сложных железок (компьютеры, телефоны), а даже из заражённых камер. Например, знаменитый ботнет Mirai использовал десятки тысяч уязвимых IPTV-камер.

3. Как победить?
Ставите, как писали уже какой-нибудь cloudflare и проблем станет куда меньше.
Но защитится совсем не выйдет. Например, Яндекс недавно публиковал на Хабре отсчёт по отражению DDos атаки, которая очередной раз побила рекорд.

Рекомендую к прочтению:
DDoS-атаки: откуда берется и куда девается “мусорн...
Microsoft сообщила о крупнейшей DDoS-атаке — 2,4 Т...

UPD
Нашёл статью от Яндекса
Ботнет Mēris: расследуем крупнейшую DDoS-атаку в и...
Ответ написан
Комментировать
Get-Web
@Get-Web
Front-End Developer
Похоже что вам конкуренты или недовольный клиент заказали накрутку самого дешевого серфинга, чтобы испортить статистику. Единственное что вы можете сделать, это найти сервис с которого идет накрутка и написать им, чтобы они этого не делали, после того как они убедятся что вы владелец, то заказы на ваш сайт будут приостановлены.
Ответ написан
Пригласить эксперта
Ответы на вопрос 3
karabanov
@karabanov
Системный администратор
Попробуй прикрыться CloudFlare или QRATOR.
Ответ написан
t-alexashka
@t-alexashka
Сразу пишу legacy код
Возможно вам конкуренты заказали "накрутку посещений" вроде bidvertiser. вроде дешевого серфинга за 0.0001 копейку за переход.
Ответ написан
dimonchik2013
@dimonchik2013
полковник Андрейченко
luminati

побеждается cloudflare , они отслеживают такое
Ответ написан
Комментировать
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Войти через центр авторизации
Похожие вопросы