Как защититься от ботнета? и ботнет ли?

Question

[Андрей]

Есть сайтик у клиента на сервачке 8 ядерном с 32 гигами озу. Последние время его террозирует кто то ложит как я понял с ботнета. Я вывел табличку онлайна memory буквально за 30-40сек появляеться 30-35к онлайна. писал токо айпи (не догадался писать юзер агент, включены ли куки и тд и тп).
Самое интересное что все айпи разные и при этом сервак не падает а тупо падает доступ к нему ssh connect error. Получаеться он забивает интернет канал и он не вывозит? Это ботнет? как можно защититься от такого?

> Direction IN
> Internal xxx.xxx.xxx.xx
> Threshold Flows 150 flows/s
> Sum 46.587 flows/300s (155 flows/s), 46.623.000 packets/300s (155.410 packets/s), 1,743 GByte/300s (47 MBit/s)
> External 162.217.133.111, 3 flows/300s (0 flows/s), 3.000 packets/300s (10 packets/s), 0,000 GByte/300s (0 MBit/s)
> External 213.94.72.212, 2 flows/300s (0 flows/s), 2.000 packets/300s (6 packets/s), 0,000 GByte/300s (0 MBit/s)
> External 207.166.50.162, 2 flows/300s (0 flows/s), 3.000 packets/300s (10 packets/s), 0,000 GByte/300s (0 MBit/s)
> External 211.237.128.254, 2 flows/300s (0 flows/s), 2.000 packets/300s (6 packets/s), 0,000 GByte/300s (0 MBit/s)
> External 218.124.17.229, 1 flows/300s (0 flows/s), 1.000 packets/300s (3 packets/s), 0,000 GByte/300s (0 MBit/s)
> External 107.202.101.90, 1 flows/300s (0 flows/s), 1.000 packets/300s (3 packets/s), 0,000 GByte/300s (0 MBit/s)
> External 136.31.72.44, 1 flows/300s (0 flows/s), 1.000 packets/300s (3 packets/s), 0,000 GByte/300s (0 MBit/s)
> External 174.125.255.7, 1 flows/300s (0 flows/s), 1.000 packets/300s (3 packets/s), 0,000 GByte/300s (0 MBit/s)
> External 222.147.198.88, 1 flows/300s (0 flows/s), 1.000 packets/300s (3 packets/s), 0,000 GByte/300s (0 MBit/s)
> External 204.205.28.226, 1 flows/300s (0 flows/s), 1.000 packets/300s (3 packets/s), 0,000 GByte/300s (0 MBit/s)
> External 109.18.146.205, 1 flows/300s (0 flows/s), 1.000 packets/300s (3 packets/s), 0,000 GByte/300s (0 MBit/s)
> External 107.75.44.127, 1 flows/300s (0 flows/s), 1.000 packets/300s (3 packets/s), 0,000 GByte/300s (0 MBit/s)
> External 121.150.202.177, 1 flows/300s (0 flows/s), 1.000 packets/300s (3 packets/s), 0,000 GByte/300s (0 MBit/s)
> External 91.178.12.116, 1 flows/300s (0 flows/s), 1.000 packets/300s (3 packets/s), 0,000 GByte/300s (0 MBit/s)
> External 103.113.194.170, 1 flows/300s (0 flows/s), 1.000 packets/300s (3 packets/s), 0,000 GByte/300s (0 MBit/s)
> External 201.210.13.2, 1 flows/300s (0 flows/s), 1.000 packets/300s (3 packets/s), 0,000 GByte/300s (0 MBit/s)
> External 175.221.156.143, 1 flows/300s (0 flows/s), 1.000 packets/300s (3 packets/s), 0,000 GByte/300s (0 MBit/s)
> External 55.16.143.210, 1 flows/300s (0 flows/s), 1.000 packets/300s (3 packets/s), 0,000 GByte/300s (0 MBit/s)
> External 47.45.154.3, 1 flows/300s (0 flows/s), 1.000 packets/300s (3 packets/s), 0,000 GByte/300s (0 MBit/s)
> External 125.244.134.30, 1 flows/300s (0 flows/s), 1.000 packets/300s (3 packets/s), 0,000 GByte/300s (0 MBit/s)
> External 241.223.61.46, 1 flows/300s (0 flows/s), 1.000 packets/300s (3 packets/s), 0,000 GByte/300s (0 MBit/s)
> External 86.64.98.26, 1 flows/300s (0 flows/s), 1.000 packets/300s (3 packets/s), 0,000 GByte/300s (0 MBit/s)
> External 234.224.111.207, 1 flows/300s (0 flows/s), 1.000 packets/300s (3 packets/s), 0,000 GByte/300s (0 MBit/s)
> External 207.62.51.87, 1 flows/300s (0 flows/s), 1.000 packets/300s (3 packets/s), 0,000 GByte/300s (0 MBit/s)
> External 106.247.41.182, 1 flows/300s (0 flows/s), 1.000 packets/300s (3 packets/s), 0,000 GByte/300s (0 MBit/s)
> External 47.236.161.128, 1 flows/300s (0 flows/s), 1.000 packets/300s (3 packets/s), 0,000 GByte/300s (0 MBit/s)
> External 140.115.236.238, 1 flows/300s (0 flows/s), 1.000 packets/300s (3 packets/s), 0,000 GByte/300s (0 MBit/s)
> External 45.56.89.135, 1 flows/300s (0 flows/s), 1.000 packets/300s (3 packets/s), 0,000 GByte/300s (0 MBit/s)
> External 219.67.204.44, 1 flows/300s (0 flows/s), 1.000 packets/300s (3 packets/s), 0,000 GByte/300s (0 MBit/s)
> External 252.10.92.105, 1 flows/300s (0 flows/s), 1.000 packets/300s (3 packets/s), 0,000 GByte/300s (0 MBit/s)
> External 240.114.41.234, 1 flows/300s (0 flows/s), 1.000 packets/300s (3 packets/s), 0,000 GByte/300s (0 MBit/s)
> External 80.63.183.10, 1 flows/300s (0 flows/s), 1.000 packets/300s (3 packets/s), 0,000 GByte/300s (0 MBit/s)
> External 208.16.36.195, 1 flows/300s (0 flows/s), 1.000 packets/300s (3 packets/s), 0,000 GByte/300s (0 MBit/s)
> External 197.107.172.13, 1 flows/300s (0 flows/s), 1.000 packets/300s (3 packets/s), 0,000 GByte/300s (0 MBit/s)
> External 231.87.144.188, 1 flows/300s (0 flows/s), 1.000 packets/300s (3 packets/s), 0,000 GByte/300s (0 MBit/s)
> External 159.234.19.161, 1 flows/300s (0 flows/s), 1.000 packets/300s (3 packets/s), 0,000 GByte/300s (0 MBit/s)
> External 12.254.210.102, 1 flows/300s (0 flows/s), 1.000 packets/300s (3 packets/s), 0,000 GByte/300s (0 MBit/s)
> External 56.198.15.60, 1 flows/300s (0 flows/s), 1.000 packets/300s (3 packets/s), 0,000 GByte/300s (0 MBit/s)
> External 177.51.146.147, 1 flows/300s (0 flows/s), 1.000 packets/300s (3 packets/s), 0,000 GByte/300s (0 MBit/s)
> External 80.186.190.31, 1 flows/300s (0 flows/s), 1.000 packets/300s (3 packets/s), 0,000 GByte/300s (0 MBit/s)
> External 158.231.81.249, 1 flows/300s (0 flows/s), 1.000 packets/300s (3 packets/s), 0,000 GByte/300s (0 MBit/s)
> External 102.48.234.8, 1 flows/300s (0 flows/s), 1.000 packets/300s (3 packets/s), 0,000 GByte/300s (0 MBit/s)
> External 109.210.25.195, 1 flows/300s (0 flows/s), 1.000 packets/300s (3 packets/s), 0,000 GByte/300s (0 MBit/s)
> External 190.175.181.164, 1 flows/300s (0 flows/s), 1.000 packets/300s (3 packets/s), 0,000 GByte/300s (0 MBit/s)
> External 168.29.148.95, 1 flows/300s (0 flows/s), 1.000 packets/300s (3 packets/s), 0,000 GByte/300s (0 MBit/s)
> External 20.5.30.38, 1 flows/300s (0 flows/s), 1.000 packets/300s (3 packets/s), 0,000 GByte/300s (0 MBit/s)
> External 225.91.156.238, 1 flows/300s (0 flows/s), 1.000 packets/300s (3 packets/s), 0,000 GByte/300s (0 MBit/s)
> External 141.196.50.148, 1 flows/300s (0 flows/s), 1.000 packets/300s (3 packets/s), 0,000 GByte/300s (0 MBit/s)
> External 1.228.206.46, 1 flows/300s (0 flows/s), 1.000 packets/300s (3 packets/s), 0,000 GByte/300s (0 MBit/s)
> External 237.65.5.34, 1 flows/300s (0 flows/s), 1.000 packets/300s (3 packets/s), 0,000 GByte/300s (0 MBit/s)
>

Comments

[lubezniy]

Сколько (примерно) запросов в секунду по access.log веб-сервера? Что показывает nload ? Какова скорость канала, через который сервер сидит в сети? Ещё абоненты на этом канале есть?

[lubezniy]

И да. Если все ip разные, а большинство ip территориально соответствует целевой аудитории посетителей, то маловероятно, что это ботнет.

[Андрей]

lubezniy: гигабитный канал. Дедик у hetzner

[Андрей]

Неа это ботнет. Он за минуту 30 000 уников онлайна нагоняет. Все айпи разные. Ну конечно большенство из одной подсети. Сервак тащит! Ни один сервис не загинаеться и на нём хватает что % CPU что ОЗУ хватает! Он тупо забивает интернет канал получается

[Андрей]

lubezniy: в этом и вопрос если бы ложил сервак/любой сервис(тот же nginx допустим) другое дело это дело можно было решить на программном уровне. Но что делать если тупо забивает интернет канал и доступ к сайту и ssh пропадает? Есть финансовая возможность поставить вперёд сервака коммутатор, но думаю может можно решить на софтовом уровне тем же ядром как я их вырублю(sysctl.conf)?

[Андрей]

lubezniy:
> Direction IN
> Internal xxx.xxx.xxx.xx
> Threshold Flows 150 flows/s
> Sum 46.587 flows/300s (155 flows/s), 46.623.000 packets/300s (155.410 packets/s), 1,743 GByte/300s (47 MBit/s)
> External 162.217.133.111, 3 flows/300s (0 flows/s), 3.000 packets/300s (10 packets/s), 0,000 GByte/300s (0 MBit/s)
> External 213.94.72.212, 2 flows/300s (0 flows/s), 2.000 packets/300s (6 packets/s), 0,000 GByte/300s (0 MBit/s)
> External 207.166.50.162, 2 flows/300s (0 flows/s), 3.000 packets/300s (10 packets/s), 0,000 GByte/300s (0 MBit/s)
> External 211.237.128.254, 2 flows/300s (0 flows/s), 2.000 packets/300s (6 packets/s), 0,000 GByte/300s (0 MBit/s)
> External 218.124.17.229, 1 flows/300s (0 flows/s), 1.000 packets/300s (3 packets/s), 0,000 GByte/300s (0 MBit/s)
> External 107.202.101.90, 1 flows/300s (0 flows/s), 1.000 packets/300s (3 packets/s), 0,000 GByte/300s (0 MBit/s)
> External 136.31.72.44, 1 flows/300s (0 flows/s), 1.000 packets/300s (3 packets/s), 0,000 GByte/300s (0 MBit/s)
> External 174.125.255.7, 1 flows/300s (0 flows/s), 1.000 packets/300s (3 packets/s), 0,000 GByte/300s (0 MBit/s)
> External 222.147.198.88, 1 flows/300s (0 flows/s), 1.000 packets/300s (3 packets/s), 0,000 GByte/300s (0 MBit/s)
> External 204.205.28.226, 1 flows/300s (0 flows/s), 1.000 packets/300s (3 packets/s), 0,000 GByte/300s (0 MBit/s)
> External 109.18.146.205, 1 flows/300s (0 flows/s), 1.000 packets/300s (3 packets/s), 0,000 GByte/300s (0 MBit/s)
> External 107.75.44.127, 1 flows/300s (0 flows/s), 1.000 packets/300s (3 packets/s), 0,000 GByte/300s (0 MBit/s)
> External 121.150.202.177, 1 flows/300s (0 flows/s), 1.000 packets/300s (3 packets/s), 0,000 GByte/300s (0 MBit/s)
> External 91.178.12.116, 1 flows/300s (0 flows/s), 1.000 packets/300s (3 packets/s), 0,000 GByte/300s (0 MBit/s)
> External 103.113.194.170, 1 flows/300s (0 flows/s), 1.000 packets/300s (3 packets/s), 0,000 GByte/300s (0 MBit/s)
> External 201.210.13.2, 1 flows/300s (0 flows/s), 1.000 packets/300s (3 packets/s), 0,000 GByte/300s (0 MBit/s)
> External 175.221.156.143, 1 flows/300s (0 flows/s), 1.000 packets/300s (3 packets/s), 0,000 GByte/300s (0 MBit/s)
> External 55.16.143.210, 1 flows/300s (0 flows/s), 1.000 packets/300s (3 packets/s), 0,000 GByte/300s (0 MBit/s)
> External 47.45.154.3, 1 flows/300s (0 flows/s), 1.000 packets/300s (3 packets/s), 0,000 GByte/300s (0 MBit/s)
> External 125.244.134.30, 1 flows/300s (0 flows/s), 1.000 packets/300s (3 packets/s), 0,000 GByte/300s (0 MBit/s)
> External 241.223.61.46, 1 flows/300s (0 flows/s), 1.000 packets/300s (3 packets/s), 0,000 GByte/300s (0 MBit/s)
> External 86.64.98.26, 1 flows/300s (0 flows/s), 1.000 packets/300s (3 packets/s), 0,000 GByte/300s (0 MBit/s)
> External 234.224.111.207, 1 flows/300s (0 flows/s), 1.000 packets/300s (3 packets/s), 0,000 GByte/300s (0 MBit/s)
> External 207.62.51.87, 1 flows/300s (0 flows/s), 1.000 packets/300s (3 packets/s), 0,000 GByte/300s (0 MBit/s)
> External 106.247.41.182, 1 flows/300s (0 flows/s), 1.000 packets/300s (3 packets/s), 0,000 GByte/300s (0 MBit/s)
> External 47.236.161.128, 1 flows/300s (0 flows/s), 1.000 packets/300s (3 packets/s), 0,000 GByte/300s (0 MBit/s)
> External 140.115.236.238, 1 flows/300s (0 flows/s), 1.000 packets/300s (3 packets/s), 0,000 GByte/300s (0 MBit/s)
> External 45.56.89.135, 1 flows/300s (0 flows/s), 1.000 packets/300s (3 packets/s), 0,000 GByte/300s (0 MBit/s)
> External 219.67.204.44, 1 flows/300s (0 flows/s), 1.000 packets/300s (3 packets/s), 0,000 GByte/300s (0 MBit/s)
> External 252.10.92.105, 1 flows/300s (0 flows/s), 1.000 packets/300s (3 packets/s), 0,000 GByte/300s (0 MBit/s)
> External 240.114.41.234, 1 flows/300s (0 flows/s), 1.000 packets/300s (3 packets/s), 0,000 GByte/300s (0 MBit/s)
> External 80.63.183.10, 1 flows/300s (0 flows/s), 1.000 packets/300s (3 packets/s), 0,000 GByte/300s (0 MBit/s)
> External 208.16.36.195, 1 flows/300s (0 flows/s), 1.000 packets/300s (3 packets/s), 0,000 GByte/300s (0 MBit/s)
> External 197.107.172.13, 1 flows/300s (0 flows/s), 1.000 packets/300s (3 packets/s), 0,000 GByte/300s (0 MBit/s)
> External 231.87.144.188, 1 flows/300s (0 flows/s), 1.000 packets/300s (3 packets/s), 0,000 GByte/300s (0 MBit/s)
> External 159.234.19.161, 1 flows/300s (0 flows/s), 1.000 packets/300s (3 packets/s), 0,000 GByte/300s (0 MBit/s)
> External 12.254.210.102, 1 flows/300s (0 flows/s), 1.000 packets/300s (3 packets/s), 0,000 GByte/300s (0 MBit/s)
> External 56.198.15.60, 1 flows/300s (0 flows/s), 1.000 packets/300s (3 packets/s), 0,000 GByte/300s (0 MBit/s)
> External 177.51.146.147, 1 flows/300s (0 flows/s), 1.000 packets/300s (3 packets/s), 0,000 GByte/300s (0 MBit/s)
> External 80.186.190.31, 1 flows/300s (0 flows/s), 1.000 packets/300s (3 packets/s), 0,000 GByte/300s (0 MBit/s)
> External 158.231.81.249, 1 flows/300s (0 flows/s), 1.000 packets/300s (3 packets/s), 0,000 GByte/300s (0 MBit/s)
> External 102.48.234.8, 1 flows/300s (0 flows/s), 1.000 packets/300s (3 packets/s), 0,000 GByte/300s (0 MBit/s)
> External 109.210.25.195, 1 flows/300s (0 flows/s), 1.000 packets/300s (3 packets/s), 0,000 GByte/300s (0 MBit/s)
> External 190.175.181.164, 1 flows/300s (0 flows/s), 1.000 packets/300s (3 packets/s), 0,000 GByte/300s (0 MBit/s)
> External 168.29.148.95, 1 flows/300s (0 flows/s), 1.000 packets/300s (3 packets/s), 0,000 GByte/300s (0 MBit/s)
> External 20.5.30.38, 1 flows/300s (0 flows/s), 1.000 packets/300s (3 packets/s), 0,000 GByte/300s (0 MBit/s)
> External 225.91.156.238, 1 flows/300s (0 flows/s), 1.000 packets/300s (3 packets/s), 0,000 GByte/300s (0 MBit/s)
> External 141.196.50.148, 1 flows/300s (0 flows/s), 1.000 packets/300s (3 packets/s), 0,000 GByte/300s (0 MBit/s)
> External 1.228.206.46, 1 flows/300s (0 flows/s), 1.000 packets/300s (3 packets/s), 0,000 GByte/300s (0 MBit/s)
> External 237.65.5.34, 1 flows/300s (0 flows/s), 1.000 packets/300s (3 packets/s), 0,000 GByte/300s (0 MBit/s)
>

[lubezniy]

Андрей: По ssh доступ может пропадать и из-за перегрузки проца от посещаемости. Было у нас такое. Уж не знаю примерного количества машин в ботнетах, но кажется, что 35к ip-адресов для ботнета многовато. Хотя, конечно, 47 МБит/с входящего трафика - это сильно.
Железка впереди сервера - выход лишь до поры до времени. Дата-центр тоже считает трафик, и превышение некоей загрузки канала на одну машину может закончиться урезанием скорости канала или вообще отключением машины от сети без шансов вернуться.
А для защиты от ddos имхо могут быть полезными услуги специализирующихся на этом фирм. В этом случае трафик идёт через их площадки и там фильтруется.

[Андрей]

lubezniy: Клиент не хочет трафик пускать через кого либо. По финансам клиент не жмот. Говорит говорите чё надо будем покупать.

[Андрей]

lubezniy: как ни странно я так и не понял почему memcached перегрузил 2 ядра на 100% при 35к онлайна. В мемкеше только сессии храняться. Как ддос спал мемкеш сам не разгрузился пока его в ручную не ребутнул.

[lubezniy]

Андрей: А по исходящему трафику что? По входящему 47 МБит/с на гигабитный канал (если полоса выделена под вас) не то чтобы значительная нагрузка - просто по соотношению получается примерно 5%.

[Андрей]

lubezniy: Щас уже не гляну. Пока атак больше не было но раз в месяц переодически бывает такая шляпа что забивает кучей онлайна интернет канал. Прошлая атака сильнее была месяца 1.5 назад выдавало 76 000 онлайна с чем то при этом сервер был нагружен на 70% максимум и в свап не уходил просто терялся доступ ко всему к ssh к фтп к сайту и тд и тп так как был забит под завязку интернет канал. Как атака кончилась минут через 10 и спал онлайна всё как работало так и продолжало работать ни аптайм ни 1 сервис не падал. Пускать трафик через какой либо сторонний сервис мы не будем. У нас есть финансовые возможности решить проблему самостоятельно только не совсем понятно как её решать что для этого нужно.

Answer 1

[lubezniy]

В случае неботнета рекомендация такая:

1. Выявить наиболее часто скачиваемые URL-ы (включая URL-ы файлов статики);
2. Заказать на стороне Linux-виртуалку (можно и дедик, но это сильно дороже), поставить на неё nginx, залить ему в Web-каталог статику и модифицировать код на основном сервере так, чтобы статика скачивалась с виртуалки. Естественно, виртуалка должна периодически синхронизировать свои файлы с каталогом на основном сервере, но клиенты запрашивать с основного сервера статику не должны. Мощная виртуалка для статики не нужна - лишь бы трафик был безлимитный и канал достаточный. Пары ядер, по нашему опыту, вполне хватает, чтобы вытягивать сотню-другую запросов в секунду, не сильно напрягаясь. Если одной не хватит, можно взять ещё энное количество (лучше в других дата-центрах, чтобы каналы в сеть были разные) и динамически вписывать туда URL-ы статики (хоть в случайном порядке).
3. Самые посещаемые URL-ы также стоит перевести в статику и вывести на сторонние мощности.

Дальше всё зависит от причин посещаемости. Если это сезонное или, например, связано с рекламной акцией/партнёрской программой, то потом можно вернуть всё обратно, оставив наработки на будущее.

Answer 2

[spotifi]

Нормальные хостеры предлагают DDoS базовый даже бесплатно.
Или чуть выше уровнем - за весьма небольшую денежку.
RuWeb.net.
Это дешевле чем любые ваши телодвижения вручную.

Comments

[Андрей]

Деньги не главное. Проект хороший и высокодоходный. Надо делать всё по уму.

[spotifi]

Андрей: Если деньги есть - обратить в QRator. У них anycast. Самостоятельно ты никак не сможешь защитить также круто как и anycast.

[Андрей]

spotifi: спасибо завтра спишусь с ними