adm-lib.ru
http://adm-lib.ru/forum/

3) Детский ддос, вариант первый. Разбор полетов.
http://adm-lib.ru/forum/viewtopic.php?f=6&t=18
Страница 1 из 1

Автор:  Victor [ 21 мар 2011, 11:55 ]
Заголовок сообщения:  3) Детский ддос, вариант первый. Разбор полетов.

Продолжение, начало тут viewtopic.php?f=6&t=16
Пришло утро, и вместе с ним пришел мандраж ( как пишут в словаре: резкое поступление адреналина в кровь - испуг ).
А что бы я делал, если бы пионеры вздумали досить более посещаемый сайт? Например, который пишет пару-тройку гиг логов доступа в сутки? Разобраться в таком логе вручную - нереально. И что бы я делал???
Первым делом на всех серверах был включен и настроен для доступа из-дому mod_status. Уже можно более-менее наглядно видеть, кто, откуда и что делает. Но, поскольку при большом количестве работающих процессов апача, анализировать вывод mod_status, все равно, напряжно, был найден и прикручен везде скрипт sspp.php ( Server Status PHP Parser ), за который огромный респект Serghey Rodin и другим разработчикам!
Зачем он нужен? Этот скрипт парсит вывод mod_status и обобщает, например, сколько страниц открыто с какого ip, какие именно страницы отрыты и сколько к каждой из низ запросов в данный момент времени.
Есть еще один скрипт, на шел, который парсит вывод netstat и показывает, от кого максимальное количество подключений в данный момент времени:
Код:
netstat -na | awk '$4 ~ /192,168,0,1/ {print $5}' | cut -d . -f 1,2,3,4 | sort | uniq -c | sort -n | tail

Тоже очень неплохо, только подставьте нужный ip.
Я умышлено не говорю тут о других, более сложных инструментах и способах настройки системы, на все свое время :), но, даже таких простых вещей мне с головой хватило бы для отражения этой конкретной пионерской атаки!

Страница 1 из 1 Часовой пояс: UTC + 3 часа
Powered by phpBB® Forum Software © phpBB Group
https://www.phpbb.com/