Блин DDoS-атакой повесили мне сервак ((

За 5 часов 18гб трафика, когда за сутки всё го 6 жрало при максимальном нагрузе, как боротся с этой напастью? 

атачат с болие 6к ипов, в секунду идет до 70 000 запросов. Сервер падает в гнавание ока :((

я незнаю что делать, слушал что есть какие то способы барьбы с этим, вот незнал куда лучше обратится.

Хм... Самому оч интерестно узнать, в одной платной версии извествной CMS сделали как-то, но что-то мало верится что получилось...

Единственный вариант, который приходит в голову - писать в базу / файл IP, с которых ломятся и блокировать их на час, например, если они сделали более 20 запросов страниц за n секунд.

Понимае для блока используется Троян по кличке Zlob

Против него уже выроботана защита:

http://forum.kaspersky.com/lofiversion/index.php/t24099.html
http://www.kaspersky.ru/viruswatchlite?sea...;hour_offset=-1

Но проблема в том что 25% заражонных являются юзерами сайта, хоть и сделали файл для разблока после очистки компа от вируса, но что стоит ему перенаправить запросы на то что бы они еще и разблокировали себя сами?

А смысл бороться с ддос средствами цмс?
Скорее эти средства как-раз таки и положат сервер. Те для проверки нарушителя прийдется выполнить скрипт и как минимум один запрос к БД.

Это вообщем-то уже вопрос к администраторам. С ддосом бороться надо средствами фаерволлов\маршрутизаторов и тд

Хост мастер сказал лишь одно, советую вам выключить сервер, пока взломщику не надоест. И что ничего нельзя сделать? :( Неверю :(

И тем не менее. В случае интенсивного ддоса (а в вашем случае это именно так) остается только это. Но и это не самое плохое. В случае, когда поток атаки забивает достаточно сильно канал хостинг-провайдера принимаются и более жесткие меры - фильтрация по ip получателя на уровне магистрального провайдера (чтобы все пакеты идущие на ваш IP вообще удалялись и не засоряли канал), к примеру.... К сожалению, бывает и такое....
Чтобы отвести поток от сервера, в случае, если атакующий использует доменное имя сервера можно для домена установить ip-шник 127.0.0.1
 - иногда это помогает снизить поток атаки. Вообще же бороться с ДДОСом оставляя сервер при этом доступным для нормальных пользователей становится бессмысленным после того, как:
*поток достаточно мощный для того, чтобы сервер не смог отфильтровать запросы;
*количество атакующих хостов достаточно велико для того, чтобы составлять и прописывать правила на маршрутнике/фаерволе.
При соблюдении этих 2х условий остается лишь максимально снижать последствия атаки для себя и для хостера....все равно ресурс будет не доступен.

К сожилени. скореё всёго ты прав. Просто досер уже 3 сутки не выпускает канал :((

А что у нас с уголовной отвецтвеностью кто небудь знает? Зная IP досера мы можем подать на него в суд и т.д.?

все как всегда)))

а откуда Вы знаете, что это его ip? в ддосе участвуют сотни зараженных машин(бот-сеть, ботнет). Откуда Вы узнаете кто управляет этой сетью и как Вы это докажете? управление может быть многоуровневым, когда непосредственно атакующими машинами могут управлять другие зараженные машины, этими - другие зараженные. Машины-зомби распространены практически по всему миру, тот же кто запустил команду на атаку может управлять сетью через цепь прокси...в этом случае поймать этого человека, а тем более аргументированно доказать его причастность практически не возможно. Тем более кто сказал, что атакующий в России (чтобы судить его нашими законами)? Лучше задумайтесь кто мог заказать такую атаку (одна минута которой стоит относительно больших денег - подробности по ценам можно найти в гугле), сделайте соответствующие выводы. Но прошу Вас, не уподобляйтесь ему. Бизнес это борьба, но забитые левым трафиком каналы мешают всем.

Он имел наглость выйти с нами на связь и потребовать 5к$ за прекращение.

мой тебе совет - купи себе за 5k$ хороший сервер, с аппаратным сетевым экраном и найми грамотного администратора и у тебя больше никогда не будет таких проблем.

Имеете полное право написать заявление, но опять же никаких гарантий. Осудить его можно уже не только за распространение вредоносных программ, но и за шантаж и вымогательство. 

А мой совет, купи за 5k$ хороший пистолет. Самый верный способ прекратить  DDoS.  

Реально, если доступ к серверу открыт то ничего не поможет. Или нужно вводить ограничения.


Верно.
Нужно узнать есть ли на Украине, что-то вроде отдела К, и написать туда жалобу, приложив логи, письмо от вымогателя и все доступные данные. Вообще-то вымогательство уголовно-наказуемо. Чтобы не оставили без внимания,попросить указать входящий номер заявления.

Однако и в этом случае доказать вымогательство гораздо проще чем причастность данного конкретного лица к ДДОСу.

Если он требует 5к$, то это уже вымогательство, а в этих случаях делается следующим образом: пишется заява в милицию, в милиции вам скажут что надо делать. В моей практике было так: парень потребовал перевести бабло на счет вебмани, а милиция запросила (с санкции суда) информацию по пользователю этого кошелька. Парня приняли после перевода денег. Переговоры по аське производились в присутствии оперативников и понятых, были приобщены к делу, как полноправное доказательство.

coyl,