https://opennet.ru/openforum/vsluhforumID3/119825.html Все мы сталкивались с зажатым F5 и просто озверевшими ботами, уже давно не секрет, что мораль у данных личностей довольно слаба, а желание забить канал высоко, именно по этому данный сниппет в nginx может срезать львиную долю таких неуравновешенных личностей. <br><br>Суть идеи в следующем:<br><br> map "$http_accept_encoding:$remote_addr" $ban_ban {<br> "~*(.*):(1.1.1.1&#124;2.2.2.2)" 0; # тут перечисляем кому "можно"<br> "~*(.*gzip.*&#124;.*identity.*):(.*)" 0; # выделяем запросы с gzip в заголовке Accept-Encoding<br> default 1; # ban<br> }<br><br> if ($ban_ban = 1) {<br> return 444;<br> }<br><br><br>TL;DR: большинство дельцов, не обращают внимание на заголовок gzip в своих запросах, им важно забить серверу исходящий канал (вот и не требуют gzip) - мораль в том, что легитимный пользователь/браузер ВСЕГДА посылает gzip/deflate в своих "ожиданиях" от сервера. Как следствие такое помогает избежать 90% простейших атак.<br><br>URL: <br>Обсуждается: http://www.opennet.ru/tips/info/3131.shtml<br> https://opennet.ru/openforum/vsluhforumID3/119825.html#19 Mon, 08 Jun 2020 05:45:15 GMT булшит уровня г-норесурса хабрахабар. не понятно только почему они из своей резервации вылазят..<br><br>несколько вопросов:<br>1) по-твоему заказчик/исполнитель ддос смотрит в выхлопы консолек ботов, а не ходит прям из своей машинки прям на сайт-жертву, серьезно?<br>2) ты и правда даже порядок цен не знаешь, но щеки надуваешь<br>3) про отображение 50х сайтом посмеялся<br>4) ты так и не ответил что/сколько чего для тебя это ддос<br>5) про "защищенный" тобой более-менее нагруженый сайт почему-то промолчал<br><br>может все-таки давно признать что про 444 прочел от "икспертов на хабре" и закончить этот ненужный тред?<br> https://opennet.ru/openforum/vsluhforumID3/119825.html#18 Sun, 07 Jun 2020 21:27:26 GMT Пишу не столько для вас, сколько для тех, кто будет читать комментарии. <br><br>Преобладание 502 в ответах цели дает атакующему сигнал, что он достиг цели. <br>Если сервер врет и на самом деле бэкэнд доступен, атакующий может ошибочно решить, что сайт лег и перестать что-то делать (добавлять нагрузку, менять параметры атаки - все, что обычно делают, чтобы сайт продолжал лежать). <br>Под атакой сайт работает нестабильно, надежно распознать ложную 502 не представляется возможным. Фактически атакующая сторона для сохранения эффективности может только вводить новых ботов или прокси (то есть снижать общий КПД и тратить дополнительные ресурсы). <br>У любой атаки есть бюджет. Только в представлении людей не в теме есть какие-то халявные ботнеты бесконечных размеров, которые ничего не стоят. <br><br>&gt;сайтов, которые ошибки сами обрабатывают<br><br>Отображение 500х ошибок движком сайта - яркая профнепригодность. <br><br> https://opennet.ru/openforum/vsluhforumID3/119825.html#17 Tue, 02 Jun 2020 08:34:15 GMT &gt; Песком не засыпьте, дедушка.<br>&gt; 444 позволяет сэкономить чуточку памяти и дескрипторов (которые дешевы), но при этом <br>&gt; дает атакующему ценную информацию, какие боты уже забанены (их можно перевести <br>&gt; на другие сайты, взамен ввести новые).<br><br>а 50х, значица, ничего атакующему не говорит, правда? Ты еще ниразу не видел сайтов, которые ошибки сами обрабатывают, вместо того, чтобы показать дефолтовый 50x.html nginx`а ? и, чтобы 2 раза не вставать, для тебя DDoS это сколько и чего. Ну и, "покекать" - без дыдоса сколько уников/чего там еще на Самом Посещаемом Сайте твоем?<br> https://opennet.ru/openforum/vsluhforumID3/119825.html#16 Mon, 01 Jun 2020 22:24:08 GMT Песком не засыпьте, дедушка. <br><br>444 позволяет сэкономить чуточку памяти и дескрипторов (которые дешевы), но при этом дает атакующему ценную информацию, какие боты уже забанены (их можно перевести на другие сайты, взамен ввести новые). <br> https://opennet.ru/openforum/vsluhforumID3/119825.html#15 Tue, 17 Mar 2020 16:18:49 GMT Если тебе просто наливают syn-ов под завязку канала, то никакие куки не помогут.<br> https://opennet.ru/openforum/vsluhforumID3/119825.html#14 Mon, 16 Mar 2020 16:36:15 GMT &gt;&gt;От syn-флуда же ничего не спасёт кроме Cloudflare-подобных сервисов, которые проглотят атаку и не подавятся.<br>&gt; разве syncookie не спасают?<br><br>видимо, зависит от того, насколько вас решили завалить.<br> https://opennet.ru/openforum/vsluhforumID3/119825.html#13 Mon, 16 Mar 2020 16:35:06 GMT вот и выросло поколение одминов-по-хабрахабару.<br>почитай уже что делает return 444 и подумай, чем оно отличается от 50х для сервера и, например, атакующего.<br> https://opennet.ru/openforum/vsluhforumID3/119825.html#12 Sun, 08 Mar 2020 14:24:37 GMT &gt;&gt; Все мы сталкивались с зажатым F5 <br>&gt; .<br><br>это было лирическое отступление есичо.<br><br> https://opennet.ru/openforum/vsluhforumID3/119825.html#11 Sun, 08 Mar 2020 14:22:49 GMT Ну либы либами, а реальные атаки и их резолвы - на опыте именно такие, да и какой пользователь не юзает gzip/deflate ? <br>