Отказ в обслуживании наступал из-за массированных вызовов по следующему адресу:
/test.php?port_IP=14805&port_PI=14805&ver=5756
test.php — это скрипт тестирования портов, который используется программой FlylinkDC++ для проверки настроек маршрутизаторов, фаерволов и прочих программ, ограничивающих соединения к компьютеру по сети.
Этому скрипту требуется передать один или три параметра, в которых указывают номера портов TCP, UDP и последний параметр, содержащий номер билда программы FlylinkDC++. Если переданные параметры численные, то скрипт:
- Открывает сокет на указанные порты запрашивающей стороны;
- Ожидает 5 секунд ответа;
- В случае успешного соединения выводит сообщение зеленого цвета на страницу, или в случае истечения времени — сообщение красного цвета.
Фактически несколько десятков тысяч вызов скрипта забивали все лимиты сокетов на сервере, что мешало работе не только нашему сайту, но и соседним. Мы перенесли сайт на более устойчивый хостинг, но атака продолжается, и с каждым часом число атакующих хостов растет. В данный момент на сайт осуществляется порядка 39 запросов в секунду.
Сообщения
5 комментариев:
Почему бы не заблокировать тест именно для этой версии? Я так понимаю это r500 beta 60.
аноним ты шо выпил прежде чем это написать?
> Почему бы не заблокировать тест именно для этой версии? Я так понимаю это r500 beta 60.
А причем тут блокировка, если вызовы продолжаются, результат похоже, не нужен тому, кто вызывает... Ддос атака обычная
А убрать временно test.php не наш путь? :)
Думаю много людей не пострадают. Большинство всё равно пользуются клиентами в локальных сетях, а там своя адресация, скрипт этот и так не помогал им.
dimetrius, убрали и повесили редирект, что сильно снизило нагрузку.
Кстати, судя по логам атака сильно снизилась :)
Отправить комментарий