Наверное есть нечто подобное, фиксирующее трафик и у приложений Гугол Хрома.
Извещателем для таких брандмауэров-файерволов могут выступать крупные ресурсы(от 20 тыс посещений в день), подвергшиеся атаке и зарегистрировавшиеся и заплатившие за данную услугу. При вероятной Ддос, зарегистрированный к пользованию услугой сайт, выдаёт на компьютер подозреваемого некий специальный запрос(наверное, в этом же запросе и характеристики вероятного Ддос-запроса от текущего компьютера к сайту). При нарушении, или чрезмерности подобных запросов на всплывающие окна от сайта услуга сайту отключается. Тут нужно выработать единый стандарт: к примеру N-ое кол-во запросов(тут вид и форма запроса) от компьютера к сайту за единицу времени, считается Ддос, думаю что есть сведущие люди в количественном отношении данной стандартизации. (По идее и сам такой брандмауэр-файервол может проверить актуальнось запроса пропустив еще несколько запросов к данному реферу с характеристиками предоставленными атакуемым ресурсом)
Плюсы:
a) Пользователь узнаёт, что он заражён, (также дополнительная возможность отработать методы защиты и динамически обновляемых программ от ботнет-вирусов )
b) Реализатор услуги получает денежку и возможность инвестировать в свой проект
с) Реальная защита от Ддос
=========================
Минусы первого этапа:
Очевидно они будут на первом этапе отработки стандартов и определения: какие виды запросов, их частота и повторяемость считать за Ддос и при каких параметра возможен запрос от ресурса на всплывающее уведомление пользователя, параметры ресурсов, могущих запросить такую услугу. Минимальный интервал повторного перезапроса такого всплывающего уведомления от ресурса к одному и тому же компьютеру…
========================
Хотелось услышать Ваше мнение в поддержку, или критику такой фичи
Комментарии (10)
Defff
30.12.2015 15:13Зачем нужен антивирус и файрвалл который не может предотвратить ддос с компьютера на котором они установлены?
К сожалению антивиры и файерволы не поспевают за мошенниками.
И меня лично интересует возможность предуведомить программу на компе злоумышленника(может и нечаянного, ибо зачастую его заразили)
Чтобы она обезвредила(или уменьшила) вред моему сайту и уведомила пользователя о его ботнет-активности. Возможно и рекомендовала какие-то специальные действия
kahi4
30.12.2015 15:35habrahabr.ru/company/ua-hosting/blog/233903 — это стоит почитать сначала.
1. Не все DDoS заключаются в большом траффике, например Slowloris. Определить такой DDoS достаточно сложно, да и совершенно не нужны зараженные машины.
2. Многие DDoS сейчас делаются не с клиентов, а с серверов, а так же набирает популярность атаки с зараженных мобильных устройств.
3. Часто досят через некий прокси, например, редирект гугла. Гугл то вряд ли ляжет, а вот ваш сайт может такое не выдержать. Схемы редиректов и проксей бывают невероятные.
«Почему бы… не давать извещения на компьютере пользователя в виде всплывающих окон» — потому что лучше просто нейтрализовать угрозу, а не пропускать её и сообщать пользователю. Вдобавок, если антивирус или файрвол смог её определить, он сможет нейтрализовать и блокировать вас уже не придется.
«Тут нужно выработать единый стандарт: к примеру N-ое кол-во запросов(тут вид и форма запроса) от компьютера к сайту за единицу времени, считается Ддос» — даже не пытайтесь. Слишком большой зоопарк типов атак, технологий да и принципов работы сайта. Например, Ajax каждые 10 секунд ходит на сервер и спрашивает о появлении новых новостей — DDoS? А если вкладок 10? При этом больше двух-трех запросов в секунду в строке поиска — почти наверное DDoS.
inkvizitor68sl
30.12.2015 15:40Возможный вариант борьбы с ддос один — отбивать ддос там, где вредоносный трафик является исходящим. Если такого места нет (нет доступа на управление) — создать его.
Атакующие компы — вариант, но слишком размазанный.
Defff
30.12.2015 15:50inkvizitor68sl, ну мой сервис, не ресурс пентагона, и серверы мой ресурс вряд ли Ддосят с разных IP, которых более 10000
Ддосят из-за разборок школоты, присутствующих на моём ресурсе (И это задолбало в течении более двух лет (как технология ботнета развилась )
Сервис бесплатных форумов, форумов более 500 000. Точно те же проблемы и на Укоз, чуть реже
Defff
30.12.2015 16:32kahi4, Вдобавок, если антивирус или файрвол смог её определить, он сможет нейтрализовать и блокировать вас уже не придется.
Вы повторяете уже отвеченное, нет антивир и файервол не сработали и идея совсем иная: Антивир или файрвол уведомляются атакуемым сайтом, что подозрительные запросы идут с этого устройства(мобильное, копьютер и т.д) И антивир-файервол перепроверяет необходимость и достаточность данного запроса и производит действия… Я готов платить за такую фичу, доступную для моего ресурса.kahi4, Слишком большой зоопарк типов атак,
Если в мною прочитанных статьях существует и перечисленные эти возможности, очевидно можно выработать и свою политику на каждый из таких методов. Программа это не телефонистка 60-x годов, перетыкающая вручную штекеры. И меня интересует пока именно ботнет
Речь идёт за то, что неплохо иметь такую услугу. Она достаточно близка по организации и востребованности к авторизации из соцсетей…
Хочешь контингент пользователей с быстрой авторизацией, плати маленькую денежку и пользуйтесь!
Тут аналогично: Есть нужда в защите от ботнета? — Плати и пользуйся!
ollisso
Почему вы решили что ддос идёт с комьпютеров на которых установлены антивирусы и на которых обновляется брандмаузер виндовс? :)
Рекомендую изучить — откуда вообще идёт ддосы.
Моё мнение:
1. комьютеры которые не обновляются (виндовс апдейт отключён). — заражение через дырки
2. заражают например модемы (да, они достаточно умные теперь)
3. заражают через вирусы которые юзер получает при хождении по интернету, флешках и тп.
4. обычно заражают компьютеры людей которые мало разбираются в компьютерах и в любом случае не смогут прочитать подобное сообщение.
5. Часто компьютеры заражены где нибуть «в китае», где компьютерная грамотность может быть ещё меньше.
Чем ваш способ поможет в этих случаях?
ollisso
В Финляндии столкнулся с подобным способом решения:
Когда провайдер замечает (не ясно как), что компьютер клиента занимается рассылкой спама или же учавствует в ддос атаке, то провайдер просто временно отключает интернет.
Об подобном отключении юзера извещают письмом (бумажным), по домашнему адресу.
Для того чтобы включить интернет обратно — нужно позвонить по указанному номеру телефона и попросить включить интернет обратно. В ответ попросят удостовериться что у клиента есть антивирус и что он рабоатет :)
Если повторно будет повторная проблема — то опять отключат.
Подобная ситуация была у одного моего клиента.
Biblusha
Далеко ходить за примером не надо. В городе Пенза, был провайдер «Пенза-Телеком». Если они замечали подозрительную активность — отключали от интернета. Но внутри сети был сайт на котором можно было посмотреть список отключённых ip-адресов.
По звонку провайдеру снова включали (убедившись, что проблема устранена).
Ложные срабатывания были, когда Counter-Strike искал глобальные сервера. Так же отключали за использование nmap и подобных программ. В целом неудобства не возникало.
P.S. после поглощения «Пенза-Телеком» компанией МТС, подобная фича пропала.
Defff
Я не решил, что ддос идётс комьпютеров на которых установлены антивирусы и на которых обновляется брандмаузер виндовс
Я предположил, чтобы авторы(компании) данных программных продуктов
a) Имеют сведения о трафике текущего пользователя и их может заинтересовать расширение возможностей и блокировки Ддос по запросу от зарегистрированных на услугу сайтов
ollisso
Если авторы(компании) данных программных продуктов имеют сведения о трафике текуших пользователя — то они должны мочь предотвратить возможность ддоса с этого компьютера в принципе :)
Зачем нужен антивирус и файрвалл который не может предотвратить ддос с компьютера на котором они установлены?