השתתפות בפיילוט ראשוני של מערכת להגנה נגד הצפות
 

אתרים רבים נפגעים מהצפות - זה גורם לעומס על מסדי הנתונים ועל השרת, לאיטיות עבור הגולשים - וכו'.

הבעייה העיקרית היא שאין שום דרך מוכחת להגן מפני התקפות כאלה. חברות גדולות ברמה עולמית מציעות פתרונות חלקיים - שלא תמיד עוזרים, ועולים הרבה מאוד.


אני עבדתי בזמן האחרון על מערכת שאמורה לזהות התקפות מהסוג הזה ולחסום אותם - כמובן, שאין שום חסימה מלאה, אך היא אמורה להגן על אתרים בקנה מידה קטן עד בינוני (פחות מ-15,000 גולשים שונים ביום).
המערכת פועלת עם דגש על מהירות ויעילות. המערכת כמעט ולא לוקחת משאבים, וביצוע הפעולות לוקח פחות מעשרת-אלפית השניה (0.0001).

בנוסף, המערכת פועלת על מסד נתונים נפרד (SQLite) בשביל יציבות מקסימאלית - גם במידה ומסד הנתונים של אתרכם יקרוס, המערכת תמשיך בהגנתה.

ברגע שהמערכת תזהה התנהגדות חשודה מ-IP מסויים, היא תחסום אותו.

המערכת לא מתמקדת בהתקפות שמטרתם היא אך ורק "לשרוף תעבורה".



אני מחפש בעלי אתרים עם מעל ל-500 כניסות כדי להתחיל בניסויים ראשוניים של המערכת. אתם תקבלו בחינם תקופת ניסיון במערכת.

בזמן הניסוי הראשוני המערכת עדיין לא תחסום התקפות, אלא רק תאסוף מידע לשימוש עתידי כדי לוודא שלא יהיה מצב של זיהוי שגוי. לאחר הימים הראשונים מערכת נוספת תנתח את התוצאות כדי לבצע התאמה של הגדרות המערכת לסוג הגולשים באתרכם.

בעלי אתרים עם מעל ל-500 כניסות יחודיות ביום אשר מעוניינים להשתתף במערכת מוזמנים לשלוח לי ה"פ עם קישור לאתרם, מספר הכניסות היחודיות ביום - ואם אפשר גם פילוג משוער של הדפדפנים באתר.

שאלות בנושא.

יום טוב, דניאל.

באיזה רמה המערכת עובדת? ברמת האפליקציה או התקשורת?
(או במילים אחרות, אם המערכת כתובה למשל בPHP.. אז היא פחות יעילה, כי בשביל להפעול thred של php השרת צריך להקצות זכרון ומעבד על מנת לפתוח את הprocess ובנוסף.. אתה יכול רק להגיב לאחר שההתקפה הגיעה לשרת ופגעה בו)

זמן הפעולה שהצגת כאן, האם מדדת את הזמן גם כשהמערכת עמוסה עקב התקפה?

ההתקפות האלו מבוססות על יצירת תנועה מדומה לאתר ועל כך.. ניצול משאבי השרת עד תום - או במילים אחרות, למה אתה חושב שהSQL שלך לא יקרוס (או יעבוד לאט) כאשר (לדוגמא) הזכרון הפיזי בשרת יגמר והמערכת תשתמש בSWAP?

השאלות הם פשוט לאחר נסיון עשיר במערכת כאלו (או במילים אחרות, אל תפגע :) ) תראה בשאלות כהצעות פרקטיות לשיפור.

+1
מהרבה חרא שאכלתי בחודשים האחרונים |קורץ|

המערכת אכן כתובה ב-PHP כדי למנוע תלות של לקוח בבעל השרת. זה לא הפתרון האולטימטיבי אך בעזרת זאת כל אחד יכול להשתמש בזה.

זמן הפעולה נמדד כאשר המערכת אינה עמוסה עקב התקפה. בבדיקות של כ-100 חיבורים לשניה הזמן משתנה אך לא עובר את ה-0.01 זמן עיבוד למערכת.

המערכת מייצג cache (מטמון) של קובץ PHP בעל 2 פקודות בלבד שמטרתו, בעזרת מינימום משאבים, לחסום התקפות שכבר זוהו. בתוך הקובץ שמור מערך שמתעדכן במשך הזמן עם IPים חסומים. זה מייצג מבחינתי את ה"SWAP". למרות שבסופו של דבר מערך נשמר על הזיכרון הפיזי, אני יוצא מתוך נקודת הנחה שמערכת שלא פועלת כאפליקציה על השרת לא תוכל אף פעם להתמודד עם מצב לאחר שנגמר הזכרון. המערכת אמורה למנוע התקפה (או לפחות להאט אותה). התקפות מכוונות בסדר גודל גדול - אף מערכת ב-PHP (וכנראה גם אף מערכת שעל השרת עצמו) לא תוכל לחסום.

יש במערכת כבר תשתית לשילוב חסימה בקובץ ה-htaccess (מתוך הנחה שאם זה לא יחסם שם, המצב "אבוד") אך הבעייה היא שברגע שאני אתעסק עם הקובץ הזה, יש יותר סיכוי ל-corruption במידה והעדכון של החסימה מתבצע ב-realtime. ובמידה ואכן נוצר corruption (מצטער, לא מצאתי מונח מתאים בעברית) - הוא יכול לגרום לשיתוק האתר. לכן אני לא מעוניין להיכנס לזה.


אני מודה לך על תגובתך וחס וחלילה לא נפגע.
מכיוון שיש לך ניסיון עשיר, אשמח לדעת האם אוכל להתכתב איתך בה"פ למטרת הרחבת יעילות המערכת בזיהוי וחסימה של הצפות.

בכיף.. אני כאן (לפחות בשבועים הקרובים :) )

יש לי כמה אתרים עם מעל 3000 ייחודיים ביום ואשמח לנסות את המערכת (בתמורה לרישיון אח"כ כמובן) ולחוות דעה.

עד עכשיו פנו אליי 3 אנשים סך הכל. אני מחכה ל-5 לפחות כדי להתחיל את שלב הדגימה.