Будьте в курсе событий

Вышла версия 110901 (от 1 сентября 2011 года)

Главная » Новости » Вышла версия 110901 (от 1 сентября 2011 года)

Список изменений в версии 110901 Impera CMS.

1. Автоконтроль за списком модулей. Теперь при отсутствии записей о модулях движок сам прописывает недостающие.

2. На стороне клиента работают всплывающие инструменты администратора. Они сделаны более компактными и удобными.

3. Вычищен модуль товаров. Добавилась возможность загружать в товар сопутствующие файлы: документация, сертификаты и тому подобное (до следующей версии пакета из админпанели со страницы списка товаров изъят корректор на доработку и на клиентской стороне на странице товара пока не выводится блок "Файлы").

4. Изменения в адресном поле особых URL. Теперь особый URL уступает приоритет, если на сайте размещен файл с таким же именем. Соответственно стали беспрепятственно доступны все картинки, документы, таблицы стилей, скрипты и прочее, которые раньше оказывались накрытыми полем адресов особых URL.

5. Добавлен инспектор распределенных атак "Отказ в обслуживании". Основная функция - снизить нагрузку на сайт при DDoS-атаке запросами его страниц. Вторичная функция - устранить возможность атаки на разрастание сеансовых файлов.

Принцип такой атаки прост и крайне эффективен, особенно против сайтов на базе хостинга. Атакующий посылает в контролируемую им бот-сеть (множество скрытно зараженных пользовательских компьютеров) команду какой сайт атаковать, как сильно, сколько времени и когда начать. В заданный момент все X невольных участников бот-сети начинают открывать каждый по Y страниц (url) атакуемого сайта. В результате нагрузка на сайт возрастает в X*Y раз, его пропускной канал заполняется множеством http-запросов в сторону сайта и еще более емких ответных данных в сторону запросившего. Как правило, в течение получаса сайт становится недоступен всему интернету, пока не окончится атака.

Защититься от DDoS-атак порой сложно, ведь описанная выше разновидность не единственная и, можно сказать, самая "легкая" для атакуемого. Защищаются по-разному: это может быть и установленное на сервере специальное ПО, и фильтрация трафика через сторонние сервисы. Соответственно бюджет защиты начинается от 150$ в месяц.

Реализованный в движке инспектор DDoS-атак является нормальной альтернативой. Идея защиты заключается в том, что сайт магазина посещают люди по собственной воле, а атакующие запросы из бот-сети следуют без ведома человека, работающего на инфицированном компьютере. Инспектор атак следит за IP-адресами, посещавшими сайт в последнее время. При обнаружении нового IP вместо выдачи реальной страницы ему выводится форма верификации в духе Captcha (защитный код). 5 раз неправильного ввода кода или повторного запроса той же страницы (формы верификации) приводят к немедленному блокированию IP на 15 минут. Соответственно вирус, скрытно от владельца компьютера открывающий страницы атакуемого сайта, не проходит этот барьер и блокируется.

Сама блокировка реализована динамическим изменением правил в файле http://ваш_сайт/.htaccess, чтобы не грузить сайт малоэффективной блокировкой средствами PHP. В силу чего атрибуты файла .htaccess должны позволять запись в него.

Если же визитер - обычный посетитель сайта, он проходит форму верификации и далее работает с сайтом свободно (повтор верификации возможен либо при смене IP, либо при непосещении сайта более 2 недель). Касаемо прошедших верификацию инспектор атак лишь наблюдает в упрощенной форме за их активностью. В случае обнаружения на небольшом интервале времени устойчивой активности свыше 20 запросов в секунду посетитель блокируется на 15 минут как подозрительный.

По понятным причинам инспектор атак толерантен к поисковым роботам, им разрешен любой уровень активности, их никогда не блокируют. У инспектора есть перечень поисковых систем, и он запросами в DNS сам определяет, принадлежит ли зашедший IP поисковикам. Сейчас в этот список входят Апорт, Google, MSN, Рамблер, Yahoo, Яндекс (если не затруднит, порекомендуйте свои добавки в список).