Google Analytics vs ddos ​​

Question

Что мне интересно, какое поведение Google Analytics показывает, когда происходит атака ddos? Любые теории?

Answer 1

Моя теория будет заключаться в том, что эффективная платформа/сценарий DDoS будет не включает в себя что-либо как тяжеловесное, как механизм JavaScript, и поэтому активность DDoS вообще не будет отображаться в Google Analytics.

Точка атаки DDoS - это подавление сервера потоком запросов. Любые циклы процессора, которые тратятся на оценку JavaScript в ответе, отправляемом сервером, - это циклы, которые лучше использовать, чтобы вызывать больше запросов на сервер. Я бы полностью ожидал, что правильно выполненная DDoS-атака не потеряет время, анализируя ответ от сервера или даже прочитывая его из основного сокета, не говоря уже о интерпретации и выполнении и JavaScript, которые могут быть встроены в разметку или выборку сценариев и других ресурсов от доменов, отличных от целевого сервера.

Конечно, это не исключает возможности исключительно наивной атаки DDoS, реализованной с использованием веб-фреймворков и библиотек, которые do оценивают встроенный JavaScript. Такая атака не была бы (или, вернее, не должна была, если вы правильно применили код сервера), но это, скорее всего, вызовет всплеск трафика Google Analytics.

Answer 2

Это зависит от способа реализации DDOS. Если это просто исполняемый файл, распространяемый на несколько компьютеров, делая простые HTTP-запросы с использованием собственных сокетов TCP, Google Analytics вообще ничего не заметит: поскольку возвращаемый JavaScript никогда не будет выполнен.

Однако другие виды атак DDOS могут использовать фактические браузеры, распространяемые на многих машинах. Например, если вы можете взломать домашнюю страницу Yahoo и вставить в нее <iframe src='takemedown.com'>, вы можете легко загрузить DDOS «takemedown.com». В этом конкретном сценарии GA наверняка обнаружит впечатления, и потому что (в зависимости от сценария) может быть тэг-реферер HTTP, вы могли бы запустить отчет в GA, который мог бы вывести подозрительные показы.

Но есть и другие подобные сценарии, которые не оставляют никаких следов. Например, если вы можете взломать учетную запись Леди Гаги, вы можете отправить ссылку на своих последователей 16MM, и значительное число сразу же щелкнет по ней: и поскольку большинство из тех, кто нажал на нее, вероятно, будут делать это из отдельного приложения, не было бы никакого тега referrer, и нет конкретного способа идентификации запросов.

Другими словами, все зависит от этого, но, вероятно, это не очень полезный способ исследовать. Во многих сценариях (большинство?) GA даже не распознает впечатление; и во многих других, не было бы разумного способа выбрать хорошие впечатления от плохого.

Answer 3

При возникновении атаки HTTP DDoS злоумышленник либо использует несколько (тысяч) компьютеров для этого. Иногда это также делается с серверами. Когда они делают запрос, они не отображают javascript или что-то еще - они просто в большинстве случаев просто делают запрос GET на веб-страницу.

Так нет, он не должен действительно оказывает влияние на GoogleAnalytics

Answer 4

Он будет отображаться 100% некоторые значительные пики в Google Analytics, просто потому, что существует огромное количество запросов от нескольких источников, имеющих огромный отскок ставка !