Tundr писал(а):

Зато теперь сайты входят в сотню самых популярных по версии рамблера и маил.ру (короче счетчики у них говно)

Это ботнет живых компьютеров. Браузеры юзеров содержат вредоносный плагин, поэтому открытие страницы полностью соответствуют открытию страницы живого пользователя.

Magz писал(а):

У нас со вчерашнего дня заблокировано более 17 000 адресов. Атака не очень сильная, но отличается большей "интеллектуальностью" - бьют по разным страницам, запрашивают картинки и JS-скрипты, т.е. пытаются эмулировать работу реального пользователя.

В предыдущей атаке было все абсолютно также. Логика достаточно простая: открывается главная, парсятся ссылки и потом случаным образом открываются ссылки 2-го уровня.
Отличная хитрость по выявлению ботнета - создать на главной странице большое количество скрытых ссылок, открытие которых фиксирует IP-адрес как участника DDOS.

Победили DDOS. Текущий load average 0.65.
Каждые 5 секунд фильтруем новые IP и баним на фаерволе.
На текущий момент в базе около 26 тысяч IP-адресов (баним исключительно по IP, сохранив тех кто атаковал сайт в прошлый раз).

зафильтровано около 20к адресов
отдача статической заглушки грузила восьмиядерную систему на 80%

личное мнение: заказчик наверное не связан с хостинг-услугами.....скорее это тест-драйв удельной работоспособности сайтов.
через месяцок-другой когда запустятся новый проект или старый изменится атаки повторятся с новой силой.