Konfiguracja na atak DDoS

[malu 460]

Co ma konfiguracja samego serwera do obrony przed DDoS?

Edytowano Luty 13, 2012 przez malu (zobacz historię edycji)

[LANcaster (kotkowicz.pl) 52]

Co ma konfiguracja samego serwera do obrony przed DDoS?

 

Chociażby to, że przy mocno zoptymalizowanym serwerze, część ataków DDoS nie robi większego wrażenia?

Chociażby to, że odpowiednio skonfigurowane iptables, sporą część ataków DDoS po prostu wytnie?

[malu 460]

Chociażby to, że przy mocno zoptymalizowanym serwerze, część ataków DDoS nie robi większego wrażenia?

Chociażby to, że odpowiednio skonfigurowane iptables, sporą część ataków DDoS po prostu wytnie?

 

Muszę się niestety nie zgodzić, albo uznać, że słowo część lepiej brzmi, aniżeli prawie żaden.

Co najwyżej drobny atak DDoS może zostać złagodzony poprzez optymalizacje, bo ona sama nic nie daje, nie zapewniając sporych nadmiarowych zasobów.

Co do konfiguracji iptables, istotnie ładna bajka, ale chyba nie widziała żadnego prawdziwego ataku typu DDoS.

Reasumując, potrzebne są nadmiarowe zasoby, a podczas samego ataku wszystkie cudowne firewalle mogą co najwyżej pomóc w obronie, ale na pewno nie są gwarantowanym rozwiązaniem.

[LANcaster (kotkowicz.pl) 52]

Muszę się niestety nie zgodzić, albo uznać, że słowo część lepiej brzmi, aniżeli prawie żaden.

Co najwyżej drobny atak DDoS może zostać złagodzony poprzez optymalizacje, bo ona sama nic nie daje, nie zapewniając sporych nadmiarowych zasobów.

Co do konfiguracji iptables, istotnie ładna bajka, ale chyba nie widziała żadnego prawdziwego ataku typu DDoS.

Reasumując, potrzebne są nadmiarowe zasoby, a podczas samego ataku wszystkie cudowne firewalle mogą co najwyżej pomóc w obronie, ale na pewno nie są gwarantowanym rozwiązaniem.

 

Zdefiniuj nadmiarowe zasoby - w wielu wypadkach wystarczy dobrze skonfigurowany varnish dostarczający statyczny content z pamięci a nie z dysku. Do tego nie trzeba terabajtów ramu - w większości wypadków wystarczy 256-512MB. To raczej nie są nadmiarowe zasoby na produkcyjnym serwerze, szczególnie że benefity są znaczne. Nie oszukujmy się, ale 90% ataków DDoS obecnie, to script kiddie, korzystający z LOICa, którzy wysyłają pierdyliard zapytań HTTP do serwera. Uważasz, że tak trudno to wyciąć iptables i mod_security?

[Lan Hikari 3]

Zdefiniuj nadmiarowe zasoby - w wielu wypadkach wystarczy dobrze skonfigurowany varnish dostarczający statyczny content z pamięci a nie z dysku. Do tego nie trzeba terabajtów ramu - w większości wypadków wystarczy 256-512MB. To raczej nie są nadmiarowe zasoby na produkcyjnym serwerze, szczególnie że benefity są znaczne. Nie oszukujmy się, ale 90% ataków DDoS obecnie, to script kiddie, korzystający z LOICa, którzy wysyłają pierdyliard zapytań HTTP do serwera. Uważasz, że tak trudno to wyciąć iptables i mod_security?

 

Gdyby to było tak proste, nikt nie przejmowałby się tego typu atakami, które do tej pory stanowią problem przy Twoich założeniach wystarczyłby prosty skrypcik i nikt nie bawiłby się ręcznie z powstrzymaniem DDoS. Niestety tutaj iptables Ci pomoże tylko w przypadku, gdy atak jest generowany przez niewielką ilość nastolatków, ale z drugiej strony, taki atak zapewne nie przeszkodzi też w działaniu strony, więc to wielkiego znaczenia nie ma.

To o czym mówisz miałoby sens, gdyby serwery miały nieograniczony up/down, a atak dotyczył przeciążenia sprzętu. Jednakże w omawianym przypadku, mówiąc o DDoS, mamy na myśli ciut większy botnet. Nawet jeśli serwer nie odpowiada na zapytanie, bo użyłeś iptables, to i tak pakiety zapychają łącze. Dostępu do serwera nie ma, nie z powodu przeciążenia maszyny, a łącza i wtedy możesz sobie nagwizdać Zapewne malu mówiąc o nadmiarowych zasobach, mówił o łączu.

Pozdrawiam

Edytowano Luty 13, 2012 przez Lan Hikari (zobacz historię edycji)

[furek 37]

od kiedy

Zdefiniuj nadmiarowe zasoby - w wielu wypadkach wystarczy dobrze skonfigurowany varnish dostarczający statyczny content z pamięci a nie z dysku. Do tego nie trzeba terabajtów ramu - w większości wypadków wystarczy 256-512MB. To raczej nie są nadmiarowe zasoby na produkcyjnym serwerze, szczególnie że benefity są znaczne. Nie oszukujmy się, ale 90% ataków DDoS obecnie, to script kiddie, korzystający z LOICa, którzy wysyłają pierdyliard zapytań HTTP do serwera. Uważasz, że tak trudno to wyciąć iptables i mod_security?

 

Od kiedy Loiciem to jest ddos?

Widziałeś w ogóle kiedyś atak ddos? po tym co piszesz najwyraźniej nigdy go nie widziałeś.

Atak ddos jest tylko i wyłącznie wtedy kiedy są używane pakiety UDP a nie TCP.

I przed atakiem ddos nic nie zrobisz czy to będzie iptables czy inne źródło jedyna opcja to ISP może wyciąć ze swojej strony i to jeszcze kolejny przed nim.

 

Możesz oczywiście go zmniejszyć, ale nigdy zablokować.

A to o czym Ty piszesz to jest DOS czyli sztuczny tłok dla www.

Edytowano Luty 14, 2012 przez furek (zobacz historię edycji)

[LANcaster (kotkowicz.pl) 52]

Od kiedy Loiciem to jest ddos?

Widziałeś w ogóle kiedyś atak ddos? po tym co piszesz najwyraźniej nigdy go nie widziałeś.

Atak ddos jest tylko i wyłącznie wtedy kiedy są używane pakiety UDP a nie TCP.

 

Ciekawostka przyrodnicza. Możesz jakieś źródło zapodać, czy tylko tak Ci się wydaje?

 

"DDoS (ang.Distributed Denial of Service – rozpowszechniona odmowa usługi) – atak na system komputerowy lub usługę sieciową w celu uniemożliwienia działania poprzez zajęcie wszystkich wolnych zasobów, przeprowadzany równocześnie z wielu komputerów (np. zombie)."

 

 

 

Atak DDoS to każdy atak skutkujący zablokowaniem usługi, a który jest atakiem rozproszonym. I nie ma znaczenia, czy będą to setki nastolatków atakujących LOICiem, czy gość z botnetem, używający smurfa. I o ile faktycznie przed smurfem i pochodnymi nie jest łatwo się obronić, to wnioskuję z opisu tematu, że zleceniodawcy chodziło o zabezpieczenie przed najpopularniejszymi formami ataku. A te jest wyciąć stosunkowo łatwo.

 

Co do Loica natomiast, chodziło mi o grupę, która ustala sobie cel i atakuje z kilkunastu komputerów - vide - ostatnie ataki na strony rządowe.

Edytowano Luty 14, 2012 przez LANcaster (kotkowicz.pl) (zobacz historię edycji)

[malu 460]

Nadmiarowe zasoby, tego niestety nie da się zdefiniować, bo zależy to od potrzeb serwisów, które trzeba bronić.

Ty mówisz o powstrzymaniu jednostkowych ataków, które łatwo wykryć, bo po prostu generują dużą ilość zapytań jednocześnie i poszczególne adresy IP się wyróżniają i różne gadżety wyłapujące nadmiarową ilość zapytań bardzo pomaga. Jednak, nawet w tym przypadku, pojawia się problem łącza, gdyż nawet wycięcie adresów IP nie powoduje nie dostarczanie pakietów do serwera i łącze pozostaje wysycone, więc przede wszystkim należy zacząć od zapewnienia nadmiarowego łącza. W obecnych czasach 100Mbps bardzo łatwo wysycić, a serwerownie nie kwapią się do blokowania atakujących adresów IP, bo jest to zazwyczaj niezgodne z ich polityką.

Aby utrzymać serwer przy działaniu w takim przypadku pomoże Ci tylko odcięcie danego adresu IP.

[McNeal 57]

@malu masz tu całkowitą rację że serwerownie a w moim przypadku operatorzy węzłów mają to w nosie... i przypomnę sobie jeden malutki incydent z około 4 lat wstecz gdzie przy łaczu TPnet 100M, około 60 adresów IP zatkało interface do nas a przychodzące zapytania generowały na węzle co się pozniej dowiedziałem ponad 600Mbps ruchu i na nic nie zda się tu optymalizacja, firrewalle itp.. czy jakiekolwiek inne walki na danej maszynie...

[furek 37]

Dokładnie.

[B0FH 3]

Muszę się niestety nie zgodzić, albo uznać, że słowo część lepiej brzmi, aniżeli prawie żaden.

Co najwyżej drobny atak DDoS może zostać złagodzony poprzez optymalizacje, bo ona sama nic nie daje, nie zapewniając sporych nadmiarowych zasobów.

Co do konfiguracji iptables, istotnie ładna bajka, ale chyba nie widziała żadnego prawdziwego ataku typu DDoS.

Reasumując, potrzebne są nadmiarowe zasoby, a podczas samego ataku wszystkie cudowne firewalle mogą co najwyżej pomóc w obronie, ale na pewno nie są gwarantowanym rozwiązaniem.

 

bzdury gadasz, walnij ddosem w zamkniety port, a walnij w otwarty - sprawdz roznice, a to, ze ci moze zapchac rurke to chyba wiecej jak oczywiste, DDoS z 20 komputerow i z 2mln to tez DDoS, jesli nie masz dobrej konfiguracji na serwerze to dyski ci padna przy ataku DDoS, takie sytuacje juz widzialem przy ruchu pol giga

Edytowano Luty 14, 2012 przez B0FH (zobacz historię edycji)

[lukaschemp 27]

Panowie, nie da się ukryć, że dobry DDoS powoduje odcięcie serwera/usługi i tyle. Więc wszystko zależy od skali, a nie od optymalizacji i blokad na firewallu czy w inny sposób.

[malu 460]

bzdury gadasz, walnij ddosem w zamkniety port, a walnij w otwarty - sprawdz roznice, a to, ze ci moze zapchac rurke to chyba wiecej jak oczywiste, DDoS z 20 komputerow i z 2mln to tez DDoS, jesli nie masz dobrej konfiguracji na serwerze to dyski ci padna przy ataku DDoS, takie sytuacje juz widzialem przy ruchu pol giga

Skoro mówisz, że bzdury gadam, to sugeruje nauczyć się czytać ze zrozumieniem, bo jeżeli jesteś administratorem to nad wyraz przydatna umiejętność. Nigdzie nie mówiłem, że to nie ma różnicy pomiędzy ruchem przyjętym, a zablokowanym. Mówię, że tak czy siak pakiety pomiędzy serwerami będą latały, a w dużej ilości są one w stanie tak samo przytkać łącze, więc bez interwencji DC, które zablokuje ruch na własnym firewallu nic nie da. Jeżeli tego nie potrafisz zrozumieć, to Twój problem, przyjmij, że gadam bzdury. ; )

Panowie, nie da się ukryć, że dobry DDoS powoduje odcięcie serwera/usługi i tyle. Więc wszystko zależy od skali, a nie od optymalizacji i blokad na firewallu czy w inny sposób.

Dokładnie.

[LANcaster (kotkowicz.pl) 52]

Nadmiarowe zasoby, tego niestety nie da się zdefiniować, bo zależy to od potrzeb serwisów, które trzeba bronić.

Ty mówisz o powstrzymaniu jednostkowych ataków, które łatwo wykryć, bo po prostu generują dużą ilość zapytań jednocześnie i poszczególne adresy IP się wyróżniają i różne gadżety wyłapujące nadmiarową ilość zapytań bardzo pomaga. Jednak, nawet w tym przypadku, pojawia się problem łącza, gdyż nawet wycięcie adresów IP nie powoduje nie dostarczanie pakietów do serwera i łącze pozostaje wysycone, więc przede wszystkim należy zacząć od zapewnienia nadmiarowego łącza. W obecnych czasach 100Mbps bardzo łatwo wysycić, a serwerownie nie kwapią się do blokowania atakujących adresów IP, bo jest to zazwyczaj niezgodne z ich polityką.

Aby utrzymać serwer przy działaniu w takim przypadku pomoże Ci tylko odcięcie danego adresu IP.

 

Chyba oczywiste w wypadku tego typu zlecenia, jest optymalne skonfigurowanie serwera, mające na celu wycięcie możliwie dużej ilości ataków, prawda? Nie pisałem o wszystkich atakach DDoS, a o ich sporej części. 90% ataków jest do wycięcia, do pozostałych 10% wymagana jest interwencja speców z DC, którzy wytną to na routerach brzegowych. Nie wiem, jakimi usługami administrujecie, ale mimo sporych serwisów, od dawna (2003r.) nie spotkałem ataku DDoS, którego nie mogłem wyciąć u siebie. Ale widocznie moi zleceniodawcy narażają się tylko znudzonym małolatom.

 

Dokładnie.

 

To jak z tym źródłem? Pochwalisz się, gdzie wyczytałeś, że DDoS to tylko UDP?

 

Panowie, nie da się ukryć, że dobry DDoS powoduje odcięcie serwera/usługi i tyle. Więc wszystko zależy od skali, a nie od optymalizacji i blokad na firewallu czy w inny sposób.

 

Kluczowym wyrazem tutaj jest tu DOBRY. ;-)

[lukaschemp 27]

Nie wiem skąd masz takie statystyki, że 90% jest do wycięcia. Uważam inaczej, jak jest DDoS i jest odczuwalny to niewiele sam zrobisz na serwerze. Piszę tylko i wyłącznie z mojego doświadczenia, a przeżyłem już kilka. Co do pomocy DC to jest różnie, jedni Cie oleją inni zareagują.

[Misiek08 285]

Przecież takiego ataku się nie da wyciąć. Dodatkowo jeśli atak DDoS (suma łączy atakujących) przewyższy łącze do DC to nic się nie da zrobić. Przecież całe łącze wchodzące będzie i tak zajęte do ścian DC. To może wyciąć tylko ISP (ktoś już to pisał) i tylko ISP atakującego/atakujących.

[LANcaster (kotkowicz.pl) 52]

Nie wiem skąd masz takie statystyki, że 90% jest do wycięcia. Uważam inaczej, jak jest DDoS i jest odczuwalny to niewiele sam zrobisz na serwerze. Piszę tylko i wyłącznie z mojego doświadczenia, a przeżyłem już kilka. Co do pomocy DC to jest różnie, jedni Cie oleją inni zareagują.

 

Z administrowania kilkoma dziwnymi usługami - gra dość wrażliwa politycznie, która non-stop jest atakowana z Rosji, jasnet.pl - który w Jastrzębiu jest znienawidzony i był atakowany kilkadziesiąt razy dziennie, mypolacy.de - gdzie też niejeden DDoS się zdarzył, a w 2007 nasza-klasa.pl, która też bywała regularnie atakowana. Na 276 ataków, w 21 wypadkach była potrzebna interwencja DC.

 

Przecież takiego ataku się nie da wyciąć. Dodatkowo jeśli atak DDoS (suma łączy atakujących) przewyższy łącze do DC to nic się nie da zrobić. Przecież całe łącze wchodzące będzie i tak zajęte do ścian DC. To może wyciąć tylko ISP (ktoś już to pisał) i tylko ISP atakującego/atakujących.

 

I to jest dobry DDoS. Aczkolwiek, nadal nie wiem, skąd przyjęcie założenia, że każdy DDoS to dobry DDoS.

Prosty przykład z ostatnich tygodni - kilka dni temu pojawił się raport CERTu odnośnie DDoS na polskie strony rządowe rzekomo nakręcony przez Anonymous. Ilu z was stwierdzi, że był on nie do wycięcia? ;-)

[lukaschemp 27]

Bo pisząc o DDoS'ie zwykle doprowadza on do sporych problemów z dostępem do usługi/serwera. Nikt nie pisze, ani nie płacze jak wszystko działa nawet jak jest "lekko" atakowany. My administratorzy możemy widzieć i takie małe ataki, natomiast jeśli ktoś ma serwer, a nie jest administratorem to w większości przypadków nawet tego nie zauważy jeśli wszystko mu działa. Płacz zaczyna się jak jest problem i brak dostępu.

[McNeal 57]

le najlepsiejszy jest własny KRET

[LANcaster (kotkowicz.pl) 52]

Bo pisząc o DDoS'ie zwykle doprowadza on do sporych problemów z dostępem do usługi/serwera. Nikt nie pisze, ani nie płacze jak wszystko działa nawet jak jest "lekko" atakowany. My administratorzy możemy widzieć i takie małe ataki, natomiast jeśli ktoś ma serwer, a nie jest administratorem to w większości przypadków nawet tego nie zauważy jeśli wszystko mu działa. Płacz zaczyna się jak jest problem i brak dostępu.

 

Trafnie to ująłeś. My administratorzy. Zleceniodawca, który założył ten wątek raczej nie jest administratorem, dlatego też pisanie, że serwera się nie da zabezpieczyć i to bezcelowe, zakrawa na absurd. Gość prosi o optymalizację i możliwie skuteczne zabezpieczenie przed atakami DoS/DDoS, a to jest do zrobienia. Defaultowo skonfigurowany serwer nie jest zabezpieczony nawet przed małymi atakami.

[furek 37]

Chyba oczywiste w wypadku tego typu zlecenia, jest optymalne skonfigurowanie serwera, mające na celu wycięcie możliwie dużej ilości ataków, prawda? Nie pisałem o wszystkich atakach DDoS, a o ich sporej części. 90% ataków jest do wycięcia, do pozostałych 10% wymagana jest interwencja speców z DC, którzy wytną to na routerach brzegowych. Nie wiem, jakimi usługami administrujecie, ale mimo sporych serwisów, od dawna (2003r.) nie spotkałem ataku DDoS, którego nie mogłem wyciąć u siebie. Ale widocznie moi zleceniodawcy narażają się tylko znudzonym małolatom.

 

 

 

To jak z tym źródłem? Pochwalisz się, gdzie wyczytałeś, że DDoS to tylko UDP?

 

 

 

Kluczowym wyrazem tutaj jest tu DOBRY. ;-)

 

 

ja nie muszę tego czytać.

Bo w swoim życiu jak długo już jestem miałem wiele ataków DDOS i wiem co jak lata i gdzie lata.

I nie bazuj na tym co ktoś napisał w WIKI bo bzdur wiele można tam zobaczyć.

Zrób sobie sam test i zddosuj siebie to najlepiej się przekonasz

 

Tak czy inaczej jak już wcześniej niektórzy pisali nie ma możliwości zabezpieczyć się przed DDOSEM.

Można go tylko złagodzić a tym bardziej iprablesem nie można.

Iptables robi operacje na kernelu więc czy chcesz czy nie i tak on do Ciebie dojdzie.

Jak już robić obronę to tylko i wyłącznie na sieciówce przez uwalanie routingu dla danego denata.

[LANcaster (kotkowicz.pl) 52]

ja nie muszę tego czytać.

Bo w swoim życiu jak długo już jestem miałem wiele ataków DDOS i wiem co jak lata i gdzie lata.

I nie bazuj na tym co ktoś napisał w WIKI bo bzdur wiele można tam zobaczyć.

 

Po prostu bzdurzysz kolego. Mogę podać Ci kilkanaście innych źródeł, o znacznie większej renomie niż Wiki, które twierdzą, że DDoS to nie tylko pakiety UDP, a każdy atak pochodzący z więcej niż jednego źródła, a powodujący zablokowanie dostępu do usługi.

 

O ile angielski nie stanowi dla Ciebie problemu: http://www.us-cert.g...s/ST04-015.html

 

I cytat z książki: "DDoS traffic may consist of relatively easily identified bogus packets, or properly-formed and seemingly legitimate “requests for service.” This flood of traffic is intended to exceed the capacity of either the network bandwidth or the computer resources of the targeted server, or both, thereby making the service unavailable to most or all of its legitimate users, or at least degrading performance for everyone."

 

A tu definicja z White Papers Verisignu: "A denial-of-service (DoS) attack occurs when traffic is sent from one host to another computer with the intent of disrupting an online application or service. A distributed denial-of-service (DDoS) attack occurs when multiple hosts (such as compromised PCs) are leveraged to carry out and amplify an attack. Attackers usually create the denial-of-service condition by either consuming server bandwidth or by impairing the server itself. Typical targets include Web servers, DNS servers, application servers, routers, firewalls, and Internet bandwidth." (źródło: http://www.verisigni...epaper-ddos.pdf) (zauważ, że przepustowość jest jednym z wielu targetów, który notabene najtrudniej jest osiagnąć)

 

I wciąż będę się upierał, że jest możliwość zabezpieczenia się przed sporą ilością ataków, które nie wysycają łącza, a inne zasoby atakowanego serwera. Nie wiem czy zauważyłeś, że ja nie przeczę temu, że są ataki których nie da się powstrzymać bez współpracy DC, ale to jest mniejsza część ataków.

Edytowano Luty 15, 2012 przez LANcaster (kotkowicz.pl) (zobacz historię edycji)

[furek 37]

Po prostu bzdurzysz kolego. Mogę podać Ci kilkanaście innych źródeł, o znacznie większej renomie niż Wiki, które twierdzą, że DDoS to nie tylko pakiety UDP, a każdy atak pochodzący z więcej niż jednego źródła, a powodujący zablokowanie dostępu do usługi.

 

I wciąż będę się upierał, że jest możliwość zabezpieczenia się przed sporą ilością ataków, które nie wysycają łącza, bo sporą część takich ataków wycinam (które uwalają defaultowo skonfigurowany serwer, chociażby przez znaczny wzrost iowait).

 

Ehh.. o ile się chcesz założyć?

Że gówno zrobisz?

Możemy się bardzo szybko przekonać.

[LANcaster (kotkowicz.pl) 52]

Ehh.. o ile się chcesz założyć?

Że gówno zrobisz?

Możemy się bardzo szybko przekonać.

 

W poniedziałek będę miał luźny serwer, na którym nie stoją żadne usługi klientów. Nie widzę problemu - tak przy okazji, znalazłeś już to źródło, które twierdzi, że DDoS, to tylko UDP flood? ;-)

 

I jak rozumiem, serwerów swoich klientów nie zabezpieczasz przed ataki DDoS, bo się nie da? ;-)

Edytowano Luty 15, 2012 przez Gość (zobacz historię edycji)

[furek 37]

Ok, daj mi znać w poniedziałek jak już będziesz miał serwer