ddos na vps

[amator 2]

Witajcie

 

Co prawda nie ja mam problem ale mój znajomy. Posiada vps-a w wiredtree i cyklicznie, raz na kilka miesięcy ma totalny przestój z serwisem. Niestety, trwa on zazwyczaj kilka dni, podobno w tym czasie support wytrwale walczy z problemem ale nie wiem czy te zapewnienia coś znaczą... Czy realne jest to, żeby w przypadku ataku na vps-a przestój trwał (jak teraz) od niedzieli? Może to zła konfiguracja ich serwerów itp.

 

Ataki wyglądają w ten sposób, że jest po prostu mnóstwo zapytań na sekundę... leci transfer, łącze nie wyrabia, serwis w rezultacie nie działa. Moglibyście coś poradzić lub przynajmniej uspokoić, że jest to normalne i walka z ddos-em może tyle trwać...

 

Z góry dzięki za pomoc.

[amator 2]

cloudflare nie wydołał... już tego próbował użyć

 

Niestety, jest to chyba zarządzany vps, może nawet hybryda z ich oferty, nie wiem dokładnie. Raczej nie oszczędza na serwerach itp. szuka najlepszych rozwiązań... na wht.com mu tą firmę widocznie polecono...

 

Znalazłem nawet jego stary wątek - http://www.webhostingtalk.com/archive/index.php/t-1003865.html

 

 

Nie wiem, przykro patrzeć jak strona cyklicznie co kilka miesięcy leży przez 3-5 dni, zastanawia mnie to po prostu. Wydaje mi się, że support w ciągu doby powinien potrafić uporać się z tego typu problemami... Przecież można wyciąć/zbanować połączenia/ip...

[amator 2]

Powoli wygląda na to, że ten hosting nie jest najwyższych lotów... Dałem mu radę odnośnie wycięcia tego ruchu, podobno odpisali mu, że nie mogą tego zrobić. Dziwna sprawa, nawet jak teraz czytam ten jego stary wątek (problem jest ten sam, od tamtego momentu były 2 lub 3 takie ataki) to wydaje mi się, że chyba mają cienko zabezpieczone swoje maszyny. Po prostu czekają aż ataki ustaną i tyle...

 

Od niedzieli od południa strona jest niedostępna i końca nie widać. Gdyby to był jeszcze jakiś warez czy porno, jakieś śmieciówki... a to jest serwis dewelopera wordpress (komercyjne motywy), kilka tysięcy stałych klientów.

 

 

Odpowiedź supportu na forum wht.com (stary wątek, atak tego samego typu):

 

I would like to clarify a couple things. We _have_ been trying to help him filter the attack since the start. The attack is coming from many, many different IPs that are continuously changing, not just a single IP. The OP has been told this from the start and has been shown IPs than that have been blocked and also commands we ran on his server to do this in the ticket I am looking at, so I am not sure why he has decided to portray our response in this light. In the end, we are not a company who specializes in filtering DDOS attacks, nor do we claim to. We do give our best effort, like we did in this case, and most of the time that will resolve the issue until the attacks stops. Some attacks are simply larger or more complex and should be handled by specialists.

 

To jest normalne podejście, standardowe? Ma zarządzany hosting więc jego możliwości są ograniczone a support pisze o jakiś specjalistach...

Edytowano Czerwiec 22, 2011 przez amator (zobacz historię edycji)

[amator 2]

OK, może polecisz mi kogoś (sprawdzonego) kto przyjrzałby się temu problemowi z bliska (oczywiście za $), podobno ma dostęp root... Dałbym namiary na niego (znajomość angielskiego wymagana ).

 

Szuka firmy (tak mu wiredtree polecił) i koszt zaśpiewali 499$ za miesiąc (ochrona przed ddos)... Paranoja...

Edytowano Czerwiec 22, 2011 przez amator (zobacz historię edycji)

[kafi 2425]

Szuka firmy (tak mu wiredtree polecił) i koszt zaśpiewali 499$ za miesiąc (ochrona przed ddos)... Paranoja...

No sensowny sprzętowy firewall, który jest w stanie zagregować taki masowy ruch to spory wydatek, więc nie ma się co dziwić, że dla jednego problematycznego klienta nie będą tego 100% sponsorować, tylko odbiją sobie na kliencie. Szczerze mówiąc (nie wiem, jak to jest tam zrobione i jaka to usługa), to na miejscu firmy to bym nullroutował takie IP do czasu, aż ddos się uspokoi i właściwie tyle. Chyba, że klient zasponsoruje firewalla

[kafi 2425]

Na przykładzie mojej witryny dałem sobie radę z atakiem z około 56 adresów IP - nie bawiąc się w firewall, wyklikałem to w panelu coludflare.com

56 ataków to ciężko nazwać ddosem... Gdyby to była kwestia takiego wolumenu, to oni sami pewnie by to wyrżnęli na poczekaniu. Tu raczej mowa o paruset tysiącach połączeń z zupełnie różnych klas IPków. A tego sensownie przy iptables na VPSie się nie wyrżnie. Nie ma bata. Musi to być jakiś dedykowany frontendowy fw.

 

A poza tym pomyśl sobie, co ci da monitorowanie DNSów. Przecież większość implementacji resolverów cacheuje odpowiedzi. Ba. Rzadko zdarza się, aby klient-ZU był jednocześnie swoim resolverem. Więc raczej wyrżnięcie tych adresów nic ci nie pomoże... A w przypływie geniuszu wytniesz 8.8.8.8 i 194.204.159.1 (bo z nich np. będą częste odpytki) i będziesz narzekał że strona nie działa ci z połowy świata i połowy Polski...

[amator 2]

Powoli sytuacja stabilizuje się, dzięki za pomoc. Strona była niedostępna równo trzy doby, teraz jeszcze są przerwy ale wraca do normy. Szczerze, to mając na względzie, że to firma ze Stanów to jestem ogromnie zdziwiony ich podejściem... Rozumiem gdyby to był root serwer ale olać klienta zarządzanego hostingu to coś niesłychanego (może tylko dla mnie)... Nawet jeśli to jakiś wyjątkowy atak to powinni go w pierwszej kolejności rozwiązać i później np. rozwiązać/zmienić umowę (jeśli nie dają rady lub obawiają się o resztę klientów).

 

Odnośnie cloudflare to dostał od nich takie info, że z obawy o innych klientów na razie nie mogą/nie chcą pomóc, więc wcale nie jest tak różowo z tym rozwiązaniem. Inna sprawa, że może chodzi im o ciągłą ochronę a nie o dochodzenie tylko w przypadku ataku (wtedy faktycznie mogą mieć jakieś negatywne skutki dla całego interesu?)...

 

 

P.S. Jak wygląda w szczegółach atak ddos? Czy on idzie po dns-ach, ip czy domenie? Czy rozwiązaniem może być zmiana dns-ów i ip (takim rozwiązaniem na szybko)? Jeśli dobrze rozumiem to ktoś jakieś dane dla bota musiał wklepać, jeśli je zmienić to atak trafia w próżnię... Myślę dobrze czy źle?

[kafi 2425]

Przekierowujesz domenę na ich DNS które stanowią serwer-firewall a następnie wracają do twojej strony (w locie kompresują sporo rzeczy więc witryna wręcz minimalnie przyspiesza ) .

To raczej ty źle opisujesz coś, co być może realizowane jest inną technologią.

DNSy nigdy nie stanowią jakiegokolwiek firewalla. Bo serwer DNS nie widzi, kto tak w sumie pyta. Bo pyta resolver, który ma tam jakieś sobie IP niekoniecznie powiązane z userowym endpointem. Wycięcie na poziomie usługi dns [czy to zwracanie nxdomain, czy to nie zwracanie niczego] może być też realizowane tylko dla resolverów, a nie poszczególnych endpointów. Więc jakiekolwiek zliczanie odwołań przy pomocy analizy requestów DNS to wytnie... ale resolver googlowy czy tam tepsowy, bo z nich będzie lawina requestów.

 

Natomiast jeśli to, co opisujesz, to działa jako serwer proxy [i owe "przekierowanie domeny na ich dnsy" to przekierowanie na taki balancer/proxy] to wtedy owszem, co nieco można wyciąć. Dowcip tylko taki, że większość ddosów to jednak idzie kierowanych na adres IP a nie na domenę

[B0FH 3]

Zatrudnij administratora - niech przejrzy logi serwera, zainstaluje firewall'a i wytnie ruch który powoduje ddos.

 

 

ew. płatne usługi typu cloudflare.com

 

i co Ci to da? ataki DDoS wycina sie na routerach brzegowych i innych firewallach sprzetowych...