Skocz do zawartości
jensej

DOS, DDOS w Atmanie?

Polecane posty

Witam.

Czy ktoś wie jak wygląda sprawa zabezpieczenia serwerów przed atakami typu: DDos, Dos w Atmanie?

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Zależnie od wykupionej usługi. ATMAN oferuje możliwość wpięcia usługi za ich firewall, który pewne formy ataków wychwyci, polecam kontakt z handlowcem. Podstawowa usługa to łącze, w razie DDOS można zadzwonić do NOC i poprosić o wyłączenie tej czy innej usługi, położyć sesję, zwiększyć/obniżyć przepływność portu itp. itd.

Edytowano przez alien (zobacz historię edycji)

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Można też zakupić opcje firewall koszt 150 zł miesięcznie netto ( za serwer ), lub samemu kupić firewall ( po konsultacji z nimi ) i wysłać do nich aby podłączyli do serwera. W przypadku DDOS jeżeli sobie nie można poradzić oferują taką pomoc wycinając zakres ip. Pamiętaj iż atman oferuje też opcje pomocy administracyjnej odpłatnej jeżeli sobie z czymś nie poradzisz.

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Można też zakupić opcje firewall koszt 150 zł miesięcznie netto ( za serwer ), lub samemu kupić firewall ( po konsultacji z nimi ) i wysłać do nich aby podłączyli do serwera. W przypadku DDOS jeżeli sobie nie można poradzić oferują taką pomoc wycinając zakres ip. Pamiętaj iż atman oferuje też opcje pomocy administracyjnej odpłatnej jeżeli sobie z czymś nie poradzisz.

 

150zł za firewalla? Czy za serwer? Jeśli serwer to poprosiłbym linka.

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Firewall do danego serwera, dziś dzwoniłem do nich ( mam tam serwery ) i można taki firewall zamówić poprzez kontakt z pomoca techniczną w panelu klienta. Firewall jest wstępnie skonfigurowany a pozostała konfiguracja poprzez panel klienta ( jako dodatkowa opcja ). Możliwe iż na dniach taką usługę zamówię to dam znać jak się sprawuje.

Edytowano przez sshd (zobacz historię edycji)

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Ew. jest dosyć ciekawa usługa CloudFare, w czasie gdy jest atak DDOS można przełączyć na tryb I'm under attack i po prostu będzie blokowany dostęp + captcha(nie jestem do końca pewien jak to się odbywa, w każdym bądź razie jak przełączyłem to wołało o przepisanie kodu), a atak nie dotknie twojego serwera wink.png

Edytowano przez bartez119 (zobacz historię edycji)

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

CloudFlare to super rozwiązanie dla dostawców hostingu.

Można używać dużo słabszych maszyn, gdyż CF cache'uje nam strony i obniża ilość odwołań do głównego serwera WWW.

CF ukrywa także nasz prawdziwy adres IP przez co można uniknąć ataków typu DDoS.

CF pomaga w przenoszeniu się między serwerami (a raczej adresami), gdyż natychmiastowo aktualizuje sobie rekordy A.

 

CF przestaje jednak działać, gdy ktoś pozna nasz adres i będzie atakować bezpośrednio po nim, nie używając do tego celu nazwy hosta.

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

CloudFlare to super rozwiązanie dla dostawców hostingu.

Można używać dużo słabszych maszyn, gdyż CF cache'uje nam strony i obniża ilość odwołań do głównego serwera WWW.

CF ukrywa także nasz prawdziwy adres IP przez co można uniknąć ataków typu DDoS.

CF pomaga w przenoszeniu się między serwerami (a raczej adresami), gdyż natychmiastowo aktualizuje sobie rekordy A.

 

CF przestaje jednak działać, gdy ktoś pozna nasz adres i będzie atakować bezpośrednio po nim, nie używając do tego celu nazwy hosta.

 

tzn. ogólnie serwer miałby być przeznaczony do silnika gry z którym wypadało by się połączyć. W takiej sytuacji pewnie odpada to CloudFlare .

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

CF ukrywa także nasz prawdziwy adres IP przez co można uniknąć ataków typu DDoS.

Jeśli atakujący odkryje prawdziwy adres ip serwera to CloudFlare nie pomoże już w niczym.

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Nie żebym coś mówił, ale autor posta, który cytujesz wspomniał o tym samym co napisałeś wink.png Ale pamiętajmy, że CloudFlare nie ma w zamierzeniu ochrony przed atakami DDOS.

Edytowano przez bartez119 (zobacz historię edycji)

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Powiem tak mam kilka vpsów klientów z serwerami gier i do tej pory nie mieliśmy żadnego takiego problemu, w przeciwieństwie to co się działo w ovh.

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Zresztą..

Sztuczny ruch pakietów (DoS, DDoS) powinien zostać po drodze trasy pomiędzy atakującym a Twoim serwerem, jeśli tak nie jest to pisze się do ATMAN'a prośbę o wycięcie tego adresu.

Udostępnij ten post


Link to postu
Udostępnij na innych stronach
Niestety nadal jest kilka serwerowni, gdzie jest stosowana polityka ddos = odcięcie kabelka od serwerka.

Nie odciecie kabelka tylko automatyczne przelaczenie portu po przekroczeniu jakiejs tam krytycznej ilosci pakietow albo w stan link-down, albo do jakiegos kwarantannowatego vlanu.

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Ja osobiście chciałem opracować system zgłaszania DDoSów. System szybkiej reakcji, gdzie każdy dostawca dodaje swoje urządzenia i przydziela systemowi uprawnienia. Inny dostawca zgłasza ataka (D)DoS z danego/ych IP i wtedy wszystkie routery przez które leci ten ruch dostają polecenie cięcia pakietów. Wtedy łącze serwerowni nie jest zapychane, a zagrożenie jest zwalczane już w zarodku.

 

Czy ktoś w ogóle by wszedł w taki interes?

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Chyba sobie śnisz. Systemy oparte na wzajemnym zaufaniu to 30 lat temu tworzono... no i ich skutki mamy do dzisiaj widoczne.

Możliwość spoofingu w protokole SMTP chociażby jest taką najbardziej dla nieobytego zauważalną.

 

A co, jak ktoś przez "pomyłkę" rozgłosi, że przeszkadza mu 83.0.0.0/8 ?

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Kafi ma racje jak wyobrażasz sobie weryfikacje ataku DDOS ?

Dobra klient zgłasza do firmy iż ip 31.x.x.x atakuje mu serwer administrator nie sprawdzając zgłasza aby mieć spokój z upierdliwym klientem i się okazujesz iż wywalasz całą serwerownie Atman ;) .

Może pomyśl np o wirtualnej sieci wewnętrznej

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Widzę, ze to Wy chyba żartujecie. Dostęp mają tylko ludzie z brzegami, system dostaje raport i zaczyna się akcja. Sprawdza czy zakres nie jest za duży, czy rzeczywiście leci duży ruch po udp na dany cel. Badanie trwa 2-3 minuty i po tym czasie jeśli jest wykryty atak to lecą maile do administratora blokującego routera i zostają wycięte żądane adresy. Admin moze na żywo edytować reguły blokad (np. Pomijać nie atakujące ip z zakresu,itd.)

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

To raczej ty jesteś śmieszny i widać, że z jakimikolwiek większymi sieciami nie miałeś styczności.

Tak jak pisałem - jest dużo systemów, które opierały się na wzajemnym zaufaniu. Ot chociażby BGP.

Jednak z jakichś powodów (zgadniesz, jakich?) prefiksy BGP się filtruje. A czemu? Ano bo ktoś niechcący rozgłosi,

że rozdaje tpnet za free... no ale jego rurka do sąsiadów to tylko 1Mbit, przez co skutecznie blokuje dostęp do wspomnianej

sieci innym usługodawcom. Z takiego też powodu ("pomyłki", czy też celowe złośliwości) nikt nie pójdzie na to, żeby jego system bądź co bądź autonomiczny zależał od widzimisiowania konkurencji.

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Widzimisie nie ma tutaj miejsca zastosowania, bo system sam "przemyśli", czy ma blokować dane akcje. Można pozostawić wybór, czy po analizie sprawy system ma blokować, czy ma tylko poinformować mailem o takim zgłoszeniu i umożliwić zmianę blokowanego adresu i zablokowanie go lub odrzucenie prośby.

 

Nie mówię, że jesteście śmieszni i od razu nie musisz mnie do swojego poziomu ściągać. Mówię o żartowaniu i jeśli tego nie rozumiesz to idź dalej do swoich dużych sieci. Niby się zmieniłeś ostatnio, ale dalej jest denerwujące odczucie, że jesteś nad nami, mistrzu.

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

System, który ma sobie coś "przemyśleć" to najgorszy z możliwych systemów z punktu inżynierii ruchu.

I to jakiejkolwiek. Czy to teleinformatycznej czy innych. Bo owe "przemyśliwanie" to albo analityczne algorytmy

(no ale wtedy nie myśli, tylko analizuje regexy... co w niczym od obecnych filtrów się nie różni), albo stosuje heurystykę.

Czyli własny widzimisionizm. Ot nikt nie wie dlaczego coś mu się ubzdurało i rozpropagował po sieci wyrżnięcie np. klasy 83.0.0.0/8.

Klienci tpnetu wku...rzeni, zgłaszają reklamacje, że im internet nie działa (no bo skoro 3/4 Polski by wycięło te adresy, to by nie działał).

No i jaka będzie odpowiedź na ową reklamację? Że jakiś dziwny system ich wyciął?

 

Chodzi tu o odpowiedzialność. Człowiek siedzący w NOC to jednak istota obdarzona rozumem. Właśnie to go rozróżnia od bezdusznego automatu. No i z owego człowieka zawsze można zrobić kozła ofiarnego i go obciążyć kosztami. Z widzimisiową machiną już nie bardzo ;)

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Nie wiem, czy czytasz. Ja raportuję systemowi, że moje IP 1.2.3.4 jadą IP 83.21.10-12.0-255. System sprawdza, który router w systemie jest najbliżej tych IP i wysyła adminowi informację, że ktoś jest atakowany z takich IP i chce ich wycięcia. Admin odrzuca, przyjmuje mój raport albo przyjmuje np. blokadę tylko na 83.12.10-11.0-255. Nic sam system nie robi, nie reaguje sam. Ma to być taki most kontaktowy wraz z weryfikacją raportów.

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Hmm... w ten sposób... to może np. abusix?

 

Z resztą, opcje, które wymieniasz to ma byle jaki IDS...

... który to analizuje źródło ataku, robi jakieś pomiary (np. trace),

sprawdza metryczkę IP we whoisie a następnie wysyła abuse request,

który NOC analizuje i albo wycina, albo i olewa.

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Bądź aktywny! Zaloguj się lub utwórz konto

Tylko zarejestrowani użytkownicy mogą komentować zawartość tej strony

Utwórz konto

Zarejestruj nowe konto, to proste!

Zarejestruj nowe konto

Zaloguj się

Posiadasz własne konto? Użyj go!

Zaloguj się


×