DOS, DDOS w Atmanie?

[jensej 2]

Witam.

Czy ktoś wie jak wygląda sprawa zabezpieczenia serwerów przed atakami typu: DDos, Dos w Atmanie?

[alien 345]

Zależnie od wykupionej usługi. ATMAN oferuje możliwość wpięcia usługi za ich firewall, który pewne formy ataków wychwyci, polecam kontakt z handlowcem. Podstawowa usługa to łącze, w razie DDOS można zadzwonić do NOC i poprosić o wyłączenie tej czy innej usługi, położyć sesję, zwiększyć/obniżyć przepływność portu itp. itd.

Edytowano Maj 24, 2012 przez alien (zobacz historię edycji)

[sshd 127]

Można też zakupić opcje firewall koszt 150 zł miesięcznie netto ( za serwer ), lub samemu kupić firewall ( po konsultacji z nimi ) i wysłać do nich aby podłączyli do serwera. W przypadku DDOS jeżeli sobie nie można poradzić oferują taką pomoc wycinając zakres ip. Pamiętaj iż atman oferuje też opcje pomocy administracyjnej odpłatnej jeżeli sobie z czymś nie poradzisz.

[jensej 2]

Można też zakupić opcje firewall koszt 150 zł miesięcznie netto ( za serwer ), lub samemu kupić firewall ( po konsultacji z nimi ) i wysłać do nich aby podłączyli do serwera. W przypadku DDOS jeżeli sobie nie można poradzić oferują taką pomoc wycinając zakres ip. Pamiętaj iż atman oferuje też opcje pomocy administracyjnej odpłatnej jeżeli sobie z czymś nie poradzisz.

 

150zł za firewalla? Czy za serwer? Jeśli serwer to poprosiłbym linka.

[Bartosz Stępień 75]

@UP

Można też zakupić opcje firewall koszt 150 zł miesięcznie netto

 

Opcję firewall na 1 serwer.

[sshd 127]

Firewall do danego serwera, dziś dzwoniłem do nich ( mam tam serwery ) i można taki firewall zamówić poprzez kontakt z pomoca techniczną w panelu klienta. Firewall jest wstępnie skonfigurowany a pozostała konfiguracja poprzez panel klienta ( jako dodatkowa opcja ). Możliwe iż na dniach taką usługę zamówię to dam znać jak się sprawuje.

Edytowano Maj 24, 2012 przez sshd (zobacz historię edycji)

[Bartosz Stępień 75]

Ew. jest dosyć ciekawa usługa CloudFare, w czasie gdy jest atak DDOS można przełączyć na tryb I'm under attack i po prostu będzie blokowany dostęp + captcha(nie jestem do końca pewien jak to się odbywa, w każdym bądź razie jak przełączyłem to wołało o przepisanie kodu), a atak nie dotknie twojego serwera

Edytowano Maj 24, 2012 przez bartez119 (zobacz historię edycji)

[winek 10]

Nie ma 100% ochrony przez DDoS.

[t4t4v4 3]

CloudFlare to super rozwiązanie dla dostawców hostingu.

Można używać dużo słabszych maszyn, gdyż CF cache'uje nam strony i obniża ilość odwołań do głównego serwera WWW.

CF ukrywa także nasz prawdziwy adres IP przez co można uniknąć ataków typu DDoS.

CF pomaga w przenoszeniu się między serwerami (a raczej adresami), gdyż natychmiastowo aktualizuje sobie rekordy A.

 

CF przestaje jednak działać, gdy ktoś pozna nasz adres i będzie atakować bezpośrednio po nim, nie używając do tego celu nazwy hosta.

[jensej 2]

CloudFlare to super rozwiązanie dla dostawców hostingu.

Można używać dużo słabszych maszyn, gdyż CF cache'uje nam strony i obniża ilość odwołań do głównego serwera WWW.

CF ukrywa także nasz prawdziwy adres IP przez co można uniknąć ataków typu DDoS.

CF pomaga w przenoszeniu się między serwerami (a raczej adresami), gdyż natychmiastowo aktualizuje sobie rekordy A.

 

CF przestaje jednak działać, gdy ktoś pozna nasz adres i będzie atakować bezpośrednio po nim, nie używając do tego celu nazwy hosta.

 

tzn. ogólnie serwer miałby być przeznaczony do silnika gry z którym wypadało by się połączyć. W takiej sytuacji pewnie odpada to CloudFlare .

[kamilel 22]

CF ukrywa także nasz prawdziwy adres IP przez co można uniknąć ataków typu DDoS.

Jeśli atakujący odkryje prawdziwy adres ip serwera to CloudFlare nie pomoże już w niczym.

[Bartosz Stępień 75]

Nie żebym coś mówił, ale autor posta, który cytujesz wspomniał o tym samym co napisałeś Ale pamiętajmy, że CloudFlare nie ma w zamierzeniu ochrony przed atakami DDOS.

Edytowano Maj 28, 2012 przez bartez119 (zobacz historię edycji)

[sshd 127]

Powiem tak mam kilka vpsów klientów z serwerami gier i do tej pory nie mieliśmy żadnego takiego problemu, w przeciwieństwie to co się działo w ovh.

[t4t4v4 3]

Zresztą..

Sztuczny ruch pakietów (DoS, DDoS) powinien zostać po drodze trasy pomiędzy atakującym a Twoim serwerem, jeśli tak nie jest to pisze się do ATMAN'a prośbę o wycięcie tego adresu.

[t4t4v4 3]

@Up a czy to coś dziwnego, że DC wycinają IPki po otrzymaniu maila?

[kafi 2425]

Niestety nadal jest kilka serwerowni, gdzie jest stosowana polityka ddos = odcięcie kabelka od serwerka.

Nie odciecie kabelka tylko automatyczne przelaczenie portu po przekroczeniu jakiejs tam krytycznej ilosci pakietow albo w stan link-down, albo do jakiegos kwarantannowatego vlanu.

[Misiek08 285]

Ja osobiście chciałem opracować system zgłaszania DDoSów. System szybkiej reakcji, gdzie każdy dostawca dodaje swoje urządzenia i przydziela systemowi uprawnienia. Inny dostawca zgłasza ataka (D)DoS z danego/ych IP i wtedy wszystkie routery przez które leci ten ruch dostają polecenie cięcia pakietów. Wtedy łącze serwerowni nie jest zapychane, a zagrożenie jest zwalczane już w zarodku.

 

Czy ktoś w ogóle by wszedł w taki interes?

[kafi 2425]

Chyba sobie śnisz. Systemy oparte na wzajemnym zaufaniu to 30 lat temu tworzono... no i ich skutki mamy do dzisiaj widoczne.

Możliwość spoofingu w protokole SMTP chociażby jest taką najbardziej dla nieobytego zauważalną.

 

A co, jak ktoś przez "pomyłkę" rozgłosi, że przeszkadza mu 83.0.0.0/8 ?

[sshd 127]

Kafi ma racje jak wyobrażasz sobie weryfikacje ataku DDOS ?

Dobra klient zgłasza do firmy iż ip 31.x.x.x atakuje mu serwer administrator nie sprawdzając zgłasza aby mieć spokój z upierdliwym klientem i się okazujesz iż wywalasz całą serwerownie Atman .

Może pomyśl np o wirtualnej sieci wewnętrznej

[Misiek08 285]

Widzę, ze to Wy chyba żartujecie. Dostęp mają tylko ludzie z brzegami, system dostaje raport i zaczyna się akcja. Sprawdza czy zakres nie jest za duży, czy rzeczywiście leci duży ruch po udp na dany cel. Badanie trwa 2-3 minuty i po tym czasie jeśli jest wykryty atak to lecą maile do administratora blokującego routera i zostają wycięte żądane adresy. Admin moze na żywo edytować reguły blokad (np. Pomijać nie atakujące ip z zakresu,itd.)

[kafi 2425]

To raczej ty jesteś śmieszny i widać, że z jakimikolwiek większymi sieciami nie miałeś styczności.

Tak jak pisałem - jest dużo systemów, które opierały się na wzajemnym zaufaniu. Ot chociażby BGP.

Jednak z jakichś powodów (zgadniesz, jakich?) prefiksy BGP się filtruje. A czemu? Ano bo ktoś niechcący rozgłosi,

że rozdaje tpnet za free... no ale jego rurka do sąsiadów to tylko 1Mbit, przez co skutecznie blokuje dostęp do wspomnianej

sieci innym usługodawcom. Z takiego też powodu ("pomyłki", czy też celowe złośliwości) nikt nie pójdzie na to, żeby jego system bądź co bądź autonomiczny zależał od widzimisiowania konkurencji.

[Misiek08 285]

Widzimisie nie ma tutaj miejsca zastosowania, bo system sam "przemyśli", czy ma blokować dane akcje. Można pozostawić wybór, czy po analizie sprawy system ma blokować, czy ma tylko poinformować mailem o takim zgłoszeniu i umożliwić zmianę blokowanego adresu i zablokowanie go lub odrzucenie prośby.

 

Nie mówię, że jesteście śmieszni i od razu nie musisz mnie do swojego poziomu ściągać. Mówię o żartowaniu i jeśli tego nie rozumiesz to idź dalej do swoich dużych sieci. Niby się zmieniłeś ostatnio, ale dalej jest denerwujące odczucie, że jesteś nad nami, mistrzu.

[kafi 2425]

System, który ma sobie coś "przemyśleć" to najgorszy z możliwych systemów z punktu inżynierii ruchu.

I to jakiejkolwiek. Czy to teleinformatycznej czy innych. Bo owe "przemyśliwanie" to albo analityczne algorytmy

(no ale wtedy nie myśli, tylko analizuje regexy... co w niczym od obecnych filtrów się nie różni), albo stosuje heurystykę.

Czyli własny widzimisionizm. Ot nikt nie wie dlaczego coś mu się ubzdurało i rozpropagował po sieci wyrżnięcie np. klasy 83.0.0.0/8.

Klienci tpnetu wku...rzeni, zgłaszają reklamacje, że im internet nie działa (no bo skoro 3/4 Polski by wycięło te adresy, to by nie działał).

No i jaka będzie odpowiedź na ową reklamację? Że jakiś dziwny system ich wyciął?

 

Chodzi tu o odpowiedzialność. Człowiek siedzący w NOC to jednak istota obdarzona rozumem. Właśnie to go rozróżnia od bezdusznego automatu. No i z owego człowieka zawsze można zrobić kozła ofiarnego i go obciążyć kosztami. Z widzimisiową machiną już nie bardzo

[Misiek08 285]

Nie wiem, czy czytasz. Ja raportuję systemowi, że moje IP 1.2.3.4 jadą IP 83.21.10-12.0-255. System sprawdza, który router w systemie jest najbliżej tych IP i wysyła adminowi informację, że ktoś jest atakowany z takich IP i chce ich wycięcia. Admin odrzuca, przyjmuje mój raport albo przyjmuje np. blokadę tylko na 83.12.10-11.0-255. Nic sam system nie robi, nie reaguje sam. Ma to być taki most kontaktowy wraz z weryfikacją raportów.

[kafi 2425]

Hmm... w ten sposób... to może np. abusix?

 

Z resztą, opcje, które wymieniasz to ma byle jaki IDS...

... który to analizuje źródło ataku, robi jakieś pomiary (np. trace),

sprawdza metryczkę IP we whoisie a następnie wysyła abuse request,

który NOC analizuje i albo wycina, albo i olewa.