Malutkie pytanie OVH.

[lou. 11]

Witajcie !

Chciał bym się zapytać czy lepiej wybrać sobie mKS z oferty kimsufi, czy lepiej VPS cloud 1. Na danym serwerze będzie uruchomiona strona www oraz serwer głosowy (ts,vt)

Chodzi o to, który serwer będzie wydajniejszy itp.

 

Dodatkowo chciał bym zapytać czy jak dostane po jajkach jakimś atakiem, to z miejsca lece czy mnie jakoś zostawią xD

Dzięki za pomoc

[Gość l3szcz]

Oj będziesz zasypany komunikatami, wyłączą Ci serwer i tak i tak, jeżeli za bardzo będziesz nękany DDoSikiem.

Do TS3 polecałbym ten dedyk.

[lou. 11]

Aha, no czekam dalej na argumenty.

Bardziej podoba mi się ten VPS ze względu na możliwe lepsze zaplecze jak i support.

[McAs 28]

lepiej weź już KS 2G, jeśli chcesz mieć sporego tego TS - ilość slotów mam na myśli

 

pozwolę sobie zacytować odpowiedź z innego tematu odnośnie VPS/hostingu współdzielonego: ( firmy progreso.pl)

 

 

Piszemy tutaj z dwóch powodów. Po pierwsze: wydajesz się preferować ten wątek od helpdesku, po drugie: informacje przydadzą się innym. Chcemy, żeby cała sprawa była transparentna.

Nie martw się. Od chwili kiedy jesteś u nas cała nasza uwaga skupiona jest na Tobie. już następnego dnia po przeniesieniu strony do nas zostaliśmy zaatakowani, ale - zgodnie z tym co napisaliśmy w wątku, o którym pytałeś o hosting z ochrona DDOS - takie ataki nie są tragedią.

Jesteś atakowany przynajmniej raz na 32h. W ciągu ostatnich dwóch dni ataki te stały się na tyle poważne, że wymagają nasze stałej atencji i modyfikowania systemu zabezpieczeń. To normalne - pierwsze to nasza praca, a drugie sprawia, że się rozwijamy, ale ataki te są na tyle poważne, że ucierpieli na tym nasi klienci.

W tym momencie przyszedł czas na zewnętrzne zabezpieczenie. Przy takiej skali ataków sam hosting nie jest dla Ciebie rozwiązaniem. Opcje są dwie:

1. Porządnie się zabezpieczyć z zyskiem dla bezpieczeństwa twojej strony. Polecamy serwis incapsula.com (600 dolarów / m-c - działa, sprawdziliśmy na kilku projektach) lub popularny Cloudflare (pakiety od 200 dolarów w górę, mniej wydajne, ale popularniejsze) lub inna usługa ochrony przed atakami DDOS.
2. Progreso skorzysta z regulaminu , tj.
   

    

   Cytuj

   Operator może rozwiązać Umowę ze skutkiem natychmiastowym w przypadku:

   2.1. naruszenia istotnych postanowień Umowy przez Abonenta, a w szczególności:

   2.1.3.używania przez Abonenta oprogramowania szkodzącego interesom Operatora;
   ...
   2.3. stworzenia przez Abonenta zagrożenia dla interesów Operatora;

    

    

    

    

 

Mamy nadzieję, że zdecydujesz się na opcję #1:) Musisz zabezpieczyć się solidnie. Dużą cześć informacji przekazaliśmy Tobie telefonicznie, ale profilaktycznie wklejamy to również tutaj, bo taka jest nasza ogólna polityka w stosunku do dużych ataków typu DDOS: prosimy o zabezpieczenie (raz) lub rozwiązujemy umowę celem ochrony innych klientów.

 

 

reasumując w przypadku VPS bardzo szybko mogą Cię usunąć ( bez względu na firmę), bo np. DDOS nie idzie wtedy tylko na Twój VPS ale też server matkę, w przypadku dedyka nie ma takiego problemu. Jak ci walną jakiś atak, to jest tylko i wyłącznie problem Twój, a nie firmy

Edytowano Czerwiec 16, 2013 przez McAs (zobacz historię edycji)

[Pan Kot 1535]

Generalnie jeśli chodzi o ddosy to dedyk jest bezpieczniejszy w tej kwestii, ale to wciąż nie jest machnięcie ręką na taką sytuację.

[lou. 11]

Rozumiem, lecz niestety na tą chwile nie dam rady wybrać lepszej usługi.

Poczekam jeszcze na inne wypowiedzi i zdecyduje.

[McAs 28]

tak sprawdziłem ofertę http://mintshost.pl - VoiceVPS

pod tym wszystkim mała gwiazdka:

 

serwer VoiceVPS można stracić w przypadku gdy serwer będzie zbyt często znajdował się pod wpływem ataków (co skutuje spadkiem wydajności serwera głównego) lub gdy łącze do serwera zostanie w pełni obciążone tylko przez TWÓJ serwer (--- to również może spowodować szkody na serwerze)

 

 

lepiej weź dedydyka tego najtańszego. Świata nie zwojujesz ale sporą ilość slotów online powinieneś uciągnąć. Do tego jakieś zabezpieczenia i nginx( by nie marnować zasobów przez apacha) i da się żyć

 

Edytowano Czerwiec 16, 2013 przez McAs (zobacz historię edycji)

[lou. 11]

Aha, napisze jeszcze jutro do nich i zobacze co mi odpowiedzą.

[lou. 11]

Informacja od OVH

Witam,
W przypadku serwerów VPS klient otrzymuje dostęp root i zarządza we własnym zakresie serwerem. 
OVH nie oferuje specjalnych zabezpieczeń przed tego typu atakami. Jeśli chodzi o środki podejmowane przez OVH - serwer może zostać czasowo odcięty od sieci (na czas ataku).

Z chwilą zablokowania serwera klient otrzymuje powiadomienie/zgłoszenie z informacją o przyczynach i czasie blokady (średnio 4-8 godz.).
Jeśli chodzi o rozwiązanie umowy - jest to zależne od częstotliwości, rodzaju i długości (czasu trwania) ataków.


Pozdrawiam

[bermut 18]

Po przejęciu forum przez nazwa.pl i zmianach w regulaminie zdecydowałem się usunąć wszystkie swoje posty. Cześć.

Edytowano Kwiecień 9, 2020 przez linoskoczek (zobacz historię edycji)

[kori 29]

Czy w końcu jakieś prawo międzynarodowe nie powinny tego uregulować?
odcinać atakujacych od łącz, a nie atakowanych

[elcct 159]

Czy w końcu jakieś prawo międzynarodowe nie powinny tego uregulować?

odcinać atakujacych od łącz, a nie atakowanych

 

I co urzędniczyna będzie decydować kto atakuje? Najlepiej jeszcze jakby był jeden na serwer i oglądał wykresy, potem tylko telefon do wielkiego brata i atakujący dostaje kulke ?

[Pan Kot 1535]

Co nie zmienia faktu, że nadal nie rozumiem jaki jest problem w napisaniu bardzo prostego skryptu, który odcina wszystkie IP, które dajmy na to wysyłają typowego udp flooda i to jeszcze najczęściej na tysiące portów. Oczywiście mowa tu o firmach hostingowych, które takowy skrypt wyposażą w dostęp do banowania na brzegówkach.

 

Skoro brzegówka jest w stanie przyjąć taki ruch na klatę i przekierować pakiety target IP do /dev/null to jaki problem przekierować do /dev/null requesty z IP "podejrzanych"?

 

To pytanie kieruję do doświadczonych w temacie bo zawsze mnie to ciekawiło.

Edytowano Czerwiec 18, 2013 przez Archi (zobacz historię edycji)

[tgx 575]

Skoro brzegówka jest w stanie przyjąć taki ruch na klatę i przekierować pakiety target IP do /dev/null to jaki problem przekierować do /dev/null requesty z IP "podejrzanych"?

 

 

 

Chciałbyś, żeby Ci jakiś admin klasyfikował co jest podejrzanym ruchem i wycinał to na brzegówce?

To co w Twoim zastosowaniu jest "podejrzanym" ruchem, dla innego może być naturalnym.

 

[kafi 2425]

Co nie zmienia faktu, że nadal nie rozumiem jaki jest problem w napisaniu bardzo prostego skryptu, który odcina wszystkie IP, które dajmy na to wysyłają typowego udp flooda i to jeszcze najczęściej na tysiące portów.

Widzisz. Analiza pakietów kosztuje dużo. Bo wymaga obróbki praktycznie do samej L7. Przewalanie ich dalej kończy się na L3. A nawet, jeśli analizował byś i tylko L3. To zdajesz sobie sprawę, że (pseudo)tablica routingu zawierająca od groma /32 spowoduje, że ogólna wydajność trasowania spadnie dosyć znacząco (wskazane było by poczytać, jak jest realizowany wybór trasy przez routery). Jeśli natomiast zaczniesz agregować trasy, to nagle przykładowo okaże się, że wyciąłeś 83.10.0.0/16. No i co dalej?

 

Urządzenia sieciowe są coraz wydajniejsze. Ale w ogólnym rozrachunku mniej kosztowne jest przetworzenie po swojej stronie ataku i skumulowanie go na końcowym węźle, niż analizowanie go wcześniej. No chyba, że następuje wysycenie upstreamów... Ale wtedy rozgłasza się blackhole atakowanego adresu IP i ma się totalny spokój

Edytowano Czerwiec 19, 2013 przez kafi (zobacz historię edycji)

[theONE 526]

I jeszcze bym dodał że koszt analizy małych pakietów UDP ze względu na ich ilość jest większy o rząd wielkości większy w stosunku do ruchu w Tbit/s niż przy normalnym traficu

 

A przy takiej sakli jak OVH muszą jeszcze analizować ruch wewnątrz sieci a nie tylko na stykach bo ataki pomiędzy klientami są codziennością

[tgx 575]

No chyba, że następuje wysycenie upstreamów... Ale wtedy rozgłasza się blackhole atakowanego adresu IP i ma się totalny spokój

 

 

Będę wdzięczny za doprecyzowanie tego co autor ma na myśli

 

chodzi Ci o wrzucenie na null'a? Czy masz na myśli jakiś inny mechanizm? Zastanawiam się jak wysycenie portu np atakiem UDP odeprzesz nullowaniem atakowanego IP

 

[Westbam 64]

@McAs

Piszesz o ts3 że lepiej dedyk w Ovh ale powiedz mi po co? Kolega lou. ma zamiar kupić licke na tS3 by mieć nieograniczoną liczbę slotów? Wątpie... pod te 512 slotów to najsłabszy vps z oferty np. Biznes-Host wystarczy... Ze stroną niech będzie ten VPS2.

Dodatkowo zapomnieliście wspomnieć koledze że w razie gdyby dedyk padł administracja ovh ma to gdzieś i nie restartuje go - sam musisz sobie to zrobić a gdy masz VPSa automatycznie wstaje... Nie zapominajmy o takich "szczegółach"

[McAs 28]

@TeamPlay.com.pl

 

Wiem, że administracja z OVH ma w głębokim poważaniu to bo sam z tym się borykam teraz ( nie upieram się akurat na konkretną tą firmę). Twój szczegół co wspomniałeś jest ważny , ale w przypadku częstych ataków na jego VPS to odrazu go z stamtąd pogonią w porównaniu z serverem dedyk. Od taki drobny szczegół.

[Westbam 64]

Ja wyjechałem na tydzień (zaraz po zakupie 16G w OVH) i po powrocie dostałem maila że mój dedyk został zablokowany ponieważ wysyłał spam ot to - ani zwrotu gotówki / ani możliwości odblokowania - więc ja tą firmę traktuje raczej jako ostateczność... Lepiej inwestować w polski rynek i ludzi będących na tym forum niż w żabojadów.

 

Pozdrawiam

[kafi 2425]

 

chodzi Ci o wrzucenie na null'a? Czy masz na myśli jakiś inny mechanizm? Zastanawiam się jak wysycenie portu np atakiem UDP odeprzesz nullowaniem atakowanego IP

 

Nie mówię tu o dropowaniu pakietów na własnym routerze. Chodzi o BGP Blackholing (RFC3882).

http://www.computerworld.pl/artykuly/381614/Filtrowanie.na.masowa.skale.html

[tgx 575]

Nie mówię tu o dropowaniu pakietów na własnym routerze. Chodzi o BGP Blackholing (RFC3882).

http://www.computerworld.pl/artykuly/381614/Filtrowanie.na.masowa.skale.html

 

No ale to tylko odsuwasz od siebie no i często jest konieczna "usługa dodatkowa"

[lou. 11]

Polska firma czy Francuska, polityka jest wszędzie jedna -> Ktoś ci przeszkadza -> ty przeszkadzasz firmie hostingowej -> zostajesz z niczym

Edytowano Czerwiec 19, 2013 przez lou. (zobacz historię edycji)

[Pan Kot 1535]

@kafi @tgx

Dzięki za wyjaśnienia. Zupełnie zapomniałem o tym, że pakiety mogą być zespoofowane i nie ma ich jak sprawdzić pod kątem source IP, dopiero sobie z tego zdałem sprawę jak zacząłem czytać Wasze posty .

 

A jakby dodać gdzieś w panelu opcję "I'm under attack" czy coś podobnego, która by całkowicie wycinała ruch UDP/TCP/ICMP z wyłączeniem rzeczy zdefiniowanej przez klienta? Mam tu na myśli to, że można np. w przypadku strony www zezwolić tylko na tcp po 80, bo najczęściej reszta portów to tylko bramki w które można "pukać" pakietami. W ten sposób jeśli ktoś celuje typowym głupim ddosem udp flood random ports to nie osiągnie żadnego efektu bo router będzie ignorował te pakiety. Wtedy zerkamy tylko na protocol type i target port. Dodatkowo można dodać jakiś loadbalancing i np. wycinać na routerze, który jest najmniej obciążony (w założeniu, że mamy tu sekwencję router 1 => router 2 => ... => router x => IP)

 

Do tego wyobrażam sobie taką utopię, w której każdy klient mógłby wrzucać na brzegówkę swoje własne rulesy iptables dotyczące ruchu w związku z jego IP .

Edytowano Czerwiec 19, 2013 przez Archi (zobacz historię edycji)

[kafi 2425]

Router brzegowy to jest router, a nie firewall. Pracuje w warstwoe trzeciej.

Jego zadaniem jest analiza adresu docelowego i przemieszczenie pakietu jak najbliżej adresata.

Jako, że jest to warstwa trzecia, to operuje on na adresach IP. Nie interesuje go, co jest na wyższych

schodkach piramidy - bo IP to nie tylko TCP, UDP i ICMP. Jest jeszcze chociażby GRE i tuzin innych protokołów.

 

 

 

A jakby dodać gdzieś w panelu opcję "I'm under attack" czy coś podobnego, która by całkowicie wycinała ruch UDP/TCP/ICMP z wyłączeniem rzeczy zdefiniowanej przez klienta?

Hmm... To, co opisujesz, to realizuje urządzenie zwane... firewallem

 

 

 

Do tego wyobrażam sobie taką utopię, w której każdy klient mógłby wrzucać na brzegówkę swoje własne rulesy iptables dotyczące ruchu w związku z jego IP .

A ja nie. Bo filtry na urządzeniach brzegowych z zasady dotyczą wszystkich będących w danym AS.

Więc jak sobie wyobrażasz, jakby Zenon Wredny zakupił sobie w takim Atmanie usługę i wyfiltrował na routerze brzegowym wspomniane 83.10.0.0/16 ?