Atak DDoS- odcięcie usługi.

[rasputin 42]

Witam.

 

W dniu wczorajszym w godzinach popołudniowych na serwer dedykowany z którego korzystam został przeprowadzony atak DDoS. Chwile później, nie minęło 5 minut dostałem mail, że usługa o adresie ip zostaje zablokowana na 24h. Był to raptem drugi atak przez 6 miesięcy pobytu w tej firmie. Siła ataku 400Mbps.

Zadzwoniłem do firmy w celach wyjaśnienia sytuacji bo pierwszy raz się z czymś takim spotykam. Straciłem widoczność trzech stron www i 3 serwerów gier oraz 3 serwerów teamspeak. W trakcie rozmowy usłyszałem, że usługa nie zostanie odblokowana ale mam dodatkowe IP o których nie wiedziałem jednakże trzeba to skonfigurować za co zapłaciłem i uzyskałem dostęp do serwera. Jak wiadomo praca administratora to koszt 120zł za godzinę.

Przez ostatnie 7h próbowałem uruchomić serwery głosowe a później zainstalować nowego.

Sprawa z niedziałającym TS3 wyglądała następująco:

Można było zainstalować Teamspeaka na 32sloty, po włożeniu klucza teamspeak nie odpalał się a w logach widniała informacja , że nie może połączyć się z serwerem "Unable to connect to accounting server ts3anetwork:: connect failed error 110".

Niektóre skrypty na www używające nazwy zamiast IP nie działały poprawnie. Socks 5 na serwerze również nie działał. Przykładowe łączenie się z stronami www przez serwer nie działało.W ifconfig widniał stary adres IP. Znalazłem poradnik na ovh i zrobiłem wszystko jak trzeba, serwer już nie wstał.

Nie wspomnę o tym, że strony www które uruchomiłem ładowały się z prędkością żółwia.

 

I teraz moje pytanie od kiedy wyłączają usługę na czas 24h zamiast wyciąć atak?

Pierwszy raz się z czymś takim spotykam chodź serwerów dedykowanych korzystam od ponad dwóch lat.

Od 4h czekam na odpis na maila bo nie mam dostępu do usługi. Zapewne przyjdzie mi czekać przez kolejne parę godzin albo nawet do poniedziałku bo nie ma na stronie żadnego numeru oprócz kontaktu z biurem firmy, gdzie uzyskanie połączenia w weekend jest nie możliwe a na maile nie odpisują.

A na stronie jak zwykle napis, że kontakt z administratorem możliwy 365/24/7. Administrator śpi a ja sobie włosy z głowy wyrywam.

[RafoX 233]

To już zależy od polityki firmy czy wytną ci atak ty po prostu Cię zablokują

Zapewne w regulaminie masz napisane...

Swoją drogą co to za firma :>

[rasputin 42]

"Usługodawca zastrzega sobie prawo do tymczasowego zablokowania świadczonej usługi, bądź do rozwiązania umowy

w trybie natychmiastowym z Abonentem, w przypadku kiedy zakupiony przez niego pakiet hostingowy obciąża zasoby

sprzętowe, powodując trudności techniczne w pracy serwera. "

Racja tylko, że administrator był na miejscu, mógł wyciąć atak by ten się już nie potworzył co zdarza się u nich często. Codziennie jakieś serwery są atakowane bo nie raz karta sieciowa obrywała co i ja odczułem. Nie wycinając adresów szkodzą sobie i osoba które mają wykupiony serwer. Nazwy firmy podawać nie będę. Pierwsza strona wyników na frazę "serwery dedykowane"

Zablokowanie usługi to jeden fakt, drugi, że karta sieciowa została źle skonfigurowana, trzeci to, że czekam na maila na którego się szybko nie doczekam, więc pozostaje mi się tu żalić

[Gość]

Edytowano Marzec 26, 2018 przez Gość (zobacz historię edycji)

[rasputin 42]

Rozumiem i przyjmuje owe wyjaśnienie. Tylko dlaczego od razu przy pierwszym ataku usługa została zablokowana? Zrozumiałe by to było dla mnie w momencie gdyby sytuacja powtórzyła się któryś raz z kolei w krótkim odstępie czasu.

 

Nie zmienia faktu powyższego to, ze na reakcje administracji trzeba czekać wieki i liczyć , że to co im się zleca za opłata też będzie wykonane porządnie.

[Gość]

Edytowano Marzec 26, 2018 przez Gość (zobacz historię edycji)

[Romson 9]

Jeśli siła ataku to 400 Mbps, to stawiam na OVH. A jeśli tak jest, to wytnij cały ruch pochodzący z OVH (whitelist dla serwerów reklam w OVH).

[Gość]

Edytowano Marzec 26, 2018 przez Gość (zobacz historię edycji)

[chmuri 89]

Jeśli to nie jest moloch z mega łączami to pomyśl sobie z drugiej strony on dostanie fakturę za 400 megabitów ruchu od operatora a Ty co zapłacisz za to? Bo on będzie musiał jeśli ma taką umowę i nie będzie ryzykował dla jednego klienta który i tak nie zapłaci za to:)

[Gość patrys]

Usługodawca to chyba Artnet (http://goo.gl/4B79H), łącza powinni mieć więcej, ale czy Ty zapłaciłeś za taką usługę ?

Zależy od typu ataku, patrząc na przepustowość to pewnie UDP, który też zapewne dało by się wyciąć

Jak jesteś narażony na ataki musisz mieć filtry ustawione przed serwerem, zajrzyj w google, bo trochę firm to oferuje ( z reguły lokalizacja USA ).

[kori 29]

jak tego szukać? daj jakiś przykład z taką opcją wycinania przed serwerem

[tgx 575]

jak tego szukać? daj jakiś przykład z taką opcją wycinania przed serwerem

 

szukasz rozwiązań jawnie opisujących swoje usługi "ddos protected" - wszystkie już wycinają przed serwerem oferując "czysty transfer"

 

http://www.koddos.com/

[Gość patrys]

Zobacz na oferty: blacklotus.net i staminus.net

[rasputin 42]

Mi zależy na Polskiej lokalizacji.

Pomimo wszystko pierwszy raz przez dwa lata wyłączono mi usługę na 24h Jakoś inne firmy sobie z tym radziły.

[Romson 9]

Nie wiem dlaczego mój post został zminusowany, bo ja dałem tylko małą (niekoniecznie skuteczną, ale zawsze coś) radę, która polega na tym, żeby uniemożliwić osobom przeprowadzanie ataku DDoS na daną stronę z OVH. A o tym wie każdy, że w OVH można więcej, niż w zwykłym polskim DC, gdzie poziom łącz zniża się do europejskich standardów (tak wiem, że nie wszystkie kraje są cool ). Mimo wszystko, zawsze jeśli ktoś, coś źle napisze, to nie trzeba dziecinnie wyjeżdżać z tego typu praktyką, a najlepiej dowalić mi jakimś rzeczowym argumentem. To było rzeczywiście wałkowane wiele razy (i to nie tylko na WHT), także więc, to jest bardzo nieznośny problem, głównie dla tych, którzy robią coś z pasją, a nie dla tylko dla pieniędzy. Bo uwierzcie, że nie mam złych intencji wobec twórcy tematu, a wręcz przeciwnie, napisałem tyle ile wiem. Miłej nocy.

[kix 28]

Nic nie wiesz.

 

Blokowanie na samym serwerze jakichkolwiek adresów IP podczas ataku DDoS nic nie da.

[Pan Kot 1535]

Nie wiem dlaczego mój post został zminusowany, bo ja dałem tylko małą (niekoniecznie skuteczną, ale zawsze coś) radę, która polega na tym, żeby uniemożliwić osobom przeprowadzanie ataku DDoS na daną stronę z OVH. A o tym wie każdy, że w OVH można więcej, niż w zwykłym polskim DC, gdzie poziom łącz zniża się do europejskich standardów (tak wiem, że nie wszystkie kraje są cool ). Mimo wszystko, zawsze jeśli ktoś, coś źle napisze, to nie trzeba dziecinnie wyjeżdżać z tego typu praktyką, a najlepiej dowalić mi jakimś rzeczowym argumentem. To było rzeczywiście wałkowane wiele razy (i to nie tylko na WHT), także więc, to jest bardzo nieznośny problem, głównie dla tych, którzy robią coś z pasją, a nie dla tylko dla pieniędzy. Bo uwierzcie, że nie mam złych intencji wobec twórcy tematu, a wręcz przeciwnie, napisałem tyle ile wiem. Miłej nocy.

 

Napisałeś odpowiedź, która merytorycznie nie jest poprawna, ponieważ nie masz absolutnie jakiegokolwiek wpływu na łącze z poziomu serwera jeśli w grę wchodzi UDP Flood. Odsyłam do mojego temaciku, który spowoduje że będziesz wiedział jeszcze więcej http://www.webhostingtalk.pl/topic/41538-security-na-debianie-fakty-i-mity-poradnik/

 

Jeśli nie jesteś czegoś pewien to nie wprowadzaj ludzi w błąd. Jest różnica między próbą pomocy i dobrymi intencjami, a błędami merytorycznymi wynikającymi z braku wiedzy. I za to m.in otrzymałeś mojego minusa.

[Romson 9]

@up: Niczemu nie śmiem zaprzeczyć, bo ponoć na WHT siedzą specjaliści. Nie chcę zniżać się do poziomu tych ludzi, więc odpuszczę z wojną, bo rzeczywiście nie jestem do końca kumaty w tej sprawie i mogłem wprowadzić w błąd autora tematu, za co najmocniej przepraszam.Niemniej jednak, z obserwacji wynika, że zazwyczaj ataki DDoS to są ataki przeprowadzone przez zazdrosnych dzieciaków z DC OVH. Mylę się do tego? Wystarczy mi to powiedzieć prosto w twarz (prosto z mostu napisać). Zabieram się za lekturę Archiego.

[Pan Kot 1535]

Masz rację co do spamu z DC OVH, ale nie masz racji co do blokady takiego czegoś. Możesz sobie w iptables wyciąć ruch całego świata włącznie z tobą, a i tak jestem w stanie zddosować Cię UDP Floodem bo właśnie tak on działa.

[T 6]

Pewnie część osób się ze mną nie zgodzi, ale moim zdaniem każdy kij ma dwa końce. Problem z obsługą DDoS-ów ze strony operatora jest oczywisty i sam się nieraz z nim borykałem, ale z drugiej strony dlaczego miałoby to być problemem klienta, szczególnie, gdy DDoS jest relatywnie mały? Przecież ruch tego typu nie jest inicjowany przez klienta, jest on po prostu ofiarą przestępstwa. Oczywiście są sytuacje z punktu widzenia dostawcy nierozwiązywalne, czyli bardzo duże ataki, z którymi poradzą sobie wyłącznie wyspecjalizowane w tym firmy.

 

Ale 400 mbit/s? Przecież to jest mały atak. To nawet pewnie nie DDoS, tylko zwykły DoS z hacked boksu na 1 Gbit/s. I to ma być powód do odbierania dostępu do usługi klientowi? No bez przesady...

Edytowano Lipiec 10, 2013 przez T (zobacz historię edycji)

[Gość patrys]

Przepustowość 400Mb/s w dzisiejszym świecie to nic, jeżeli klient faktycznie płaci za to łącze i pewnie tu jest największy problem.

Taki atak przeleci przez routery i switche bez problemu, problem pojawi się na końcu.

Druga sprawa, że w tych 400Mb/s można ukryć kilka milionów pps

Atak UDP nie będzie problemem, ale przy TCP nie ma szans by docelowy serwer wytrzymał napór pakietów.

 

Wykonanie ataku DDOS to kilka dolarów, a obrona to już tysiące ...

 

 

 

[rasputin 42]

Atak był UDP . W tamtym czasie co chwile atakowana była karta sieciowa więc nawet nie ma pewności czy atak był na mnie. Mam ip z konćówką wieksza o 1 od owej karty. Dodam jeszcze, że od tamtej pory nic sie nie dzieje a usługi przenioslem na dodatkowe ip. Mnie to i tak dziwi bo patrzac po ip które atakowaly można to było spokojnie wyciac, wiekszosc bylo na czarnych listach.

[Gość patrys]

A możesz to jakoś po polsku ?

 

Wycięcie ataku na docelowej maszynie i tak by nic nie dało, ale przepuszczenie 400Mb/s na normalnym sprzęcie to drobnostka.

 

Ataki to codzienność, UDP jest od dawna rzadkością z uwagi na nieskuteczność.

Więc z reguły są to olbrzymie floody syn które sieją spustoszenie

[tgx 575]

A

Ataki to codzienność, UDP jest od dawna rzadkością z uwagi na nieskuteczność.

 

 

Taka rzadkość, że spowodowała "paniczne" działania wielu dostawców typu ovh blokowania ruchu z pakietów "odbijanych " z otwartych DNS

 

Nieskuteczność? Już były tu firmy które miały "ataki były z root serwerów" także wszystko jest kwestią kogo i co. Normalny sprzęt też jest pojęciem względnym.

 

Mały 400 megowy ale ciągły atak może usługodawcę kosztować kilka tysięcy więc może o to chodziło a nie tylko możliwości obrony.

[Robert Kura 0]

Mały 400 megowy ale ciągły atak może usługodawcę kosztować kilka tysięcy więc może o to chodziło a nie tylko możliwości obrony.

 

Myślę, że może nawet kosztować znacznie więcej. Zależy od tego, jaki jest dzienny ruch. A może być bardzo duży, zwłaszcza jak atak wypadnie w jakimś wyjątkowo gorącym czasie.