VPS/dedyk odporny na DDoS

[Lost 1]

Witajcie, tak jak w temacie, jestem zainteresowany kupnem serwera VPS / dedykowanego odpornego na ataki DDoS.

 

hosteam.pl sprawdzałem, ale ceny mnie przerażają. Macie jakieś inne, lepsze propozycje? Proszę o wsparcie.

[Gość patrys]

Taniej nie będzie niż w hosteam.pl

[Pan Kot 1535]

Hosteam to akurat najlepszy hosting cena/jakość jeśli chodzi o ochronę ddos i samą usługę. Taniej na pewno nie znajdziesz.

[Gość]

Sprintdatacenter.pl, mimo że nie reklamują jakoś specjalnie tego na stronie z praktyki wiem, że całkiem fajnie nakładają odpowiednie filtry podczas wystąpienia ataku i od razu o nim informują.

[Lost 1]

To może z innej beczki - jak mogę zabezpieczyćVPS / dedyk przed takimi atakami na własną rękę?

[Gość]

To może z innej beczki - jak mogę zabezpieczyćVPS / dedyk przed takimi atakami na własną rękę?

Nie możesz

[Lost 1]

Sprintdatacenter.pl, mimo że nie reklamują jakoś specjalnie tego na stronie z praktyki wiem, że całkiem fajnie nakładają odpowiednie filtry podczas wystąpienia ataku i od razu o nim informują.

 

Unixstorm też założył filtr na 24h, tak że nikt nie mógł się połączyć z forum. O coś takiego chodzi?

 

 

Nie możesz

 

Naprawdę nic nie da się zrobić? Słyszeliście o czymś takim jak Cloudflare.com?

[ToFFiK 33]

Jeśli mówisz o prawdziwych atakach a nie jakimś pingu z trzech komputerów to możesz kupić sprzętowego firewalla za parę(naście) tysięcy i wstawić go do serwerowni (zakładając że będziesz miał dedyka) oczywiście dodatkowo płacąc za zajęte miejsce, ew wynająć taki sprzęt za co najmniej parę stówek miesięcznie. Do tego dochodzą koszty samego serwera, jak i łącza (bo na 100mbps nie wiem czy jest sens wstawiać firewalla jak będziesz miał wysycone łącze)

 

Na VPS z OpenVZ nie zrobisz zapewne nic, bo nie dostaniesz w większości firm dostępu do iptables

Edytowano Wrzesień 1, 2013 przez ToFFiK (zobacz historię edycji)

[Gość patrys]

CF dobra opcja dla mniejszych stron, przy większych będzie problem z wydajnością statyki, jednak można to obejść.

Z atakami przy planie za 200 baksów radzą sobie świetnie

 

@ToFFiK: w czym by miało pomóc iptables ?

[Gość]

 

Unixstorm też założył filtr na 24h, tak że nikt nie mógł się połączyć z forum. O coś takiego chodzi?

 

Niezupełnie, nie chodzi o całkowite odcięcie dostępu do serwera, ale filtrację ruchu.

 

Jedna z możliwości to np. stosowanie BGP Blackholing - polega na tym, że cały ruch z zagranicznych adresów IP jest wycięty i dostęp do serwera jest tylko z polskich adresów IP. Oczywiście sprawdza się to tylko wtedy, gdy masz klientów z danego kraju, bo powoduje to częściowe utrudnienie dostępu do serwera. Ale chyba lepsze to niż, całkowite?

Edytowano Wrzesień 1, 2013 przez Gość (zobacz historię edycji)

[ToFFiK 33]

Mógłby się bawić w CSF+LFD, zawsze coś pomaga przy dzieciach neostrady, jak muszą co chwile resetować router to się im szybko nudzi

 

Jedna z możliwości to np. stosowanie BGP Blackholing - polega na tym, że cały ruch z zagranicznych adresów IP jest wycięty i dostęp do serwera jest tylko z polskich adresów IP

 

Bez IPTables dużo nie wytnie, a na dedyku nawet po wycięciu jeśli nie będzie miał czegoś lepszego niż 100mbps (ba, żeby jeszcze było tyle gwarantowane w większości firm budżetowych) to mu zapchają całą rurke i tyle będzie miał z blokowania innych krajów

Edytowano Wrzesień 1, 2013 przez ToFFiK (zobacz historię edycji)

[Lost 1]

Mówię o raczej sporym ataku, firma unixstorm wypowiedziała nam z powodu częstych i dużych ataków ddos umowę, dodała, że 90% polskich hostingów wyłozyło by się przy takim ataku, nie znam więc dokładnej jego wielkości.

 

 

Mniejsza strona tzn jaka? Dziennie mam ok. 1500 unikalnych odwiedzin, głównie z Polski.

[ToFFiK 33]

Zobacz ofertę OVH mają właśnie od września teraz wprowadzić jakieś firewalle na dedyki ale nie wiem w której serwerowni więc musiałbyś się zorientować.

Edytowano Wrzesień 1, 2013 przez ToFFiK (zobacz historię edycji)

[Gość]

 

 

 

Jedna z możliwości to np. stosowanie BGP Blackholing - polega na tym, że cały ruch z zagranicznych adresów IP jest wycięty i dostęp do serwera jest tylko z polskich adresów IP

Bez IPTables dużo nie wytnie, a na dedyku nawet po wycięciu jeśli nie będzie miał czegoś lepszego niż 100mbps (ba, żeby jeszcze było tyle gwarantowane w większości firm budżetowych) to mu zapchają całą rurke i tyle będzie miał z blokowania innych krajów

Raczej BGP Blackholing nie zrobi na iptables.. to się zakłada na routerach brzegowych sieci.

[Gość patrys]

@ToFFiK, no ale to nie atak z jednego komputera neostrady, a każdy inny który miałby być atakiem wpływającym na działanie serwera nie może być wycięty przez iptables.

Nie wiem czemu w LFD ( ostatnio widziałem taki serwer z tym ) są opcje ochrony przed DOS

 

Mniejsza strona tzn jaka? Dziennie mam ok. 1500 unikalnych odwiedzin, głównie z Polski.

 

To drobnostka, poszukaj jakiegoś sensownego VPS, albo i nawet hostingu z ochroną DDOS - ja takiego nie znam.

[Pan Kot 1535]

CSF i LFD to ochrona bardziej usług na tym serwerze niż samego serwera. Jak już pisałem wielokrotnie pakiety czy to udp czy syn i tak dolecą do kernela, i tak zajmą rurkę, i tak "będą" bo nie możemy sobie na serwerze stwierdzić, że nagle ich nie przyjmujemy i koniec. Można sobie zablokować cały ruch udp/tcp/icmp via iptables, a i tak udp floodem można rozłożyć serwer.

 

CSF jest dobre do bardzo małych ataków, głównie pojedynczych z powodu bardzo fajnego connlimita (można ustawić limit per IP i mieć z główki) oraz skanowaniu portów (bardzo fajnie działa). Problem jest tylko taki, że tak jak mówię to jest ochrona usług - jeśli apache czy inne dziadostwo Ci nie wyrabia podczas ddosu z cpu/ramem/io to pewnie, CSF może pomóc. Ale jak nie wyrabia rurka to sorry, ale możesz równie dobrze odłączyć serwer, a rurka i tak będzie zapchana.

 

I nie, nie ma możliwości we własnym zakresie na ochronę przeciwko ddos inną niż zminimalizowanie strat poprzez kilka fajnych praktyk. Po więcej info zapraszam do mojego poradniczka w odpowiednim dziale. Jeśli jednak liczysz na to, że cokolwiek będziesz w stanie zrobić to się mylisz, co najwyżej nie wywalić kernel panica w związku z OOM .

[chmuri 89]

Jeśli cloudflare nie da rady w pakietach płatnych to szykuj $$$.

[Gość patrys]

Przetestuj co się dzieje z connlimit przy uderzeniu większej ilości SYN nawet z jednego IP.

Lepszym modułem będzie hashlimit do blokowania ilości przepływających pakietów.

 

Rurka to tylko przy atakach UDP, przy TCP będzie problem z przerwaniami karty sieciowej.

 

@chmuri: dobrze ustawione CF w opcji business da radę + dobrze ustawiony też backend.

[cdcd 29]

Mówię o raczej sporym ataku, firma unixstorm wypowiedziała nam z powodu częstych i dużych ataków ddos umowę, dodała, że 90% polskich hostingów wyłozyło by się przy takim ataku, nie znam więc dokładnej jego wielkości.

 

 

Mniejsza strona tzn jaka? Dziennie mam ok. 1500 unikalnych odwiedzin, głównie z Polski.

 

Juz od dziś niby wchodzi http://www.ovh.com/fr/anti-ddos/ cena żadna ochrona dla wszystkich 480Gb/s

no ale to OVH

Edytowano Wrzesień 1, 2013 przez cdcd (zobacz historię edycji)

[zoxovsky 9]

Czyżby koniec soplicy?

 

Jedno wyjście : HOSTEAM lub OVH z firewallem na start 700zł (instalacja) potem 100zł per miesiąc.

[Lost 1]

Co właśnie sądzicie na temat tego hosteama?

Pomoc techniczna jest tam tylko w dni powszednie od 9 do 17 - to mnie martwi.

 

Zastanawia mnie także, czy nie bardziej opłąca się wykupić dzielony serwer z tańszych ofert, ale obawiam się, że moje forum byłoby zbyt obciążające.

[Pan Kot 1535]

Jak dostaniesz ddosa to z każdej innej firmy Cię wyrzucą.

 

Hosteam albo koniec z biznesem. Ew. jak masz umiejętności możesz walczyć z dedykiem/vps-em i moim poradnikiem, ale i to nie gwarantuje pełnej ochrony, nawet jak schowasz się za CF'em.

[zoxovsky 9]

W hosteam jest też pomoc w weekendy, tylko to trzeba indywidualnie omówić z nimi i cenę za ilość godzin roboty w weekendzie.

[LANcaster (kotkowicz.pl) 52]

Bez IPTables dużo nie wytnie, a na dedyku nawet po wycięciu jeśli nie będzie miał czegoś lepszego niż 100mbps (ba, żeby jeszcze było tyle gwarantowane w większości firm budżetowych) to mu zapchają całą rurke i tyle będzie miał z blokowania innych krajów

Co ma iptables do BGP Blackholingu?

[bermut 18]

Ja bym czekał aż OVH.pl wprowadzi (chyba, że już wprowadziło) ochronę DDoS na dedyki, a potem czekał na kimsyfy (chyba, że akurat te dostępne Ci podpasują).