Atak DDoS Cloudflare nie daje rady

[Cadman 0]

Jestem DDoS-owany, przez ogromny botnet, wszystkie IP sa rozne, a atak idzie z kilku krajow, uzywam Cloudflare, ale od dzisiaj, z jakiegos powodu przestal mnie bronic, czy jest jakis sposob, by skutecznie sie bronic przed takim atakiem

[Cadman 0]

ogolnie, boty/zombie wchodza na 2 rozne podstrony niesamowita ilosc razy na sekunde, powodujac, ze serwer nie wytrzymuje, te 2 strony to 1. strona glowna 2. strona z informacja o przedmiocie, ani jedna, ani druga nie robi zadnych specjalnych rzeczy, to nie problem ze skryptem"

[gutek 23]

Według mnie wycinka ipków które wogóle Ciebie nie interesują, u mnie np. odcięty cały wschód, afryka, ameryka, ogólnie 3 świat itp

 

A limitowanie na sieć lub ipka w iptables np. odpowiednia ilość na min albo nawet na kilka sekund?

Edytowano Wrzesień 17, 2015 przez gutek (zobacz historię edycji)

[Cadman 0]

nie chce blokowac calych krajow, a nawet jakbym chcial, to bym musial blokowac po IP-Range-ach, bo Cloudflare nie pozwala na blokowanie krajow, pozwala tylko w planie, za ktory chca jakos 18k zl/miesiac, a blokowanie w iptables da mi bardzo malo, bo atak i tak bedzie dochodzil do mojego serwera, tylko nie bedzie wykonywal jakiejs minimalnej ilosci kodu, nawet jakbym blokowal to i tak bedzie dochodzic, najlepiej jest blokowac na Cloudflare, ale musze zmienic plan na Pro, czego jeszcze nie moge zrobic

Edytowano Wrzesień 17, 2015 przez Cadman (zobacz historię edycji)

[Gość patrys]

Kiepski avatar i może swój trafił na swego ?

 

Cloudflare to tylko jedna z metod ochrony, trzeba pamiętać o tym, że atakujący może znać IP, więc należało by je zmienić i sprawdzić dokładnie co oraz jak jest atakowane

Trzeba też pamiętać, że Cloudflare nie blokuje stricte ataku dos i filtracja musi być za nim.

No i po trzecie, jedyną filtracje DDOS ma dopiero pakiet Bussiness, ale ten za pewne jest wykupiony.

[blfr 225]

Trzeba też pamiętać, że Cloudflare nie blokuje stricte ataku dos i filtracja musi być za nim.

Jak nie blokuje? Cały ruch przechodzi przez ich serwery.

[Cadman 0]

Pierwszy punkt patrys-a, jest bardzo dobry, zupelnie o tym zapomnialem, ale nie do konca jestem pewien, jak ktos moglby znalezc prawdziwy adres IP serwera.

Drugi i Trzeci nie maja wiekszego sensu, caly ruch przechodzi przez cloudflare, i filtruja na kazdym planie, nie tylko na Business, na Pro i Business jednak dostajesz wieksza kontrole nad ochrona, na Free masz ochrone przez blokowanie IP i stopnie ochrony, przy "Im Under Attack" powinien filtrowac wszystkie ataki, ale z jakiegos powodu nie filtruje, filtracja za nim jest po prostu kiepskim pomyslem, po to jest Cloudflare zeby ruch NIE DOCHODZIL do twojego serwera

[Marek607 655]

trzeba pamiętać o tym, że atakujący może znać IP, więc należało by je zmienić i sprawdzić dokładnie co oraz jak jest atakowane

Trzeba też pamiętać, że Cloudflare nie blokuje stricte ataku dos i filtracja musi być za nim.

No i po trzecie, jedyną filtracje DDOS ma dopiero pakiet Bussiness, ale ten za pewne jest wykupiony.

 

Najlepiej wyciąć ruch dla ruchu http(s) dla wszystkiego poza cloudflare: KLIK

On ma problem z dużą ilościa requestów do stron, więc to powinno pomóc.

 

Blokada jest dla planu enterprise:

 

https://support.cloudflare.com/hc/en-us/articles/200171406-How-do-I-block-connections-based-on-country-or-countries-

 

Plan Biznes to 200$, Plan Enterprise "Averages $5,000/month"

[kori 29]

Próbowałeś opcji

[Gość Kamikadze]

Pierwszy punkt patrys-a, jest bardzo dobry, zupelnie o tym zapomnialem, ale nie do konca jestem pewien, jak ktos moglby znalezc prawdziwy adres IP serwera.

 

Drugi i Trzeci nie maja wiekszego sensu, caly ruch przechodzi przez cloudflare, i filtruja na kazdym planie, nie tylko na Business, na Pro i Business jednak dostajesz wieksza kontrole nad ochrona, na Free masz ochrone przez blokowanie IP i stopnie ochrony, przy "Im Under Attack" powinien filtrowac wszystkie ataki, ale z jakiegos powodu nie filtruje, filtracja za nim jest po prostu kiepskim pomyslem, po to jest Cloudflare zeby ruch NIE DOCHODZIL do twojego serwera

 

 

Próbowałeś opcji

[Cadman 0]

Tak, mamy "Im Under Attack" tryb wlaczony, tak jak napisalem wyzej, ale nie blokuje ataku, z jakiegos powodu, dodalem wlasnie tez wszystkie reguly iptables, ktore blokuja wszystkich, poza ip, ktore uzywamy, ale tez nie pomoglo, co pewnie znaczy, ze ruch idzie przez Cloudflare mimo wszystko

[kori 29]

Nie siedź z założonymi rękami, wycinaj zakresy atakujących IP na cloudflare.

Nie jestem pewien jak jest z ipv6, zdaje się że domyślnie mialem wylaczone na cloudflare,

może to trzeba wlaczyc i osobno wyciać, nie wiem...

Edytowano Wrzesień 17, 2015 przez kori (zobacz historię edycji)

[Cadman 0]

Chcialem wycinac, ale robiac to, ucinam mase prawdziwych uzytkownikow, ktorzy po prostu wchodza na strone, a pozniej nie bede wiedzial kto byl prawdziwym uzytkownikem, a kto nie

[behemoth 230]

A maile wysyłasz z tego samego ip, z którego serwer serwuje treść?

[Cadman 0]

meile ida z innego serwera

serwer www ma zupelnie inna lokalizacje niz pocztowy

Edytowano Wrzesień 17, 2015 przez Cadman (zobacz historię edycji)

[Marek607 655]

Jeśli ustawił w iptables ruch http tylko via cloudflare to po co mu każecie siedzieć i wycinac pojedyńcze ip skoro juz to ma zrobione?

 

Ogólnie za mało informacji podesłałeś, wiemy tylko że "serwer" nie wyrabia i ruch jest tylko poprzez CF.

Napisz co konkretnie nie wyrabia bo inaczej nie pomożemy

 

 

[protoplasta 25]

Ogółem cloudflare w wersji darmowej to syf, bardziej przeszkadza niż pomaga. U mnie jak działo się podobnie to pomagało jedynie wyłączenie CF mimo iż nie mam żadnych zabezpieczeń typu antyddos, fail2ban ładnie sobie radził. Serwer musiał przemielić więcej danych ale wszystko chodziło sprawniej.

Edytowano Wrzesień 17, 2015 przez protoplasta (zobacz historię edycji)

[Cadman 0]

Nie wyrabia apache2.2.22, czytalem w jakis super pomocnych "jak zaoptymalizowac apache", ze trzeba obnizyc MaxClients, ale ich powod nie byl dla mnie prawdziwy, wiec mam MaxClients ustawione na 120, a dziala w trybie prefork MPM ( jestem prawie pewien ), apache odbiera krotkie i dlugie zapytania na wszystkie 120 otwartych kilentow, zapytania te trwaja czasami naprawde niesamowite dlugie REQ, na ktorego temat znalazlem bardzo malo informacji

[protoplasta 25]

Powiem ci że przerabiałem to samo, bawiłem się zmiany w konfiguracji ale jeżeli było lepiej to z drugiej strony serwer był obciążany w większym stopniu i ciężko było znaleźć złoty środek. Na pewno w jakiś sposób zmiana konfiguracji działa i cloudflare na dosa nie działa (bo właśnie taki masz atak, a nie ddosa), jedynie pomoże wyłączenie CF i skonfigurowanie fail2ban.

[Cadman 0]

oglnie cos takiego

 

https://en.wikipedia.org/wiki/Denial-of-service_attack

[Gość patrys]

Free i pro nie filtruje ataków DDOS dla warstw 4/7.

Więc wpierw doczytaj, zapytaj, a nie bądź najmądrzejszy, bo to Twój serwer nie wyrabia.

[Cadman 0]

Jezeli bycie najmadrzejszym znaczy posiadanie umiejetnosci czytania ze zrozumieniem, to tak, najwyrazniej masz racje.

Jak chcesz tylko gadac glupoty, wprowadzac ludzi w blad, i nie chcesz pomagac, to nie probuj, ja tego nie potrzebuje, nikt tego nie potrzebuje"

Edytowano Wrzesień 18, 2015 przez Cadman (zobacz historię edycji)

[robson345 53]

Link do strony podaj.

[Gość l3szcz]

A nie myślałeś o ataku na serwer SQL? Jeżeli to możliwe, to sądzę, że i przez to DDoSy mogą iść.

[Cadman 0]

Wlasciwie nie, nie myslalem, ciekawy pomysl, ale akurat w moim przypadku wiem, ze atak idzie na serwer ze strona, bo obserwuje go w mod_status, widze na jakie strony idzie atak, i wiem, ze te strony nie robia nic specjalnego, wiem tez, ze ruch idzie przez cloudflare, ale z jakiegos powodu nie jest blokowany, i tyle. Bedac bardziej precyzyjnym, mam na Cloudflare ustawione dwie zasady, na obie strony ktore sa atakowane, obie na najwyzszym poziomie ochrony "Im Under Attack", niestety nic z tego nie wynika, atak przechodzi, jak gdyby nigdy nic, probowalem tez oczywiscie ustawic ochrone na cala strone na "Im Under Attack", ale rezultat byl identyczny. Jedyne co sie zmienilo od wczoraj, to Cloudflare albo blokuje wiecej ataku, albo atakujacy zaczyna sie nudzic, bo robi sobie dluzsze przerwy niz robil sobie wczesniej"

Edytowano Wrzesień 18, 2015 przez Cadman (zobacz historię edycji)