[ZLECĘ] wordpress, połączone serwery i odpowiednia uprawnienia do dostępu

[nurgiel 1]

Cześć.

Sprawa wygląda następująco. Męczę się ostatnio z atakami ddos, a miałem rok spokoju. Chciałbym wprowadzić rozwiązanie, które jest dla mnie odpowiednie, a mianowicie zależy mi przede wszystkim na osobach, że tak powiem "premium".

Najlepiej wytłumaczę to na przykładzie.

Serwer 1 to serwer do którego mają dostęp wszyscy.

Serwer 2 to serwer do którego mają dostęp tylko premium userzy (mikro opłata), czyli osoby z odpowiednimi uprawnieniami.

Tak więc potrzebowałbym synchronizacji danych dwóch serwerów. Serwer 1 robiłby za taką bramkę.

Ddos leciałby na serwer 1, ponieważ nie miałby odpowiednich uprawnień jakiegokolwiek dostępu na serwer drugi. Wcześniejsza osoba zajmująca się kodem powiedziała, że się tak nie da, lecz support mojego hostingu odpowiedział, że się da:

""Rozwiązanie z dwoma serwerami jest możliwe, jednak tutaj kwestia implementacji tego po stronie skryptu strony. Dodatkowo serwer z docelową treścią może być zarówno dostępny za pomocą proxy przez 1 serwer, jak i może być osobnym serwerem, który za pomocą ACL będzie dopuszczał użytkowników autoryzowanych na serwerze 1.""

 

Tak więc szukam osoby, która wykonałaby taką modyfikacje.

środowisko - wordpress

system - VPS - centos-6-directadmin_v7

Baza danych - Wersja serwera: 5.6.27 - MySQL

 

[Fizyda 34]

Szczerze? Nie da się tego zrobić tak jak sobie myślisz, nawet w najlepszym przypadku user premium musi przejść w jakimś stopniu przez serwer 1, więc jeśli serwer 1 będzie leżał to pomimo iż serwer 2 będzie stał user premium nie będzie mógł się do niego dostać.

 

Co do odpowiedzi supportu to opcja z proxy będzie miała ten sam problem co opisałem wyżej, natomiast rozwiązanie z ACL nie wiem o co im mogło chodzić, ale pewnie że użytkownik loguje się na serwerze 1 i jeśli ma uprawnienia zostaje przekierowany na serwer 2. Niestety jeśli serwer 1 jest niedostępny to tak jak wyżej user nie dostanie się na serwer 2.

 

Jedynie gdyby zrobić specjalną subdomenę dla osób premium w tedy by to działało, ale w takim przypadku można ddosować oba serwery ponieważ publikujesz IP obu serwerów.

[Gość mariaczi]

Może warto użyć CF?

[nurgiel 1]

Oczywiście ekspertem nie jestem (wtedy nie szukałbym osoby), ale odnośnie tego, że gdyby serwer 1 leżał, user premium nie mógłby się dostać do serweru drugiego, no od tego są cookie i zapamiętywanie. Oczywiście problem będą mieli nowe osoby, które chcą dostać premium,ale stronę nie ddosują non stop, a właśnie o to konkurencji chodzi, o odcięcie mnie od źródeł zarobku.

Również i subdomena to też wyjście.

"takim przypadku można ddosować oba serwery ponieważ publikujesz IP obu serwerów."

Ale gdy jakiekolwiek połączenie, pakiety są odrzucane, bo użytkownik nie ma uprawnień?

 

Mariaczi. Z cloudflare bywa różnie. Używałem go, nic nie pomagał, a inni radzili mi go wyłączyć, ponieważ cloudflare maskuje niby ruch i wewnętrzny firewall nie może zanalizować ruchu. Może pakiet "pro" coś by pomógł, aktualnie sprawdzić mogę.

[nnd_newbie 10]

 

Ale gdy jakiekolwiek połączenie, pakiety są odrzucane, bo użytkownik nie ma uprawnień?

 

Rozumiem, że uprawnienia chcesz sprawdzać po stronie serwera WWW (cookie i te sprawy)?

 

Jesli tak to już za późno na odparcie ataku. Pozwalasz utworzyć połączenie HTTP i do ataków na wymianę komunikatów. Być może obciążenie będzie mniejsze niż normalne wejście na stronę, ale wciąż atak DDOD jest możliwy.

 

Myślę, że powinieneś raczej pomyśleć o porządnej ochronie AntyDDOS np w OVH. Jak ataki przestaną odnosić zamierzony skutek to się skończą.

[Fizyda 34]

... gdyby serwer 1 leżał, user premium nie mógłby się dostać do serweru drugiego, no od tego są cookie i zapamiętywanie.

Cookie tak nie działa. Jeśli użyjesz subdomeny w tedy dopóki nie opuści strony lub nie zamknie okna przeglądarki strona będzie mu działa zakładając że ddos idzie tylko na serwer 1 a nie 1 i 2. Taki użytkownik premium mógłby wrócić na serwer po ponownym otworzeniu przeglądarki gdyby zamiast wpisywać XXX.pl wpisał adres subdomeny premium, np. premium.XXX.pl w tedy będzie mógł przeglądać stronę bo serwer 2 (premium.XXX.pl) stoi, ale taka konfiguracja pozwala bez większego problemu dowiedzieć się jaki adres IP ma serwer 2 i jego również atakować.

Jeśli ktoś chce Cię pozbawić źródła zarobku to prawdopodobnie przy powyższej konfiguracji będzie atakował tylko serwer premium (serwer 2).

 

 

"takim przypadku można ddosować oba serwery ponieważ publikujesz IP obu serwerów."

Ale gdy jakiekolwiek połączenie, pakiety są odrzucane, bo użytkownik nie ma uprawnień?

To nic nie da ponieważ żądanie musi zostać przetworzone i muszą zostać sprawdzone uprawnienia - czyli takie pakiety powodują zużycie ram i cpu oraz zwrócenie odpowiedzi że nie ma uprawnień. Można jedynie zaniechać odpowiedzi, nie ma jednak technicznie możliwości by sprawdzić uprawnienia czy stwierdzić że to pakiet ddos bez jakiekolwiek jego przetwarzania. Dlatego nawet największe firmy nie są w stanie w 100% chronić się przed atakami DDOS.

 

Oczywiście można by zrobić jakieś filtrowanie po adresach IP i zezwalać na łączenie się tylko z adresów IP które są potwierdzone że należą do użytkowników premium, ale pracy przy tym jest sporo i trzeba rozwiązać po drodze kilka problemów technicznych. Dodatkowo nie gwarantuje to że nie uwali Ci ktoś serwera premium ponieważ to tylko zmniejszy zapotrzebowanie na CPU i RAM przy odrzucaniu użytkowników bez uprawnień, ale nie zminimalizuje tego do zera.

 

Można też bawić się w jakiś dodatkowy trzeci serwer który byłby wystawiony tylko do świata z varnishem albo haproxy, jednak to jest dodatkowy serwer (koszt) i nadal uwalenie tego serwera odcina dostęp wszystkim, ale wymaga większego ataku ddos.