Ataki DDOS

[dargre`]

Ciekaw jestem czy i w jaki sposób radzicie sobie z atakami DDOS na serwer.

Ja wiem, że z poziomu software (firewalle), to niewiele da się zrobić, niemniej w moim przypadku nie podejrzewam, żeby to były ataki super-profesjonalne.

W ogóle w moim przypadku mam do czynienia z czystej krwi szantażem i e-terroryzmem. Jakiś Chińczyk śle swoje żadania, czasem chodzi mu o pieniądze, czasem sam nie wiem o co, bo nijak zrozumieć jego angielskiego. Niemniej zapowiada że zaatakuje serwer i tak robi. Zdarzyło się już chyba 4 razy. Serwer stoi u Hetznera, więc dostaję szybko informację o ataku, ale sam Hetzner to juz rączki umywa, jeśli chodzi o konkretną pomoc.

Niestac mnie na wykupienie profesjonalnych usług anti DDOS. No może i stać, ale cały biznes staje się nieopłacalny wtedy.

Jakies sugestie?

Ja wiem, przeczekać można, aż się bandycie-żółtkowi znudzi, ale nawet parę godzin padu serwera to straty, szukajki tez to od razu widzą i są konsekwencje, które ciężko odrobić.

[MaxPan]

Atakuje prawdopodobnie przy pomocy chińskich zombi, weź sobie wytnij na serwerze cale Chiny i po zabawiam. chyba, że ruch z Chin Ciebie interesuje,. Można oczywiście jeszcze chronić się sprzętowo i programowo, ale nie za bardzo to działa, chroni tylko przed amatorskimi atakami.

[dargre`]

Atakuje prawdopodobnie przy pomocy chińskich zombi, weź sobie wytnij na serwerze cale Chiny i po zabawiam. chyba, że ruch z Chin Ciebie interesuje,. Można oczywiście jeszcze chronić się sprzętowo i programowo, ale nie za bardzo to działa, chroni tylko przed amatorskimi atakami.

Sorry, ale to nie tak. Ruch z Chin mam już dawno wycięty, przynajmniej tyle ile się da (poprzez coutry code w CSF i osobną długą listę zkresów IP). Ataki ida z najróżniejszych lokacji. Ostatni np wyłącznie z serwerów US, ale wcześniej to był cały świat praktcznie, od Rumuni, poprzez Szwajcarię aż po Meksyk.

Przy ostanim ataku (dziś w nocy), serwer jeszcze nie padał na 100%, pewnie dlatego, że poustawiałem więcej zapór, ale i tak pracować się nie dało.

W tej chwili serwer śmiga, a nie przypuzczam, żeby żółtek odpuścił.

Podejrzewam, że Hetzner coś tam przyblokował, bo ataki szły z bardzo zbliżonych IP zaczynających się na 162.221 (US). Ale poprzednio było gorzej. IP najróźniejsze, lokacje też.

[MaxPan]

Rozumiem, to znaczy nie amator, tym gorzej oczywiście dla Ciebie.Ile chce kasy?

[dargre`]

Raczej amator, bo programistyczne zero. Tylko pewnie ktoś mu dostarczył łatwe do uruchomienia narzędzie.

Ja znam nawet strony tego zółtka. Ba nawet potrafię się na nie włamać i zniszczyć zawartość, bo akurat dziury w jego skrypcie dobrze znam. Tylko co mi to da? Zemstę chińskiego zombie? Mam jego email, nawet jego email PayPal. Do PayPala zresztą już napisałem, w związku z szantażami. Ale wiadomo, wszystkie te giganty (PayPal,Amazon,Google,itd) to bezmózgie automaty i wątpię, żeby cokolwiek sensownego można było po nich się spodziewać. Od 4 dni zero odzewu.

[MaxPan]

paypal myślę że ma lewy, ale to że napisaleś na PayPal to dobrze, myślę że zbanują

[dargre`]

No coż, wypada przeczekać.... Trochę zawartości serwera rzucę na cloudflare, niestety plików multimedialnych się nie da...A jest tego ponad 1 giga. Moje strony akurat jakieś tam znaczenie mają. Na stronach programistycznych przez lata uzbierało mi się jakieś 6 tys. klientów, kilkanaście tysięcy skryptów i programów poszło do ludzi. Z kolei inna strona to 50K użytkowników. Niestety jest o co się martwić. Strony tego żółtka to z kolei porno chłam. Żadna strata, jakby wyeliminować. Nie mam go nawet czym postraszyć.

[mcmagik]

a ja bym mu te stronki wy-ye-bał w kosmos z pozdrowieniami z Polski

najstarsze powiedzenie mówi "Ogień zwalczaj ogniem" - niech wie, że nie trafił na lamera, że posiadasz wiedzę nie mniejszą o nim, niż on o Tobie.

[mghost.pl]

Mcmagic, za Twoją radę można iść siedzieć.

[mcmagik]

@up jasne, że można.. ale myślisz, że chińczyk poskarży się komukolwiek? widziałeś kiedyś złodzieja, który zgłasza na policję, że ukradli mu fanty??

chińczyk doskonale wie, że jest przez europejczyków nietykalny - nie mamy w Polsce mocy, żeby ścigać ludzi z krajów Dalekiego Wschodu.. stąd jego szantaż i jakoś nie spodziewałbym się, aby kolo odpuścił jak mu się @dargre` postawi okoniem.. w myśl "daj palec to będą chcieli całą rękę" nie odpuści także wtedy gdy @dargre` mu zapłaci - wtedy poczuje, że może więcej.. i dopiero zaczną się jazdy..

żeby nie było, że namawiam do czegoś złego.. generalnie uważam, że to niemce i ich maszyny powinni zapewnić bezpieczeństwo przed atakami.

[Nikonem]

@up, taka ekipa kiedyś okradła sąsiada mojego dobrego kumpla. Źle trafili, fanty wróciły w ciągu tygodnia, nie wierzę też że nie mieli lekkiego oklepu. Naturalnie Policji nikt nie fatygował Sorki za O/T.

[mghost.pl]

@dargre', Wiesz może jakiego rzędu wielkości są te ataki?

Bezkosztowo na początek możesz schować stronę za cloudflare.

Musisz tylko dość umiejętnie skonfigurować całość, żeby przypadkiem gdzieś w DNSach nie ujawnić IP Twojej maszyny.

Dodatkowo z poziomu panelu CF możesz wyciąć całe Chiny, jeżeli nie są Twoim targetem i nie zależy Ci na odwiedzinach z tamtych rejonów.

Jeżeli są to spore DDOSy, to możesz przenieść stronę do OVH na jakąś ich dedykowaną maszynę lub nawet VPS, chociaż w przypadku VPSa nie skonfigurujesz VACa tak, jak w przypadku własnej maszyny.

Wszystko kręci się wokół budżetu i kreatywności.

Możesz też mieć serwer w Polsce, tylko trzeba go będzie schować jakimś CISCO ASA. Gdybyś potrzebował konkretnych rozwiązań lub pomocy w ich wdrożeniu - wal śmiało

Chętnie pomogę

[dargre`]

@darge', Wiesz może jakiego rzędu wielkości są te ataki?

Bezkosztowo na początek możesz schować stronę za cloudflare.

Musisz tylko dość umiejętnie skonfigurować całość, żeby przypadkiem gdzieś w DNSach nie ujawnić IP Twojej maszyny.

Dodatkowo z poziomu panelu CF możesz wyciąć całe Chiny, jeżeli nie są Twoim targetem i nie zależy Ci na odwiedzinach z tamtych rejonów.

Jeżeli są to spore DDOSy, to możesz przenieść stronę do OVH na jakąś ich dedykowaną maszynę lub nawet VPS, chociaż w przypadku VPSa nie skonfigurujesz VACa tak, jak w przypadku własnej maszyny.

Wszystko kręci się wokół budżetu i kreatywności.

Możesz też mieć serwer w Polsce, tylko trzeba go będzie schować jakimś CISCO ASA. Gdybyś potrzebował konkretnych rozwiązań lub pomocy w ich wdrożeniu - wal śmiało

Chętnie pomogę

Dzięki za sensowne rady, niestety sporo z nich nie do wdrożenia w moim przypadku.

Po pierwsze VPS odpada, z takiego poziomu to ja wyszedłem kilka lat temu. Po prostu moje potrzeby są większe, zarówno jeśli chodzi o moc onliczeniową (CPU), pamięć, transfer, jak i zasoby na dyskach (musi być kilka TB).

Pisałem też wyżej o moich zasobach multimedialnych, to prawie 2 GB filmów i podobnych, streamowanych na co dzień. Jak na pewno się orientujesz Cloudflare do takich celów się nie nadaje. Ja powoli przerzucam pliki multimedialne na subdomeny, zmieniam tez skrypty w tym celu, po to żeby jednak móc użyć Cloudflare, tyle, że bez udziału w/w plików multimedialnych.

Tak czy inaczej, w przypadku padu serwera takie pliki już nie pójdą, a to jest esencja moich stron i serwisów.

O serwerach zlokalizowanych w PL nie myślę, bo wszystkie moje zasoby są kierowane na szeroko pojęty świat, a w szczególności na US. Mój główny traffic to US, UK, DE, IT, ES, FR, CA.

Myślałem już o OVH, tym z serwerami w US, ale niewiele jeszcze przejrzałem recenzji, wiem, że na starcie nie była to rewelacja. Poza tym przenosiny na inny serwer z moimi zasobami, tonami zaawansowanych instalacji linuksowych to naprawdę masakra. Pamiętam kiedyś skorzystałem z usług instalacyjnych jakiegoś zachwalanago na polskim webhostingtalk speca linuksowego, i jak dziś to wspomnę, to powiem tylko "czysta amatorka". Dlatego z czasem nauczyłem się wszystkiego sam (bynajmniej tego co potzrebuję). Ba, służyłem póniej takimi usługami dla setek innych użytkowników na całym świecie. No i na szczęście, w razie większych komplikacji miałem pod ręką syna, pana Inżyniera . W szkole go niewiele nauczyli, ale przy tacie, a przede wszsystkim dzięki własnym predyspozycjom i chęci "zarabiania", w końcu stał się specem i zawsze mi pomagał (skutecznie) jak miałem jakiś problem z nietypowym linuxem i instalacją. Te instalacje to różne rzeczy: biblioteki multimedialne, ffmpeg,mplayer i wszystko na około, memcache, xcache, sphinx, i masę innych dupereli.

Jak pomyślę o zmianie serwera dla siebie, to od razu mam drgawki...

Kiedyś miałem serwery Choopa, Servint. Servint doskonały, ale drogo mnie wychodziło, i przeniosłem się do Hetznera. O OVH niewiele stosunkowo wiem. Wiem że oferują ochronę DDOS, ale nie wiem od jakiego poziomu dla dedyków.

Trochę mi brakuje czasu, żeby poczytać na WHT (tym angielskim).

Co do Chin to już wspomniałem, że od lat blokuje taki traffic. Robię to z poziomu firewalla CSF stosując country code. Mam tez osobną aktualizowaną listę zakresów chińskich IP stosowaną z poziomu httpd. I tak zawsze jakieś chinole się przemycają. Tyle, że same ataki nie idą z chińskich maszyn, albo jest ich niewiele. To idzie z bardzo różnych IP i lokacji.

Blokuje też parę innych nacji, Pakistan, Indie, Wietnam, i jakieś tam pomniejsze dziadostwo.

Żóltek zaatakował mnie ostatnio jeszcze raz w niedzielę w godzinach nocnych (jakieś 5 godzin). Przez pierwsze 2 godziny serwer jeszcze działał, choć mocno mulił, później padł do rana. Hetner wysłał mi info o ataku z przykładową listą IP.

Na razie postanowiłem przeczekać, poczekać na reakcję Hetznera, tudzież PayPala. Wzmocniłem ustawienia firewalla, postawiłem jakieś dwa następne softy. Wiem, że to nic nie da w przypadku poważnego ataku DDOS, ale może na tego żółtka cokolwiek pomoże.

Nie sądzę też, żeby żółtek długo się czepiał. Zorientuje się, że u mnie nie ma czego szukać i poszuka innej ofiary.

Póki co serwer śmiga od poniedziałku, chińczyk tez na razie nie szantażuje, albo jest przyblokowany.

Sorry za literówki, ale ja strasznie szybko piszę i w dodatku najczęściej po angielsku....

[mghost.pl]

Wiesz, blokowanie z poziomu CSFa jest skuteczne dla relatywnie małych ataków o małej liczbie pakietów. Przy intensywnym dobijaniu się do Twoich interfaceów sieciowych możesz przez KVMkę obserwować jak rośnie obciążenie CPU.

Więc przy sporych atakach sam na siebie bata kręcisz, bo albo wysycą Ci rurkę do Twojego interface'u albo CSF zarżnie wkońcu CPU.

Nie znałem zastosowań do jakich potrzebujesz ochrony, dlatego strzelałem pomysłami trochę na oślep.

Rozwiązania OVH (i mówię tu o OVH, nie kimsufi) faktycznie dobrze dają sobie radę z ograniczeniem ataków.

Możesz faktycznie strony trzymać na maszynie w hetznerze ale schowanej za CF, a subdomeny już bez ochrony CF ze względu na streaming wrzucić do OVH i zdać się na łaskę ich filtrów.

Jesteś w stanie oszacować utylizację łącza? W TB/mc albo w średnim miesięcznym wysyceniu portu?

Mam tam w OVH jedną, słabą maszynę, ale jeżeli miałaby tylko serwować pliki, to mógłbyś sobie przetestować jak to się sprawuje.

[dargre`]

Juz nie będę się zagłębiał w szczegóły moich zapotrzebowań, ale słabszy serwer czy VPS na stronę odpada. bo taki primary serwer ma na co dzień mnóstwo ciężkich procesów, które źrą cały CPU na pokładzie, a i na RAM zapotzrzebowanie olbrzymie. I tak, przy moich 8 CPU żużycie często idzie na 750% i niewiele zostaje na stronę, a 16GB RAMu to takie minimum (mam 32GB). Żadna oferta VPS czy niedrogiego dedyka takich parametrów mi nie da. A płacenie za dwa droższe dedyki to póki co trochę za dużo.

Ale teraz z innej beczki. Pośledziłem jeszcze tego żółtka, i odkryłem, że dużą część swoich zaobów trzyma w takiej oto firmie hostingowej: clear-ddos.com

To dopiero zagadka. Jak dla mnie to pokazuje, że gnojek wie co robi, i sam się chowa za podwójną gardą.

No i akurat teraz mam kolejny dylemat. Dostałem właśnie zamówienie na produkt. Nic nowego, codziennie idą jakieś zamówienia. Ale to akurat jest właśnie z Chin. Jakoś sie przebił przez zapory żółtek. Niby inny IP, niby inna strona, inny host, inny email PPala, ale juz sam nie wiem... chyba odrzucę zamówienie. Nic dobrego to zamówienie nie wróży.

Jaz zaakceptuję i dam software, może Chinol wrócić i żądać pieniędzy z powrotem, albo grozić DDOS-em, jak już się zdarzyło w 2 przypadkach w tym m-cu. Jak odrzucę zamóienie to z zemsty też może żółtek pojechać.

Nigdy wcześniej mnie to nie spotykało, przez wiele lat funkcjonowania na różnych rynkach. Może to wszystko ten sam żółtek, albo kolesie...