Problem z powtarzającymi się atakami DDoS

[Ivellios]

Mam pewien problem z następującymi w regularnych odstępach czasu atakami DDoS na moje serwery.

Prowadzę radio internetowe, które do działania wykorzystuje dwa serwery: dedykowany (dla www) oraz VPS-a (do nadawania radia). Od jakiegoś czasu, praktycznie co tydzień, podczas jednej z audycji nadawanych na żywo obydwa serwery są DDoS'owane, skutkiem czego audycja jest przerywana, a serwer dedykowany sypie naprzemiennie 502-kami i komunikatami o niedziałającej bazie danych.

Próbowałem już wszystkiego, co tylko przyszło mi do głowy, włącznie z dość agresywnymi ustawieniami fail2ban (na dedyku) i mod_evasive (na VPS-ie). Próbowałem również "podłączyć" dedyka do CloudFlare, jednak mimo że pozornie wszystko było ustawione poprawnie to poskutkowało to komunikatami o błędach u części użytkowników ("origin DNS error"), więc z CF póki co dałem sobie spokój. Włączyłem nawet sprawdzanie IP każdego odwiedzającego z bazami typu Bouscout i AbuseIPdb (atakujące moje serwery IP w dużej części widnieją w obu bazach oznaczone jako "dokonujące ataków"), jednak na dłuższą metę nic to nie dało, ataki następowały w dalszym ciągu.

Ponieważ sam już nie daję sobie z tym rady, chciałbym prosić bardziej obeznanych w temacie ochrony przed DDoS-ami o jakąś poradę, co dalej robić. Poszukiwania rozwiązania w Internecie zwykle kończy się na tym, że ktoś próbuje wcisnąć ochronę kosztującą lekko 700 zł rocznie bez VAT-u - mnie jednak nie stać na ponoszenie takich wydatków tylko dlatego, że jakiś znudzony złośliwy żywy ludzki shit bawi się w ddosy Poszukuję jakiegoś rozwiązania, które nie wydrenuje mi portfela.

Słyszałem coś o stawianiu routera przed serwerem dedykowanym, jednak kompletnie nie mam pomysłu, jak się do tego zabrać.

[MaxPan]

Powiem tak jeśli 700 zl rocznie to dla Ciębie jest kwota nie do zaakceptowania, to nawet nie wiem co doradzić, bo nieznam darmowych sposób ochory przed ddosem i żeby to było w miarę skutecznie.

Cytat

że jakiś znudzony złośliwy żywy ludzki shit bawi się w ddosy

Sytuacja dziwna bo jeśli to niekomercyjny projekt po co ktoś ma marnować zasoby na ddosy. DDosuja w 3 przypadkach kiedy w gre wchodzi kasa, polityka lub Ciębie ktoś prywatmie nie lubi.. Ty mówisz, że  Ciębie to nie dotyczy.

Cytat

Próbowałem również "podłączyć" dedyka do CloudFlare

ale opcją FREE?

[Ivellios]

4 minuty temu, MaxPan napisał:

ale opcją FREE?

Tak, opcja FREE.

 

Nie chodzi mi o jakąś koniecznie darmową opcję, tylko o taką, żeby nie była zbyt kosztowna. Nie jestem jakąś internetową grubą rybą z grubym portfelem  DDoS'ujący to prawdopodobnie jakiś doświadczony w temacie troll z jednego z polskich "czanów". Robi to, bo tak mu się podoba, a potem cieszy mordę że coś komuś rozwalił.

[MaxPan]

Nie masz racji co do tego kto prawdopodobnie to robi, ale to dyskusja nie na ten temat. 

Jak nie konieczne darmowe ma być zabezpieczenie  to przetestuj CF ale inny plan jak Free.

[piotr.k]

1 godzinę temu, Ivellios napisał:

origin DNS error

oznacza zazwyczaj skopaną konfigurację usług DNS w CF

Godzinę temu, MaxPan napisał:

przetestuj CF ale inny plan jak Free

20$/mies. to więcej niż 700zł/rok

[qlwik]

Kolokacja nie daje w pakiecie ochrony DDOS?

[Mion]

11 godzin temu, Ivellios napisał:

Próbowałem już wszystkiego, co tylko przyszło mi do głowy, włącznie z dość agresywnymi ustawieniami fail2ban (na dedyku) i mod_evasive (na VPS-ie).

Nie jestem eXpertem do sieci, ale IMHO ruch powinien być w tym wypadku filtrowany na routerach przed wejściem na serwer. Porozmawiaj z swoim adminem serwera / lub oraz usługi hostingowej.

[theqkash]

13 godzin temu, Ivellios napisał:

Od jakiegoś czasu, praktycznie co tydzień, podczas jednej z audycji nadawanych na żywo obydwa serwery są DDoS'owane, skutkiem czego audycja jest przerywana, a serwer dedykowany sypie naprzemiennie 502-kami i komunikatami o niedziałającej bazie danych.

Czy masz w logach informację na temat tego co dokładnie powoduje zamieszanie? Jak wygląda obciążenie serwera w trakcie ataku?

Pytam dlatego, bo znane mi są przypadki podejrzenia DDoS'a, a okazało się, że strona internetowa była tak kiepsko zoptymalizowana i naśmiecona zapętlającymi się skryptami, że potrafiło to wszystko przewrócić serwer.

[Ivellios]

53 minuty temu, theqkash napisał:

Czy masz w logach informację na temat tego co dokładnie powoduje zamieszanie? Jak wygląda obciążenie serwera w trakcie ataku?

Jedyne co udało mi się znaleźć z moimi skromnymi umiejętnościami to informacje o IP generujących największą ilość połączeń.

Kolokacja nie daje w pakiecie ochrony DDOS?

To jest dedyk z Kimsufi. Niby jest w pakiecie jakaś ochrona przed DDoS'ami, no ale właśnie, to co się dzieje z moim serwerem pokazuje, że jest ona jakaś 

Nie masz racji co do tego kto prawdopodobnie to robi, ale to dyskusja nie na ten temat.

Racja, danych tej osoby nie mam, ale na co najmniej jednym z bardziej popularnych czanów tydzień w tydzień co piątek pojawia się wątek poświęcony audycji, która jest nadawana w moim radio w soboty o północy, i zawsze każdemu padnięciu mojego serwera www i/lub radiowego towarzyszą radosne wpisy typu "PACH!", "ZDYCHA ZDYCHA ZDYCHA", "KOMPROMITACJA CW**A", "spadło z rowerka xD" itp. Sygnał radia jest też retransmitowany na oficjalnym kanale na youtube, i tam również przed padnięciami często pojawiają się wpisy typu taki jak ostatnio: "będziesz miał te radio rozj***ne, cucku". Ktoś to robi z czystej złośliwości po prostu.

[Mion]

11 minut temu, Ivellios napisał:

To jest dedyk z Kimsufi. Niby jest w pakiecie jakaś ochrona przed DDoS'ami, no ale właśnie, to co się dzieje z moim serwerem pokazuje, że jest ona jakaś 

To jakiego rzędu - ile reqiestów na sekundę masz ruchu podczas "ataku"  ?

[theqkash]

@Ivellios jeżeli chcesz, odezwij się na maila biuro@simpleideas.pl - zerknę co się tam święci.