! Poważny atak DDOS - jaki hosting

[Mion]

Potrzebujesz przede wszystkim kogoś kto ich wytnie zdecydowanie dalej niż serwerownia (tp'sa itd.).

Kogo wytnie Wiesz na czym polega atak DDOS....

Żądana są robione z zainfekowanych komputerów z botnetu z różnych IP których mogą być tysiące np w celu unieruchomienia serwisu nawet w celach przestępczych jak zasugerował autor topiku - haracz za zaniechanie ataku.

Jeśli nie znajdziesz innego Możesz spróbować takiego sposobu:

- instalujesz memcache;

Na samym początku skryptu PHP

- w pamięci memcache zapisujesz wszystkie IP klientów którzy wykonują żądania oraz czas w jakim nastąpiło;

- przy następnym żądaniu sprawdzasz w pamięci czy dane IP już jest i ile czasu minęło od ostatniego żądania i jeśli ten czas będzie mniejszy niż powiedzmy 1-2 sekundy kończysz skrypt komendą die('---'); lub exit; Dzięki temu skrypt się nie wykona w całości co zaoszczędzi zasoby komputera przy tak dużej ilości żądań.

Zobacz też:

https://nfsec.pl/hakin9/ddos.pdf

[INOMan]

Spoko Mion, myk z memcached - zawsze jakieś rozwiązanie na poziomie aplikacji. Jednak czym dalej od aplikacji jest problem rozwiązywany tym lepie czyli: aplikacja -> serwer www -> serwer (w sensie sieć/iptables/inne) -> infrastruktura sieciowa hostingu: routery/firewalle

[Mion]

Wiadomo, że in dalej od serwera tym lepiej, ale jak to się mówi "na bezrybiu i rak ryba"

[spookypld]

1. Przeniesienie się na inny serwer nie pozbawi cię kłopotów, a tylko pokaże, jak bezsilny jesteś.

2. Atak może nie być przeprowadzany dla kasy, co by mnie wcale nie zdziwiło.

3. W sieci jest mnóstwo materiałów na temat jak się uchronić przed atakiem DDoS. IMHO lepiej zatrudnić porządnego admina niż się męczyć.

[INOMan]

Tak jest mnóstwo materiałów jak się bronić - ale softwarem to tylko do pewnego stopnia się obronisz (zależy jeszcze od specyfiki ataku), przy dużym ataku z botnetu tak czy inaczej trzeba iść w sprzęt/infrastrukturę.

[Mion]

Przy strategicznym ataku z botnetu nic nie zrobi nawet super admin:

Gdy wiosną ub.r. ofiarą DDoS padły największe amerykańskie serwisy internetowe, m.in. Yahoo!, Amazon.com, CNN.com, eBay.com, Buy.com, ETrade.com czy ZDnet.com, wszyscy zastanawiali się, jak tacy giganci internetowi mogli skapitulować przed cyberwandalami. Przyczyna okazała się prosta. Mimo że metoda DDoS była już od dłuższego czasu znana, to do tamtej pory nigdy nie zastosowano ją na tak dużą skalę. Portal Yahoo! oceniał straty spowodowane trzygodzinną przerwą w działaniu na kilka milionów dolarów.

Nie jestem fachowcem od sprzętu, ale Twój atak chyba nie jest z tych największych więc sama infrastruktura sieciowa nie powinna przy siadać. Możesz zrobić prosty test - podmień tymczasowo plik index na echo "Hello world"; i jeśli w czasie ataku serwer będzie wstanie wyświetlić poprawnie stronę z tym napisem to sama blokada atakujących IP na poziomie serwera i aplikacji powinna też przynieść zadowalające efekty - sprawdź...

[zgred]

1. zainstalwoanie PIX CIsco 501 firewall nei powinno byc drogie (ewentualnei jakis porzadny zamiennik)

2. czy ataki ida na IP czy na azwe domeny ? jesli an to drugie ustawić na kilka godzin DNSy na 127.0.0.1

3, jeśli idą pełne pakiety to zawsze jest ustawiona flaga SYN w nagłówku - to tez mozna wykorzystac przy konfiguracji firewalla

[panryjeq]

https://www.gigeservers.com/

https://www.awknet.com/servers.html

GIGESERVERS maja doskonaly blackholling, serwery ktorych nie dropnie zaden leszcz (klasa ip 66.252.*.* ), a z taka osoba masz do czynienia jesli to faktycznie sa windowsy w ilosci 2k i jesli mialbym zmienic hosting na taki ktory bedzie w stanie udzwignac tego typu ataki to raczej bym sie zdecydowal wlasnie na ta firme druga sprawa ze o tyle o ile te serwery doskonale sprawdzaja sie na ircu (mimo ze serwer przestaje odpowiadac na pingi itp to polaczenie wychodzace dziala wporzadku i sesje/boty siedza na ircu bez zadnego laga) o tyle jesli ktos pakuje Ci prosto w port 80 z duza moca to raczej osoby ktore chca wejsc na to www beda mialy z tym problem

powtarzam ze duza moc to nie 2k windowsow napisz moze gdzie w tej chwili hostowana jest ta stronka bo jestem ciekaw co to za serwer

[INOMan]

Aktualnie atak zniknął ale nie ma się co cieszyć bo może w każdej chwili wrócić. Mion - problem z siecią był taki, że jeżeli serwer ma 1000 razy w ciągu kilku sekund wysłać kilkadziesiąt kb na request to po prostu łącze 100Mbit siada, sama aplikacja i serwer to wytrzymują.

To jest tak, że bot wysyła do serwera kilkaset bajtów jako request HTTP ale w drugą stronę wysyłasz mu o wiele więcej.

Są generalnie dwa sposoby które można zastosować naraz lub osobno:

- rozróżniać złe requesty/klientów/IP od dobrych

- mieć wystarczająco silną sieć/hardware i skalowalną aplikacje www która nawet pomimo ataku będzie obsługiwać "normalne" zapytania od ludzi którzy odwiedzają serwis.

Zgred: zainstalowanie sprzętowego firewalla i tak dalej jak najbardziej, prawdopodobnie będą przenosiny do innej serwerowni i tam będzie to już kompleksowo załatwione - łącze 1Gbit, sprzętowy firewall etc.

[fobi]

Potrzebujesz przede wszystkim kogoś kto ich wytnie zdecydowanie dalej niż serwerownia (tp'sa itd.).

Kogo wytnie Wiesz na czym polega atak DDOS....

Oczywiście, że wiem na czym polega DDOS, bardzo często można wycinać całe klasy nawet dla państw. Istnieje duże prawdopodobieństwo, że ten atak leci np. z Azji i taki ruch nie jest do niczego potrzebny. 1 linijka na routerze brzegowym i po zabawie.

Oczywiście jeśli leci z Polski czy z kraju gdzie jest też zwykły ruch to nic nie zrobisz tą metodą.

[Mion]

Przy konkretnym ataku z sieci botnet do dyspozycji są kompy z całego świata więc blokada na dane klasy IP jest produkcyjnie nierealna. Jedynie blokada na IP wykonujące zbyt wiele żądań w danym interwale czasowym na sprzętowych firewallach przed samym serwerem.

Jeśli chcesz zmianić hosting i masz odpowiedni budżet zainteresuj się firmą https://www.beyond.pl z której usług hostingowych z powodzeniem korzysta N-K, Allegro czyli serwis o dużym ruchu z pewnością odpowiedni zabezpieczonym przed atakami DDoS

---------

oferta.beyond.pl/BDC.pdf

oferta.beyond.pl/KPL.pdf

[paszczur]

Tak sobie myślę, czy nie zadziałało by takie proste rozwiązanie, ale są 2 warunki:

1. przychodzące requesty są na tyle charakterystyczne, że można je rozpoznać np. na poziomie htaccess-a

2. aplikacja wysyłająca te zapytania obsługuje redirecta

Jeśli tak, to można by te requesty przekierować na jakiś powolny serwer, np. darmowy na którym instalujemy prosty skrypt, który będzie trzymał połączenie z zarażonym komputerem możliwie długo. W ten sposób te zarażone maszyny będą "zajęte" oczekiwaniem na odpowiedź z innego serwera, przez co mniej requestów będzie wysyłanych do właściwego servera. Co o tym sądzicie ?

[Mion]

Taki kombinacje zwłaszcza Apache via .htaccess możesz stosować do obrony przed atakiem DDosek zrealizowanego przez grupę "hackerów" siedzących w kawiarenkach

[panryjeq]

Taki kombinacje zwłaszcza Apache via .htaccess możesz stosować do obrony przed atakiem DDosek zrealizowanego przez grupę "hackerów" siedzących w kawiarenkach

dokladnie

kolokujac serwery w Polsce ciezko jest obronic sie przed profesjonalnymi atakami

nawet jesli Twoj hosting w jakis magiczny sposob zablokuje ruch rzędu >=1GBit/s to na bank jakis serwer po drodze tego nie uczyni

[it_management]

Mysle ze duza czesc odpowiedzi pochodzi o osob, ktore niewiele maja wspolnego z zarzadzaniem serwerem.

Jesli chodzi o odcinanie ruchu na ruterach brzegowych - swietnie np . radzi sobie z tym amazon (s3 czy ec2 - nazwy uslug ).

W przypadku prawdziwego ataku ddos rozwiazania po stronie serwera nic nie zmieniaja , przy takiej ilosci pakietow jakie dochodza niewiele mozna zrobic, jak wspomnial Zgred w tym wypadku sprzetowy firewall moze wyciac czesc ruchu i zapewnic w miare stabilne dzialanie.

Oczwywiscie wiele,zalezy od natezenia ruchu. W przypadku zmasowanej ilosci polaczen wiekszosc serwerowni (obojetnie od lokalizcji ) po prostu fizycznie odlacza maszyne aby nie ryzykowac stabilnosci calej sieci.