Skocz do zawartości

! Poważny atak DDOS - jaki hosting


INOMan

Rekomendowane odpowiedzi

Potrzebujesz przede wszystkim kogoś kto ich wytnie zdecydowanie dalej niż serwerownia (tp'sa itd.).
Kogo wytnie ;) Wiesz na czym polega atak DDOS....

Żądana są robione z zainfekowanych komputerów z botnetu z różnych IP których mogą być tysiące np w celu unieruchomienia serwisu nawet w celach przestępczych jak zasugerował autor topiku - haracz za zaniechanie ataku.

Jeśli nie znajdziesz innego Możesz spróbować takiego sposobu:

- instalujesz memcache;

Na samym początku skryptu PHP

- w pamięci memcache zapisujesz wszystkie IP klientów którzy wykonują żądania oraz czas w jakim nastąpiło;

- przy następnym żądaniu sprawdzasz w pamięci czy dane IP już jest i ile czasu minęło od ostatniego żądania i jeśli ten czas będzie mniejszy niż powiedzmy 1-2 sekundy kończysz skrypt komendą die('---'); lub exit; Dzięki temu skrypt się nie wykona w całości co zaoszczędzi zasoby komputera przy tak dużej ilości żądań.

Zobacz też:

https://nfsec.pl/hakin9/ddos.pdf

HTTP 200 usługi IT -> Dariusz Janicki | Realizacja serwisów www oraz oprogramowania w PHP / C# / Golang / Node.js / MySQL/ Laravel
Komory normobaryczne - normobaria.tech Wykonawca montażu i instalacji komory normobarii

Odnośnik do komentarza
Udostępnij na innych stronach

  • Odpowiedzi 31
  • Dodano
  • Ostatniej odpowiedzi

Spoko Mion, myk z memcached - zawsze jakieś rozwiązanie na poziomie aplikacji. Jednak czym dalej od aplikacji jest problem rozwiązywany tym lepie czyli: aplikacja -> serwer www -> serwer (w sensie sieć/iptables/inne) -> infrastruktura sieciowa hostingu: routery/firewalle

Odnośnik do komentarza
Udostępnij na innych stronach

Wiadomo, że in dalej od serwera tym lepiej, ale jak to się mówi "na bezrybiu i rak ryba" ;)

HTTP 200 usługi IT -> Dariusz Janicki | Realizacja serwisów www oraz oprogramowania w PHP / C# / Golang / Node.js / MySQL/ Laravel
Komory normobaryczne - normobaria.tech Wykonawca montażu i instalacji komory normobarii

Odnośnik do komentarza
Udostępnij na innych stronach

1. Przeniesienie się na inny serwer nie pozbawi cię kłopotów, a tylko pokaże, jak bezsilny jesteś.

2. Atak może nie być przeprowadzany dla kasy, co by mnie wcale nie zdziwiło.

3. W sieci jest mnóstwo materiałów na temat jak się uchronić przed atakiem DDoS. IMHO lepiej zatrudnić porządnego admina niż się męczyć.

Odnośnik do komentarza
Udostępnij na innych stronach

Tak jest mnóstwo materiałów jak się bronić - ale softwarem to tylko do pewnego stopnia się obronisz (zależy jeszcze od specyfiki ataku), przy dużym ataku z botnetu tak czy inaczej trzeba iść w sprzęt/infrastrukturę.

Odnośnik do komentarza
Udostępnij na innych stronach

Przy strategicznym ataku z botnetu nic nie zrobi nawet super admin:

Gdy wiosną ub.r. ofiarą DDoS padły największe amerykańskie serwisy internetowe, m.in. Yahoo!, Amazon.com, CNN.com, eBay.com, Buy.com, ETrade.com czy ZDnet.com, wszyscy zastanawiali się, jak tacy giganci internetowi mogli skapitulować przed cyberwandalami. Przyczyna okazała się prosta. Mimo że metoda DDoS była już od dłuższego czasu znana, to do tamtej pory nigdy nie zastosowano ją na tak dużą skalę. Portal Yahoo! oceniał straty spowodowane trzygodzinną przerwą w działaniu na kilka milionów dolarów.

Nie jestem fachowcem od sprzętu, ale Twój atak chyba nie jest z tych największych więc sama infrastruktura sieciowa nie powinna przy siadać. Możesz zrobić prosty test - podmień tymczasowo plik index na echo "Hello world"; i jeśli w czasie ataku serwer będzie wstanie wyświetlić poprawnie stronę z tym napisem to sama blokada atakujących IP na poziomie serwera i aplikacji powinna też przynieść zadowalające efekty - sprawdź...

HTTP 200 usługi IT -> Dariusz Janicki | Realizacja serwisów www oraz oprogramowania w PHP / C# / Golang / Node.js / MySQL/ Laravel
Komory normobaryczne - normobaria.tech Wykonawca montażu i instalacji komory normobarii

Odnośnik do komentarza
Udostępnij na innych stronach

1. zainstalwoanie PIX CIsco 501 firewall nei powinno byc drogie (ewentualnei jakis porzadny zamiennik)

2. czy ataki ida na IP czy na azwe domeny ? jesli an to drugie ustawić na kilka godzin DNSy na 127.0.0.1 ;)

3, jeśli idą pełne pakiety to zawsze jest ustawiona flaga SYN w nagłówku - to tez mozna wykorzystac przy konfiguracji firewalla

Agencja marketingowa Semgence istnieje na rynku od 2018 i odpowiada za prowadzenie działań SEO dla wielu firm małych i dużych. Prowadzimy też kampanie Google Ads - niedawno zostaliśmy sie Partnerem Google spełniając odpowiednie kryteria. Betapoint

 

 

Odnośnik do komentarza
Udostępnij na innych stronach

GIGESERVERS maja doskonaly blackholling, serwery ktorych nie dropnie zaden leszcz (klasa ip 66.252.*.* ), a z taka osoba masz do czynienia jesli to faktycznie sa windowsy w ilosci 2k i jesli mialbym zmienic hosting na taki ktory bedzie w stanie udzwignac tego typu ataki to raczej bym sie zdecydowal wlasnie na ta firme ;) druga sprawa ze o tyle o ile te serwery doskonale sprawdzaja sie na ircu (mimo ze serwer przestaje odpowiadac na pingi itp to polaczenie wychodzace dziala wporzadku i sesje/boty siedza na ircu bez zadnego laga) o tyle jesli ktos pakuje Ci prosto w port 80 z duza moca to raczej osoby ktore chca wejsc na to www beda mialy z tym problem

powtarzam ze duza moc to nie 2k windowsow ;) napisz moze gdzie w tej chwili hostowana jest ta stronka bo jestem ciekaw co to za serwer

Na problemy z wzrokiem pomoże tylko zaufany optyk Bydgoszcz

Badanie wzroku Bydgoszcz sprawi że przejrzysz na oczy!

Dobieramy soczewki kontaktowe Bydgoszcz

Odnośnik do komentarza
Udostępnij na innych stronach

Aktualnie atak zniknął ale nie ma się co cieszyć bo może w każdej chwili wrócić. Mion - problem z siecią był taki, że jeżeli serwer ma 1000 razy w ciągu kilku sekund wysłać kilkadziesiąt kb na request to po prostu łącze 100Mbit siada, sama aplikacja i serwer to wytrzymują.

To jest tak, że bot wysyła do serwera kilkaset bajtów jako request HTTP ale w drugą stronę wysyłasz mu o wiele więcej.

Są generalnie dwa sposoby które można zastosować naraz lub osobno:

- rozróżniać złe requesty/klientów/IP od dobrych

- mieć wystarczająco silną sieć/hardware i skalowalną aplikacje www która nawet pomimo ataku będzie obsługiwać "normalne" zapytania od ludzi którzy odwiedzają serwis.

Zgred: zainstalowanie sprzętowego firewalla i tak dalej jak najbardziej, prawdopodobnie będą przenosiny do innej serwerowni i tam będzie to już kompleksowo załatwione - łącze 1Gbit, sprzętowy firewall etc.

Odnośnik do komentarza
Udostępnij na innych stronach

Potrzebujesz przede wszystkim kogoś kto ich wytnie zdecydowanie dalej niż serwerownia (tp'sa itd.).
Kogo wytnie ;) Wiesz na czym polega atak DDOS....

Oczywiście, że wiem na czym polega DDOS, bardzo często można wycinać całe klasy nawet dla państw. Istnieje duże prawdopodobieństwo, że ten atak leci np. z Azji i taki ruch nie jest do niczego potrzebny. 1 linijka na routerze brzegowym i po zabawie.

Oczywiście jeśli leci z Polski czy z kraju gdzie jest też zwykły ruch to nic nie zrobisz tą metodą.

WebHostingTalk.pl - wszystko o webhostingu
Odnośnik do komentarza
Udostępnij na innych stronach

Przy konkretnym ataku z sieci botnet do dyspozycji są kompy z całego świata więc blokada na dane klasy IP jest produkcyjnie nierealna. Jedynie blokada na IP wykonujące zbyt wiele żądań w danym interwale czasowym na sprzętowych firewallach przed samym serwerem.

Jeśli chcesz zmianić hosting i masz odpowiedni budżet zainteresuj się firmą https://www.beyond.pl z której usług hostingowych z powodzeniem korzysta N-K, Allegro czyli serwis o dużym ruchu z pewnością odpowiedni zabezpieczonym przed atakami DDoS

---------

oferta.beyond.pl/BDC.pdf

oferta.beyond.pl/KPL.pdf

HTTP 200 usługi IT -> Dariusz Janicki | Realizacja serwisów www oraz oprogramowania w PHP / C# / Golang / Node.js / MySQL/ Laravel
Komory normobaryczne - normobaria.tech Wykonawca montażu i instalacji komory normobarii

Odnośnik do komentarza
Udostępnij na innych stronach

Tak sobie myślę, czy nie zadziałało by takie proste rozwiązanie, ale są 2 warunki:

1. przychodzące requesty są na tyle charakterystyczne, że można je rozpoznać np. na poziomie htaccess-a

2. aplikacja wysyłająca te zapytania obsługuje redirecta

Jeśli tak, to można by te requesty przekierować na jakiś powolny serwer, np. darmowy na którym instalujemy prosty skrypt, który będzie trzymał połączenie z zarażonym komputerem możliwie długo. W ten sposób te zarażone maszyny będą "zajęte" oczekiwaniem na odpowiedź z innego serwera, przez co mniej requestów będzie wysyłanych do właściwego servera. Co o tym sądzicie ?

Bildero - super wydajny serwer zdjęć, możliwość skalowania w locie, zoom, zdjęcia obrotowe (360 stopni), własny znak wodny i wiele innych możliwości.
Odnośnik do komentarza
Udostępnij na innych stronach

Taki kombinacje zwłaszcza Apache via .htaccess możesz stosować do obrony przed atakiem DDosek zrealizowanego przez grupę "hackerów" siedzących w kawiarenkach ;)

HTTP 200 usługi IT -> Dariusz Janicki | Realizacja serwisów www oraz oprogramowania w PHP / C# / Golang / Node.js / MySQL/ Laravel
Komory normobaryczne - normobaria.tech Wykonawca montażu i instalacji komory normobarii

Odnośnik do komentarza
Udostępnij na innych stronach

Taki kombinacje zwłaszcza Apache via .htaccess możesz stosować do obrony przed atakiem DDosek zrealizowanego przez grupę "hackerów" siedzących w kawiarenkach ;)

dokladnie

kolokujac serwery w Polsce ciezko jest obronic sie przed profesjonalnymi atakami

nawet jesli Twoj hosting w jakis magiczny sposob zablokuje ruch rzędu >=1GBit/s to na bank jakis serwer po drodze tego nie uczyni

Na problemy z wzrokiem pomoże tylko zaufany optyk Bydgoszcz

Badanie wzroku Bydgoszcz sprawi że przejrzysz na oczy!

Dobieramy soczewki kontaktowe Bydgoszcz

Odnośnik do komentarza
Udostępnij na innych stronach

Mysle ze duza czesc odpowiedzi pochodzi o osob, ktore niewiele maja wspolnego z zarzadzaniem serwerem.

Jesli chodzi o odcinanie ruchu na ruterach brzegowych - swietnie np . radzi sobie z tym amazon (s3 czy ec2 - nazwy uslug ).

W przypadku prawdziwego ataku ddos rozwiazania po stronie serwera nic nie zmieniaja , przy takiej ilosci pakietow jakie dochodza niewiele mozna zrobic, jak wspomnial Zgred w tym wypadku sprzetowy firewall moze wyciac czesc ruchu i zapewnic w miare stabilne dzialanie.

Oczwywiscie wiele,zalezy od natezenia ruchu. W przypadku zmasowanej ilosci polaczen wiekszosc serwerowni (obojetnie od lokalizcji ) po prostu fizycznie odlacza maszyne aby nie ryzykowac stabilnosci calej sieci.

Odnośnik do komentarza
Udostępnij na innych stronach

Zarchiwizowany

Ten temat przebywa obecnie w archiwum. Dodawanie nowych odpowiedzi zostało zablokowane.

  • Ostatnio przeglądający   0 użytkowników

    • Brak zarejestrowanych użytkowników przeglądających tę stronę.

×
×
  • Dodaj nową pozycję...

Powiadomienie o plikach cookie

Umieściliśmy na Twoim urządzeniu pliki cookie, aby pomóc Ci usprawnić przeglądanie strony. Możesz dostosować ustawienia plików cookie, w przeciwnym wypadku zakładamy, że wyrażasz na to zgodę. Warunki użytkowania Polityka prywatności