Protezione DDOS e Reverse proxy Nginx!

[l0rd0x]

Salve a tutti, recentemente ( qualche giorno fà ) uno dei miei blog è finito sotto pesante attacco DDOS, cosi mi sono trovato costretto ad acquistare un server con firewall Cisco Guard XT 5650A (Cisco Guard DDoS Mitigation Appliances)

Il server in questione ha queste caratteristiche:

CPU: Intel® Core(TM)2 Quad CPU Q8200 @ 2.33GHz (2337.654MHz)
RAM: 4GB DDR2
HD: 2X250GB 7200RM
CONNETTIVITA': 1gb/s uplink
TRAFFICO MENSILE: 4TB

Visto che anche gli altri miei blog credo e suppongo che a breve termine verranno presi di mira da questi attacchi DDOS, per non spendere troppi soldi... avevo pensato di lasciarli sui server di OVH, e di usare il Reverse Proxy di nginx in modo da far funzionare la cosa cosi...





è una buona idea? premetto che da quando sono passato a questa soluzione con il blog non ho più avuto problemi di down, anzi, è molto reattivo e veloce, sono contentissimo del filtraggio del traffico che fà il firewall.

vorrei adottare questa soluzione per proteggere anche gli altri blog senza dover acquistare altri server, tanto il server ha traffico mensile e connettività (1gb/s) per tenere alla grande gli altri portali.


Qualcuno sà aiutarmi oppure ha qualche guida in merito??

Saluti

[Antonio]

Il problema è che senza sapere come hai messo in piedi il tutto e precisamente come è strutturato l'attacco non ti si può aiutare.

Perché, ad esempio, potrebbe darsi che non sia necessario neanche il firewall cisco per mitigare

[l0rd0x]

Io nn ho fatto nulla... ho contattato la compagnia di hosting dicendogli mostrandogli i log dell'attacco...

Avevo in entrata 1GB/s di attacco DDOS...

Tutti gli ip erano ip italiani dinamici, quelli delle semplici linee telefoniche e ne erano una marea sempre tutti diversi...

Io ho solamente configurato il server con nginx + phpfpm + mysql + eaccelerator.

Il firewall era d'obbligo, non riuscivo nemmeno a connettermi all'ssh mentre ero sotto attacco ddos, ho dovuto cambiare i dns del dominio e puntarli su google per poter accedere al server.

Detto questo, della mia idea che te ne pare?

[guest]

Che argomenti tratta il blog?

[l0rd0x]

Tecnologia & informatica

[EvolutionCrazy]

proprio ieri guardavo https://www.cloudflare.com/ potrebbe meritare una considerazione nel tuo caso

i ddos sono e saranno sempre più diffusi in tutti i settori data l'enorme disponibilità di banda ... ignorarli e agire solo dopo che si è scoperto che la propria struttura (o fornitore) non è in grado di gestirli spesso è troppo tardi... fai bene a prenderti per tempo

[Antonio]

Detto questo, della mia idea che te ne pare?

Ma il firewall ti è offerto da un altra farm? Che ampiezza di banda ha a disposizione?

Hai provato prima a bannare temporaneamente gli ip per tot minuti nel caso di request multiple tramite, ad esempio, APF?

[l0rd0x]

proprio ieri guardavo https://www.cloudflare.com/ potrebbe meritare una considerazione nel tuo caso

i ddos sono e saranno sempre più diffusi in tutti i settori data l'enorme disponibilità di banda ... ignorarli e agire solo dopo che si è scoperto che la propria struttura (o fornitore) non è in grado di gestirli spesso è troppo tardi... fai bene a prenderti per tempo

Ciao, cos'è? ci ho capito poco

Ma il firewall ti è offerto da un altra farm? Che ampiezza di banda ha a disposizione?

Hai provato prima a bannare temporaneamente gli ip per tot minuti nel caso di request multiple tramite, ad esempio, APF?

Si ho provato con apf, sia con iptables... nulla.. il firewall è offerto dalla stessa farm... non sò quanto abbia di ampiezza di banda... so solo che arriva a 1gb/s la linea

[EvolutionCrazy]

un servizio che oltre a fare da CDN ti fa anche da filtro DOS e attacchi in generale

c'è anche un piano gratis per provare

[l0rd0x]

Il piano pro costa "$20/mo for the 1st website"

Mi sembra un tantino poco O_O, sarà efficiente come servizio?

[EvolutionCrazy]

devo ancora provarlo pure io... ma vedendolo in azione un paio di volte sembra figo...

persino quando ti va offline il backend/server quel che è continua a servire dalla cache (e informa gli utenti del fatto che stanno consultando il sito dalla cache)

volevo provarlo ieri sera su un .it ma mi sa che com'è ora non il nic.it lo rifiuta (non mi sembra mettano i record NS)...

c'è la versione free per testarlo

considera che comunque non è solo limitato ai ddos ma anche bruteforce, injections etc... infatti se visiti un qualsiasi sito protetto da cloudflare usando un exitnode tor hai altissime probabilità di dover passare il captcha perchè di sicuro gli exit nodes sono stati tutti usati per abusi

[l0rd0x]

se mi contatti in MP, sto per fare una prova con un mio dominio

[EvolutionCrazy]

pm inviato... anche se penso sarebbe bello discuterne in pubblico se ti va di rendere noto il sito su cui lo provi (al di la del discorso ddos c'è il fattore cdn, anycast, geodns etc )

[EvolutionCrazy]

ok... abbiamo appurato che non peggiore la situazione... vediamo se la migliora con l'andare del tempo

la versione free non include firewall... attendiamo l0rd0x per capire cosa succede con la vers pro ^^

[guest]

ed in che modo bloccano i ddos?