URGENTE - Attacco DDOS 1'000'000 pps/s

**lordkibop** · 21-07-2011, 14:35

Buongiorno a tutti,
avrei bisogno d aiuto.
Nel mio server dedicato è ospitato un sito che è sotto un pesante attacco DDOS, da circa 1'000'000 pps/secondo.

L attacco viene da fonti estere, non italiane. A me, nel mio sito, interesserebbe solo il traffico italiano.

Ora, per risolvere velocemente la questione, vorrei gestire il tutto con un servizio GEODNS, mandando tutto il traffico "Non italiano" a null-route.

Secondo voi è possibile una soluzione di questo genere?

Grazie a tutti i membri ed a tutto lo staff!

**lordkibop** · 21-07-2011, 14:40

Sistema Operativo Linux CentOS 64
Uso Cpanel

**usu** · 21-07-2011, 15:31

Ma il DNS lo gestisci tu sullo stesso server? A questo punto fai prima con iptables + geoip.
Se invece intendi farlo a livello di dns con un servizio esterno può certamente essere una soluzione (sempre che poi non inizino a colpirti direttamente l'ip).

**lordkibop** · 22-07-2011, 00:15

Originariamente Scritto da usu

Ma il DNS lo gestisci tu sullo stesso server? A questo punto fai prima con iptables + geoip.
Se invece intendi farlo a livello di dns con un servizio esterno può certamente essere una soluzione (sempre che poi non inizino a colpirti direttamente l'ip).

Se lo facessi io, mi attaccherebbero subito l IP (Ora uso già un ReverseProxy)...
Volevo sapere come potrei invece creare (partendo da un server OVH) un GEODNS, senza affidarmi a servizi esterni

**guest** · 22-07-2011, 07:23

Ma dove hai la macchina? Se non hai problemi di banda, droppa tutto con iptables come suggerito da Usu

**usu** · 22-07-2011, 08:14

Originariamente Scritto da lordkibop

Se lo facessi io, mi attaccherebbero subito l IP (Ora uso già un ReverseProxy)...
Volevo sapere come potrei invece creare (partendo da un server OVH) un GEODNS, senza affidarmi a servizi esterni

Il problema è che non affidandoti a servizi appositi sposti semplicemente il SPOF sul DNS, se vogliono tirarti giù appena si accorgono della tua contromisura si mettono a ddossarti il DNS e il risultato è il medesimo.

Quindi o ti affidi ad un servizio apposito studiato per non andar giù facilmente, oppure adotti qualche altra soluzione.

Non conosco il tuo caso nello specifico, ma ecco qualcosa che potresti fare da subito e senza acquistare un altro server:

- Metti tutto dietro a cloudflare usando un altro IP e disabilitando l'attuale (così non possono attaccarti aggirando cloudflare).
- Droppi tutto il traffico che non proviene da cloudflare più un tuo IP fidato per fare manutenzione da ssh.
- Configuri DDoS Deflate o simili per sopperire al traffico che passa comunque i filtri di cloudflare.

**GrG** · 22-07-2011, 09:01

Concordo. Uso cloudflare da tempo con risultati impressionanti.

L'importante è ridocrdarsi di disabilitare il cname (o a, non mi ricordo) direct.tuodominio.com allo step di verifica records.

**lordkibop** · 23-07-2011, 12:08

Grazie a tutti per le risposte!
Allora, ho provveduto a modificare un mio sito internet secondario impostando cloudflare PRO ed eliminando Cname e campi MX (Restano solo il www e @).
Il problema era che mi attaccavano direttamente l ip del server... E per questo ho fatto spostare il tutto su una nuova serie di IP che ora è "nascosta".
Sul mio sito principale lascio, per ora, attivo un servizio di protezione DDOS esterno (che sostituisce il mio DNS)....
Vediamo come si comporta cloudflare e poi vi faccio sapere.

Siete stati gentilissimi!

Buon week end a tutti intanto!