Jump to content
Sign in to follow this  
Deflagrator

Proteggersi dai DDOS, quali servizi utilizzare?

Recommended Posts

Motivo per cui è impensabile farci passare il traffico dei propri siti web, senza poi avere certezza che funzioni davvero per tutti; mi sembra che anche gli hosting provider abbiano smesso di spingerlo come fatto all'inizio in alcuni casi, mossa che tra l'altro era davvero poco furba per loro.

Share this post


Link to post
Share on other sites

mentre attendiamo post-mortem e info succose da Ste o qualcuno di HT così da capire come mai cambio idea su cloudflare (era attaccato anche il sito? con quanto? che tipo di attacco? ora dietro CF enterprise? oppure erano presi di mira "solo" i DNS?)

 

la mia domenica è stata:

50mbit / 95k pps di synflood per 3 ore filate verso hetzner (arrivata email ma niente nullroute per fortuna)

 

e poi un udp flood verso seflow (server con seguard ... me ne sono accorto per caso... filtrano troppo in fretta che dal server non faccio in tempo ad accorgermene... per vederli mi "tocca" andare a vedere il pannello seguard... non c'è gusto così ...si perde il brivido :D )

 

meaueCl.png

rHRhemD.png

Share this post


Link to post
Share on other sites

dopo ennesimo ddos ieri vero una macchina OVH oggi me la ritrovo sotto tilera/arbor:

 

  4    19 ms    14 ms    13 ms  172.17.80.1
 5    22 ms    20 ms    20 ms  172.17.6.177
 6    27 ms    23 ms    23 ms  172.17.5.237
 7    30 ms    31 ms    21 ms  bundle-ether13.milano26.mil.seabone.net [93.186.128.209]
 8     *       23 ms    23 ms  te4-1.milano52.mil.seabone.net [195.22.205.255]
 9     *       33 ms    31 ms  mil-1-6k.it.eu [213.186.32.213]
10     *       36 ms     *     fra-1-6k.de.eu [213.251.128.66]
11    38 ms    38 ms    39 ms  rbx-g1-a9.fr.eu [178.33.100.248]
12     *        *        *     Richiesta scaduta.
13     *       40 ms    37 ms  vac1-1-n7.fr.eu.firewall [178.33.100.152]
14     *       52 ms    50 ms  vac1-2-n7.fr.eu.tilera [37.187.36.245]
15     *       42 ms    38 ms  vac1-3-n7.fr.eu.arbor [37.187.36.254]
16     *        *        *     Richiesta scaduta.

 

Non mi è stato comunicato nulla... ora provo a spostarci sopra altra roba a rischio ;)

 

//edit: solo l'IP attaccato (è un failover) risulta dietro filtri... gli altri sulla macchina hanno conservato routing normale :D

Share this post


Link to post
Share on other sites

ho notato che è attivo pure sull'ultimo kimsufi che ho preso da loro.

 

A te quando è sotto arbor+tilera non crea nessun problema? Io noto che il primo syn che riceve lo droppa sempre e comunque, ad esempio:

se provo a connettermi in ssh al primo tentativo fallisce, mentre il successivo se avviene entro tot secondi riesce a passare... la cosa mi crea qualche problema con certi applicativi ma non posso cmq lamentarmi.

 

Di solito ripristinano il routing normale dopo circa 24 ore.

Share this post


Link to post
Share on other sites

ssh da me va OK al primo tentativo (uso putty, non ho controllato se da solo faccia due tentativi), munin invece viene sistematicamente droppato (telnet plaintext senza "retry").

 

Da me comunque è ancora attivo (attivato alle 21:30 circa di ieri sera)... ma c'è sopra roba "calamita" per i ddos quindi credo ne siano arrivati altri di attacchi e stasera è stato spostato sopra un altro servizio che mi dicevano prendere botte da 5gbit+ sul loro server precedente... vediamo cosa succede :)

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
Sign in to follow this  

×