Jump to content
Sign in to follow this  
Deflagrator

Proteggersi dai DDOS, quali servizi utilizzare?

Recommended Posts

Cortesemente, siete pesantemente off-topic, se volete parlare di questo, aprite una discussione dedicata (a meno che, non si trasformi in una discussione pubblicitaria) o usate helpdesk e quant'altro.

 

Grazie.

 

non ho capito.

 

Oggetto del thread è "proteggersi dai ddos"

tu ti proteggi con cloudflare da quel che ho capito, Ste scrive che clouflare fa schifo (salvo poi migrarci sopra HT?) e io sto tenendo vivo il thread scrivendo come IO mi difendo dai ddos che ricevo più volte al giorno...

 

se parlare di "come ci si difedende dai ddos" è off topic posso cambiare argomento... vediamo... parliamo di incapsula? di google pagespeed? dimmi tu... a me interessa aspetto tecnico, grafici, comandi e funzionalità tecniche... sinceramente della "magia" stile "cloudflare" mi interessa poco....

 

//edit o forse ti riferisci al commento ad andrea.paiola?

sorry, credevo ti riferissi ai miei post sui ddos

Share this post


Link to post
Share on other sites

Si, ma diciamo che è più orientata ai servizi e all'esperienza. Se rileggi l'ultima parte della discussione, sembra più una discussione privata, e non legata a questo topic. Quindi secondo me è meglio che apri un topic apposito e lì potete dibattere tranquillamente aggiornandolo come un "diario" di bordo. :)

 

Immagina di essere un utente che arriva nel topic per cercare informazioni, in cui si aspetta di trovare informazioni sul servizio, e invece si becca dopo 2-3 pagine una discussione stile chat, da cui potrà trarne ben poco.

 

Invece, visto che sei una calamita per i DDOS, quindi hai esperienze continue, sarebbe più utile sia per te, e anche per mantenere più ordinato questo topic, che ti apra una tua discussione dedicata ;)

Share this post


Link to post
Share on other sites

Ok, torniamo pure in topic, io non ho bisogno di aprire nuovi thread.

 

Il post "tecnico" di stamattina era una conferma verso me stesso: avere anche 2x1gbit non basta per tutti i tipi di ddos... per quanto tu possa essere a tuo agio con iptables ... se l'hardware non ce la fa (nel mio caso cpu/schede di rete) cadi come un pero...mentre se la protezione fosse stata fatta con ben altro hardware prima di raggiungere il mio server non avrei avuto problemi e anzichè pagare 2x1gbit magari mi bastavano 100mbit come ho da seflow o da OVH

 

Ieri alle 19 circa cloudflare è andata di nuovo down in europa (datacenter francia e uk) è stata la conferma che servizi via proxy non vanno bene (io avevo macchina proxata proprio in francia (ovh)) e avevo grandi problemi...

 

da quel che vedo tra i servizi che uso l'unica scelta sensata è avere sia server che protezione nella stessa farm... se cade server o protezione vai comunque down... avere server e protezione in location e fornitori separati invece aumenta solo la probabilità di guasti

 

(tipo io vado offline SIA quando va giù OVH sia SIA quando va giù cloudflare SIA quando un qualsiasi carrier in mezzo ai due ha problemi...)

 

con una protezione nativa invece tipo incloudibly o seflow sei influenzato dai problemi di un solo operatore... e non di due (che diventano 10 se ti metti in mezzo tutti i transit tra proxy e dedicato....)

Share this post


Link to post
Share on other sites

Dear Sir or Madam,

We’d like to notify you that our Intrusion Detection System has detected incoming Denial of Service attacks targeting your server, xxx.xxx.fastwebserver.de. We have blocked it via a null route in order to prevent further negative effects on our infrastructure.

Your server will be automatically unblocked after two hours. If the attacks resume, your server may be blocked again.

If you have any questions about this notification, please contact us at support@myLoc.de.



Kind regards,
The myLoc Team

:icon_redface:

 

webtropia :hammer:

Share this post


Link to post
Share on other sites

finalmente webtropia mi ha risposto: nullroute automatico per 2 ore quando si superano i 150k pps ... nel mio caso nullroute è scattato subitissimo... guardando i log direi dopo max 10secondi da inizio attacco.... quindi basta anche un picco brevissimo a 150k pps e staccano per 2ore :|

 

Nel frattempo "presi" quasi 500k pps da seflow :lode:

 

bnZUo31.png

Share this post


Link to post
Share on other sites

questa era la mia situazione pre arbor/tilera in ovh post-10839-14246368472089_thumb.png :asd:

 

conntrack pure a me impallava la (scarsa) macchina in caso di spoofed syn flood anche da solo 140kpps/sec, dropparli brutalmente nella table raw, evitando del tutto di usare il flag STATE non mi ha fatto guadagnare granchè ai tempi.

 

C'è da dire che ultimamente ricevo meno attacchi, nelle ultime settimane un paio di spoofed syn da 800kpps e nessun dns amplified attack (sarà complice il fatto che ovh sta facendo pulizia interna su chi hosta dns... e poi la gradevole notizia che 2 provider europei che permettevano di spoofare hanno abbandonato il lato oscuro )

Share this post


Link to post
Share on other sites

wow, ma ti lasciavano fare 1Mpps?!?

 

quello è un HG 10gbit spero?

 

a me gli spoofed syn flood li fanno mirati alle porte dei servizi (ho tanti servizi su stesso IP ognuno su sua porta)...anch'io ho provato a mettere un tampone in raw (sperando che almeno mi muoia una porta sola e non la rete intera ... prima facevo ratelimiting sui SYN non RELATED ne ESTABILISHED)

 

#SYN ratelimiting (max 5000/sec - 5 seconds tracking)
iptables -t raw -N INSYNGENERICLIMITER
iptables -t raw -A INSYNGENERICLIMITER -m hashlimit --hashlimit-htable-expire 5000 --hashlimit-htable-size 1048578 --hashlimit-htable-max 1048579 --hashlimit-mode dstport --hashlimit-name synGelimiter --hashlimit 5000/s --hashlimit-burst 5000 -j RETURN
iptables -t raw -A INSYNGENERICLIMITER -j DROP
iptables -t raw -A PREROUTING -p tcp -m multiport --dports $ALLOWED_IG_TCP_CPORTS_LIST --syn -j INSYNGENERICLIMITER

 

in modo da far entrare in conntrack max 5k pps per porta... vedremo se prossima volta qualcosa migliora

 

ps: basta spoofing da ecatel?!? evviva!!! :D

Share this post


Link to post
Share on other sites

No, non era un hg e mi domando pure io come mai non mi abbiano cancellato il servizio...

Ho persino avuto il dubbio che il grafico fosse sballato e in realta i pps fossero molto minori, ma provando a spostarlo su sharktek mi è stato confermato. (il record è stato 1,2 Mpps se ricordo bene)

 

Grazie per le info su webtropia, per caso sai dirmi se si limitano solo a metterti in null per 2+ore o se è facile che ti cancellino il servizio?

 

Volevo anche chiedere se qualcuno ha mai utilizzato i servizi di online.net e relativa protezione (che dovrebbe essere molto simile a quella che sta implementando Ovh)

 

Ps. Non mi riferivo ad ecatel, quelli penso rimangano ancora (considerando la loro userbase non penso gli convenga neanche :asd: ) ma ad altri 2

Share this post


Link to post
Share on other sites

online.net volevo provarli ma ho abbandonato l'idea appena mi sono accorto che ovh mi aveva messo dietro arbor... dovevo spotarci la sopra proprio un servizio preso di mira da OVH...

versione gratuita però non va bene per attacchi pesanti/frequenti...

se vuoi protezione arbor devi pagare opzione business (mi sembra 20euro) + altri 20euro per la protezione... e per quella "seria" (filtri attivi 24/24 e consulente personale sempre sull'attenti) devi avere servizio assistenza critical (tipo 170euro/mese mi sembra) + 70euro...

cifre di per se sarebbero molto basse rispetto a quanto promettono ma non c'è nessuno numero scritto ne si leggono esperienze in giro (nel contratto che firmi per protezione ddos c'è clausola NDA... quindi dubito si leggeranno mai opinioni in pubblico...)

 

relativamente a webtropia questo è il primo che prendo da quando hanno messo sto coso automatico... sinceramente vista la rapidità con cui nullroutano spero non cancellino: sicuramente non ho creato nessun disservizio.

 

MRTG ovh da me su alcune macchine erano completamente sballati ... 1Mpps saranno tipo 400mbit... se grafico banda era più basso qualche sospetto viene (vedi: MRTG pacchetti manager VS traffico rilevato sul server - Forum OVH )

Share this post


Link to post
Share on other sites

Hetzner...

 

Sum 13,701 GByte/300s (374 MBit/s), 12.633.000 packets/300s (42.110 packets/s), 12.493 flows/300s (41 flows/s)

 

Edit: dimenticato di aggiungere la cosa più importante. Server staccato :approved: Nessuno a pensato a soluzioni radicali come questa?

 

dsl-modem-condom,6-M-193342-13.jpg

Edited by revhosting

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
Sign in to follow this  

×