Tomasz Zadora programuję
Marcin
P.
Ceo w Trialo IT /
Partner w 3motion.pl
Tomasz Zadora programuję
Jakub Botwicz ...
Tomasz Zadora:
Mam nadzieje, że zorientowali się, iż jest to nieskutecznie
i już nie wrócą, jednak nadal pozostaje pytanie: co można zrobić w przypadku DDoS.
Tomasz Zadora programuję
konto usunięte
konto usunięte
Tomasz Zadora:(...)
http://www.cojemy.pl - nie jest to duży atak, około 10 - 20 zapytań na sekundę, atak raz zanika raz narasta.
Boje się tylko sytuacji kiedy zrobi się np. 200 zapytań na sekundę.
konto usunięte
Jakub Botwicz:
Tomasz Zadora:
Mam nadzieje, że zorientowali się, iż jest to nieskutecznie
i już nie wrócą, jednak nadal pozostaje pytanie: co można zrobić w przypadku DDoS.
Rozproszone punkty styku z siecią postaci Akamai:
http://en.wikipedia.org/wiki/Akamai_Technologies
konto usunięte
Tomasz Zadora programuję
To nie ddos, tylko średniej wielkości ruch.
iptables, count connections, albo mark+ count string.
Najprościej, na takie pseudo-ataki mod_rewrite tak jak Przemek
polecił.
en.wikipedia.org/wiki/Content_delivery_network
konto usunięte
Maciej B.:
To nie ddos, tylko średniej wielkości ruch.
Przy ddos rewrite nie pomoże, bo maszyna z apachem nie wytrzyma naporu ruchu. Ba, nawet klaster nie wytrzyma ruchu.
konto usunięte
Tomasz Zadora:
Określenia mały, średni, duży - są względne, dobrze jest moim zdaniem stosować je w odniesieniu do czegoś. Jeżeli ja normalnie na tym konkretnym serwisie mam maksimum 2-3 odsłony na sekundę, a nagle ten ruch wzrasta o 1000% to nie mówimy już o średnim ruchu tylko o znacznym skoku.
W prymitywny sposób w globalnym skrypcie startowym, na samym początku wykrywam czy jest określony "gorący" parametr GET i wtedy żegnaj. Jeżeli zbiry wrócą to przerzucę to do mod_rewrite.
konto usunięte
konto usunięte
Przemysław S.:
Mam wrażenie, że rozmawiamy o intencjach kogoś w Internecie, a nie o skutkach ruchu, którego efektem jest mniej/bardziej efektywny DDoS. Taki 'atak' może przeprowadzić całkiem 'nieświadomie' armia crawlerow. Spotkałem się z takimi przypadkami gdzie crawlery wpadły w pętlę i na serwisie gdzie setki req/sec były normą crawlery zadawały drugie tyle. Czasami paść ofiarą możesz przypadkowo, bez względu czy jesteś duży, średni czy mały.
konto usunięte
Maciej B.:
Zgadzam się, ale w tym przypadku nie rozmawiamy o zabezpieczniu się przed ddos, tylko o przekierowaniu ruchu mod_rewrite albo iptables :)
Tomasz Zadora programuję
Może lepiej nie, skoro rozważasz przejście z apache na ngnixa?
Jeśli poświęcisz czas najpierw na optymalizację platformy+kodu a dopiero potem na budowę warstwy prewencji, to na pewno Twój czas nie będzie zmarnowany. Benchmark ab w ruch, niech serwer wytrzyma spokojnie 2000/sek :)
konto usunięte
Tomasz Zadora:
Ciekawi mnie, czy są w Polsce firmy hostingowe które oferują podobne usługi ? I za jaką cenę. Przemysław wspominał, że są :)
Łukasz
R.
Systems
Administrator
konto usunięte
Łukasz Raczyło:
Że tak pozwolę sobie bezczelnie wtrącić się do dyskusji.
@Przemek - jeżeli uważasz że przed DDoSami zabezpieczysz się za pomocą mod_security, mod_rewrite - zastanawiam się co robisz w tej branży - to raz.
Dwa - co Tobie da CDN skoro sam static content nie obciąża niczego poza łączem. Load balancing - też się nie przyda - bo ( i tu uwaga ) - skoro 'bramka' dostanie po rurce, to "podległe" serwery też. W tym wypadku będziesz miał zajeżdżone dwa / trzy / dziesięć serwerów zamiast jednego.
Trzecia i ostatnia sprawa - nie nazywajmy 20-30 zapytań na sekundę DoS'em, bo tyle mają bardziej popularne blogi ;)
Jedyne możliwe zabezpieczenie przed DDoSami to.. działanie ze strony dostawcy łącza. Co z tego że na iptablesach wytniesz sobie ipki atakujących, skoro a) dojdą nowe, b) łącze i tak będziesz miał zawalone :?
Łukasz
R.
Systems
Administrator
Przemysław S.:Nie mogę, pracuję ;]
Jeżeli masz aż tak duże wątpliwości co ja robię w branży to w ramach spotkań OWASP Poland zapraszam Cie do panelu, w którym podsykutujemy o tym (o (D)DoSach w aplikacjach webowych) publicznie w szerszym gronie. Zapraszam do kontaktu, umówimy odpowiedni termin i miejsce.
Jeżeli uważasz, że mod_security i mod_rewrite nie pomoże to prawdopodobnie wynika to z tego, że nie spotkałeś się z przypadkami kiedy uratowałeś w ten sposób duży/mały/średni serwis. Ja miałem to szczęście, że właśnie te moduły pomogły w przypadku największych portali w Polsce.Co Ci da mod_rewrite w wypadku nalotu zapytań z poprawnymi nagłówkami? Przepuści jak Dudek bramki. Musiałeś mieć naprawdę dużo szczęścia skoro mod_rewrite pomógł Tobie cokolwiek ochronić przed DDoSem. Zakładam że owo 'szczęście' opierało się na przekierowaniu zapytań na podstronę z info o przerwie technicznej lub przekierowaniem na www2, www3 itd ;]
Bzdura. Chętnie pokażę Ci dlaczego nie masz racji w ramach panelu :-) Przez odpowiednie wykorzystanie CDN'ów udało mi się skutecznie odciążyć przeciążane serwery właśnie serwowaniem statycznych treści. Niemożliwe? A jednak. To są konkretne przypadki, a nie ogólny bełkot dlatego chętnie je przedstawię w ramach panelu by nie pozostawić niedomówień.Zacznę od początku - nie interesuje mnie Twój panel. Kto mówi o statycznych treściach? DDoS to Twoim zdaniem wget twojsuperpanel.com/zdjeciazwakacji.zip w pętli? :S Korzystanie z CDN'ów do serwowania statycznych treści jest powszechnie stosowaną praktyką przy serwisach z większym ruchem. Ameryki nie odkryłeś.
Po tym akapicie wnioskuję, że dla Ciebie DDoSy to tylko wysycenie łącza, kiedy w moich przykładach odnosiłem się głównie do wysycenia innych parametrów niż zużycie rurki - http://www.goldenline.pl/forum/bezpieczenstwo-it-ihack...Nie wnioskuj. DDoS to jakiekolwiek działanie mające na celu uniemożliwienie użytkownikom korzystanie z jakiejkolwiek usługi udostępnianej przez serwer. Tak więc czy to tysiące getów do serwera www, czy też zwykły flood po udp - rezultat jest jeden - niedostępność usługi (zasrane łącze lub cpu i pamięć).
Następna dyskusja:
пропозиції роботи
