GoldenLine
Zaloguj się
Tomasz Zadora

Tomasz Zadora programuję

Temat: DDOS - odsłona druga / pytanie o hosting

Witam, może niektórzy z Was pamiętają taki wątek o DDOS który rozpocząłem:

http://www.goldenline.pl/forum/1499186/ddos-metody-obrony

to była bułka z masłem i mój hobbystyczny serwis.

Teraz problem mają moi znajomi - duży i dobry serwis zarabiający do dzisiaj konkretne pieniądze. Od rana jest atakowany przez wiele maszyn naraz - około 1500 - 2000 połączeń po instrukcji (na linuxie):

$ netstat -lat|grep http|wc -l

serwis w tej chwili nie działa (wyłączony apache aby nie nabijać ruchu), jest postawiony na serwerze dedykowanym który jako maszyna dość dobrze sobie z tym radzi tak samo sama aplikacja www.

Problemem jest raczej infrastruktura sieciowa hostingu i port 100Mbit który w takiej sytuacji nie wystarcza.

Dlatego mam prośbę/pytanie o wskazanie takiego hostingu gdzie infrastruktura sieciowa z takim ruchem sobie poradzi - począwszy od serwera który będzie miał dobrą kartę sieciową po całą drogę do routera brzegowego - najlepiej rura 1Gbit. Plus jacyś rozsądni admini którzy dość szybko takie ataki wykrywają monitorując tą sieć i są w stanie przynajmniej częściowo chronić swoich klientów.

Hosting nie musi być tani, nie musi być w Polsce - jedyne wymaganie to terytorium europy i support w języku angielskim lub oczywiście PL.

Będę wdzięczny za wszelkie sugestie.
Link do wypowiedziLink
Mariusz Gronczewski

Mariusz Gronczewski Linux Geek

Temat: DDOS - odsłona druga / pytanie o hosting

spróbuj ovh np taki http://www.ovh.pl/produkty/eg_hybrid.xml, karta gbit i dobre łącza do świata http://weathermap.ovh.net/

Aaaa i postaw jakieś proxy przed np. haproxy, apache lubi sie zaginać przy większej ilości połączeń a tak to możesz część chociaż powycinać za proxy zanim dotrą do apacha
Link do wypowiedziLink

konto usunięte

Temat: DDOS - odsłona druga / pytanie o hosting

A jakiego request'a robią te maszyny? Jak tylko główną stronę, ewentualnie w sposób powtarzalny jakieś inne, to może zaserwować ją statycznie?
Link do wypowiedziLink
Tomasz Zadora

Tomasz Zadora programuję

Temat: DDOS - odsłona druga / pytanie o hosting

Dzięki Mariusz. Na razie od nocy jest postawiony inny serwer zamiast apache, ale atak ustał - a przynajmniej zelżał. Tak czy inaczej ten serwer ma wbudowane pewne mechanizmy które częściowo w takiej sytuacji pomagają (serwer Litespeed).

Jednak jak atakujących znowu zrobi się 2K albo i więcej na minute to jakieś rozwiązanie hostingowe już jest.

@Peter Kowalski - to jest atak z botnetu, tysiące maszyn z wielu krajów świata, tysiące adresów IP zadających różnorodne requesty http. Nie da się prosto rozróżnić dobrego requestu od złego.
Link do wypowiedziLink
Mariusz Gronczewski

Mariusz Gronczewski Linux Geek

Temat: DDOS - odsłona druga / pytanie o hosting

Jemu chodziło o to żeby zmienić stronę którą requestuje botnet na coś prostego, statycznego tak żeby requesty z botnetu mniej obciążały serwer. Mogłoby troche (a nawet sporo jak generowanie tej strony jest "kosztowne") pomóc :)
Link do wypowiedziLink
Tomasz Zadora

Tomasz Zadora programuję

Temat: DDOS - odsłona druga / pytanie o hosting

Tak, nie doczytałem, sorki. W tym przypadku serwer (pamięć/proc) i aplikacja bez problemu sobie radziły z ruchem. Problem był w przepustowości łącza, samym porcie 80 (ewentualnie apachu) który zalany pakietami po prostu się zablokował.

Można dawać jakiś statyczny html z informacją, że jest awaria etc., woleliśmy jednak zmienić tymczasowo port serwera z 80 na inny, tak żeby obsługa serwisu od strony administracyjnej mogła
jakoś działać.Tomasz Zadora edytował(a) ten post dnia 20.05.10 o godzinie 01:02
Link do wypowiedziLink

konto usunięte

Temat: DDOS - odsłona druga / pytanie o hosting

Tomasz Zadora:
A jak idą te requesty? Jeden request z jednego ip i cisza, czy nacierają non-stop?

Jeżeli non-stop, request za requestem, to może ustaw jakiś timeout, np. 0.5s między requestami. Jeżeli któreś ip odwołuje się częściej, to kapcza na ekran i czasowy ban gdy nie przejdzie weryfikacji.
Link do wypowiedziLink
Mariusz Gronczewski

Mariusz Gronczewski Linux Geek

Temat: DDOS - odsłona druga / pytanie o hosting

to akurat jest zły pomysł, bo chyba każda przeglądarka używa paru połączeń na raz i zwykłe przęglądanie triggernełoby blokadę.

Jeżeli już to np. "jeżeli więcej niż 60 requestów w ciągu minuty to blokuj"
Link do wypowiedziLink
Tomasz Zadora

Tomasz Zadora programuję

Temat: DDOS - odsłona druga / pytanie o hosting

Niestety atak wrócił i to dwukrotnie potężniejszy (wg. wykresu mrtg switcha), mimo to Litespeed jakoś sobie z nim radzi - jest to o wiele lepszy serwer pod tym względem niż Apache (przy odp. konfiguracji).

Świadczy o tym chociażby to, że strona www otwiera się ciężko, ale się otwiera za to cała reszta usług padła - niemożna wejść na serwer przez SSH, nie działa poczta etc.

Od dzisiaj rozpoczynam przeprowadzkę do OVH tam gdzie Mariusz proponował, zobaczymy...
Link do wypowiedziLink
Tomasz Zadora

Tomasz Zadora programuję

Temat: DDOS - odsłona druga / pytanie o hosting

Peter Kowalski - przy tak dużych atakach nie blokuje się ich i nie da zablokować na samym serwerze, trzeba to zrobić wcześniej.

Pomaga na pewno loadbalancing - ale to już są drogie sprawy.
Link do wypowiedziLink
Maciej Natan Milaszewski

Maciej Natan Milaszewski Kierownik dzialu IT
/ sys administrator

Temat: DDOS - odsłona druga / pytanie o hosting

load balancer tez nie za zbytnio - potrzebna jest naprawde duza rura itp

z tego co sie orientuje jest komercyjne rozwiazanie http://www.dosfilter.com/?gclid=CKmL04KN46ECFQgEZgodQW...

oczywiscie tak jak mowil kolega wczesniej najlepiej przed apachempostawic haproxy
Link do wypowiedziLink
Tomasz Zadora

Tomasz Zadora programuję

Temat: DDOS - odsłona druga / pytanie o hosting

Mam nadzieję, że 1Gbit w OVH wystarczy plus dobra konfiguracja sprzętowego firewalla przed serwerem. Proxy też będzie :)
Link do wypowiedziLink
Mariusz Gronczewski

Mariusz Gronczewski Linux Geek

Temat: DDOS - odsłona druga / pytanie o hosting

Możesz też zrobić mały "trik" na haproxy np. napisać ACLa który przy wejściu na "http://jakasstrona.pl" robi przekierowanie na "http://jakasstrona.pl/index" i wstawić pod index główną stronę.

zakłądając że to jest głupi DDoS (czyli żąda w kółko ten sam adres i nie sciaga dalszych stron) requesty DDoSowe powinny się zatrzymać na proxy a valid user po prostu zostanie przekierowany.
Link do wypowiedziLink
Tomasz Zadora

Tomasz Zadora programuję

Temat: DDOS - odsłona druga / pytanie o hosting

Nie jest to niestety prosty, głupi atak. Z jednej strony jest masowy flooding SYN_RECV - na który nie pomogły najróżniejsze ustawienia iptables oraz systemowe dla TCP/IP. Dodatkowo żądania do samego serwera www na port 80 pod najróżniejszą postacią powodujące najróżniejsze błędy z rodziny 4xx - np. zbyt długi URI, nieprawidłowy URI, etc. etc.

Naprawdę jest to atak przeprowadzony raczej nie przez amatora, nie wiadomo w ogóle dlaczego ktoś atakuje bo nie było żadnych żądań haraczu. W tej chwili właściciele serwisu podejrzewają jakąś konkurencję - serwis zdobył laur konsumenta, nagrody w rankingach, może komuś to bardzo przeszkadza.
Link do wypowiedziLink

konto usunięte

Temat: DDOS - odsłona druga / pytanie o hosting

Tomasz Zadora:
Nie jest to niestety prosty, głupi atak. Z jednej strony jest masowy flooding SYN_RECV - na który nie pomogły najróżniejsze ustawienia iptables oraz systemowe dla TCP/IP. Dodatkowo żądania do samego serwera www na port 80 pod najróżniejszą postacią powodujące najróżniejsze błędy z rodziny 4xx - np. zbyt długi URI, nieprawidłowy URI, etc. etc.

Naprawdę jest to atak przeprowadzony raczej nie przez amatora, nie wiadomo w ogóle dlaczego ktoś atakuje bo nie było żadnych
Skoro interesuje się DDOS to amator.
żądań haraczu. W tej chwili właściciele serwisu podejrzewają jakąś konkurencję - serwis zdobył laur konsumenta, nagrody w rankingach, może komuś to bardzo przeszkadza.

Kupili na forum dostęp do botnetu (nowy medialny termin)/dosnetu i klikneli 'flood'. Nie wymaga to wiedzy specjalistycznej.

Skąd wiesz, że iptables nie pomaga? Jeżeli nie pomaga, to jest źle skonfigurowany.

Konfiguracyją możesz to ograniczyć, pytanie jest tylko czy serwer fizycznie wytrzyma obciążenie (sprawdź load) i czy łącze ma wystarczającą przepustowość.

Zatrudnij konsultanta na 1-2 dni, który zajmie się sprawą.

W ostateczności, firmę która zajmuje się bezpieczeństwem.
Link do wypowiedziLink
Maciej Natan Milaszewski

Maciej Natan Milaszewski Kierownik dzialu IT
/ sys administrator

Temat: DDOS - odsłona druga / pytanie o hosting

Maciej B.:
Skąd wiesz, że iptables nie pomaga? Jeżeli nie pomaga, to jest źle skonfigurowany.
sorry ale raczej po tej wypowiedzi wnioskuje ,ze nie wiesz na czym polega atak typu ddos - bez urazy oczywiscie - ot taka dygresja :)

zakladajac ze kazdy pakiet leci z innego adresu ip.... ciezko jest za pomoca iptabelek "ochronic sie" przed ddosem

i nie zawsze duza rura ci pomoze .....

oczywiscie zakladam ze iptableki takze blokuja udp etc ilosci polaczen itp itd i poprawnosci zaptan etc

naprawde przy zmasowanym atakiem ddos ktory nie robi amator obronic sie nie ejst super zajebiscie latwo ....

swoja droga na ovh i ich super zajebiste filtry ;) wystarczy ze hosting ma postawionego apacha i nieskonczona duza rure np 1T ;)

wysarczy zwykly telefon GPRS do tego slowloris i super zajebisty hosting jest wylaczny......

jezeli uwazasz ze sie myle podaj mi swoj hosing i sie umowimy i z telefou ci klikne i sie potestuje. oczywiscie wszystko pod kontrola :)maciej natan milaszewski edytował(a) ten post dnia 21.05.10 o godzinie 15:42
Link do wypowiedziLink
Tomasz Zadora

Tomasz Zadora programuję

Temat: DDOS - odsłona druga / pytanie o hosting

Co do zaj* filtrów OVH to po to będzie kupowany firewall sprzętowy + wynajęty dobry specjalista do jego konfiguracji plus serwer inny niż apache dobrze skonfigurowany plus proxy, żeby tej sytuacji zaradzić.

Tutaj jest kwestia jaki budżet mają atakujący bo zakładam, że to nie właściciel botnetu to robi tylko ktoś ten botnet wynajmuje. Jak się okaże, że aby zablokować serwis na nowym hostingu potrzeba wynająć botnet składający się z co najmniej 100 tys. maszyn to może odpuszczą.Tomasz Zadora edytował(a) ten post dnia 21.05.10 o godzinie 16:09
Link do wypowiedziLink
Maciej Natan Milaszewski

Maciej Natan Milaszewski Kierownik dzialu IT
/ sys administrator

Temat: DDOS - odsłona druga / pytanie o hosting

jak postawisz itp itd to daj znac potestujemy
Link do wypowiedziLink
Tomasz Zadora

Tomasz Zadora programuję

Temat: DDOS - odsłona druga / pytanie o hosting

Sorki, ale nie bardzo mogę ujawniać domenę :) Po prostu obowiązuje mnie pewna dyskrecja bo to nie mój serwis. W tym momencie ataku znowu nie ma, ale prędzej czy później wróci, a jak wróci już na nowy serwer to wtedy to będzie najlepszy "test".

Dzięki jednak z dobre (mam nadzieje ;-) ) chęci.
Link do wypowiedziLink
Mariusz Gronczewski

Mariusz Gronczewski Linux Geek

Temat: DDOS - odsłona druga / pytanie o hosting

Tak ale wystarczy haproxy i slowloris leży ;].

Co do iptables, jak dostaje się 50 SYN /sek to nawet w przypadku DDoS ograniczenie tego do 5 pomaga ;].

Problemem z DDoS jest to że nawet jakby udało zablokowac się wszystko to i tak pakiety przychodzą i zapychają bandwidth, blokując dostęp innych klientów.

A jak się odpowiednio skonfiguruje apacha to slowloris trzeba będzie ustawić znacznie powyżej defaultowych 1k połaczeń żeby dało to jakiś efekt ;]. Ale to generalnie bardzo efektywny atak na serwery "apachopodobne" (tzn używające 1 watku per połączenie), szczególnie że często domyślnie włączony jest mpm_prefork (czyli 1 proces na połączenie)
Link do wypowiedziLink
« Wróć do tematów
Odpowiedz

Podobne tematy


Następna dyskusja:

Pytanie odnośnie prelegentów




Wyślij zaproszenie do
Anuluj