Te mit tennél DDoS esetén?

Hálózatok általános

Tegyük fel, hogy egy szerverhoszting tulajdonosa vagy, és az egyik ügyfeledet ledosolják, Te mit tennél?
- Párszor a teljes rendelkezésedre álló sávszélt kitölti a támadás, máskor csak egy bizonyos részét
Minden vélemény érdekel, mit tartanál megfelelő megoldásnak vagy miképp intéznéd el az egészet úgy, hogy mindenki jobban járjon.
Kérdés technikailag és ügyfélkezelés szempontjából is érdekel.

  • 8072 megtekintés

( uid_7086 | 2014. 08. 14., cs – 00:40 )

subs... (akartam írni valamit, de úgy sejtem, ez komoly téma számodra, nem csak kíváncsiságból kérdezed - nem tudom, van-e bármiféle technika egy jól kivitelezett ddos elhárítására a kiváráson túl)

Valóban fontos, de nem fogok görcsbe rándulni ha hülyeséget vagy egyéb mást fogok látni, nyugodtan írd le mit gondolsz.
Technikailag akár azt is, hogy X időre kihúzom a gépet vagy kap más ip cimet vagy akármilyen megoldás, akár jólpénzelt szolgáltató esetén hw tűzfal vagy ami csak szem-szájnak ingere.

Közben picit "művelődtem" (prevent or mitigate ddos) és hát...
http://www.techrepublic.com/blog/it-security/ddos-attack-methods-and-ho…
Ezt érdemes volt elolvasni, mert rá kellett jönnöm, hogy egy ddos támadáshoz elég sokféle eszköz áll a rosszalkodni vágyók rendelkezésére.

Ami eszembe jutott volna, ha nem akarom elhülyülni, az az IP cím csere, de azzal gondokat is okozhatsz bizonyos esetekben, plusz ha nem a címet támadják, hanem DNS-ből veszik a célba vett címeket, akkor hiába cseréltél, pár perc és folytatódik.
DDOS esetében a támadó címek tiltása nem tűnt jó ötletnek, de pl. az eszembe sem jutott, hogy esetleg hamisított headerekkel is támadhatnak, nem is kell hozzá feltétlenül botnet.

( lajos22 | 2014. 08. 14., cs – 01:27 )

Ez engem is érdekel.

--
Fontos! Ha berágok, nem feltétlen személyed ellen szól...
openSUSE 13.1 x86_64

( trey | 2014. 08. 14., cs – 08:39 )

Ennél értelmesebb topikcímet adnék kezdetnek. Második lépésként megpróbálnék megfelelőbb fórumkategóriát választani. Átmozgatva.

--
trey @ gépház

Cím módosítva, viszont a közösségi kerekasztal azért lett választva, mert inkább azon irányba megy el a dolog, hogy miképp reagálnak az emberek egy ilyen esetre. A technikai megoldás ezesetben nem sok szót érdemel. Pl. lehúzom a gépet a hálóról és részleges boldogság van, innentől az ügyféllel kell mindent megbeszélni. A megbeszélés pedig nem a technikai malőr része. :)

( pike.killer v | 2014. 08. 14., cs – 09:06 )

Eloszor elgondolkodnek mit kene valtoztatni, hogy maskor nem forduljon elo ilyen. ( Eszkoz csere, uj eszkoz beszerzes, felugyelo szemlyzest tovabb kepzese, esetleg csereje ...)

Masodszor probalnam a felhasznalo elott megfogani az ilyeneket, hogy a tobbi szolgaltatast ne veszelyeztesse.

Harmadszor, ha a berlonek koze van a tamadashoz es az AFSZ add ra lehetoseget szuneteltetnem a szolgaltatast. Persze a berlot elotte ertesitenem.

( pirate | 2014. 08. 14., cs – 11:26 )

Ha nem tudod lenyomni kapacitasban (savszelesseg, szerver teljesitmeny) a DoS-t akkor nem sok eselyt latok.
Esetleg elkoltoztetni az ugyfelet valami felhobe (Amazon?), azt probaljak DoS-olni. Erdekes lenne kideriteni azt is, hogy miert DoS-oljak, esetleg ott is megoldhato a problema. Ha valami viagrat reklamozo site akkor nem igazan tudom sajnalni...

Topik cim modositasban egyetertek Trey-el.

( dap | 2014. 08. 14., cs – 11:46 )

DDoS védelmet ajánlanék neki (distributed reverse proxy cloud/cluster), ha nem akarja vagy nem lehetséges, akkor felmondanám a szerződést, mielőtt a kimaradozó hálózat miatt a többi ügyfel mondja fel velem.

Nem feltétlenül fair, de üzletileg ésszerű.

+1

Esetleg abban lehet kulonbseg hogy milyen oldalrol van szo, ha profit orientalt, akkor mindenkepp a fenti gyakorlat, nekik is anyagi erdekuk a stabilitas, es profitot hoz, ezt hivjak befektetesnek. Elobb utobb a tamadasok is meg fognak szunni mert a (nagy valoszinuseggel konkures cegeknek) akik tamadnak sem eri majd meg ddos-t venni, inditani.

Neked mint szolgaltato a megoldast kell szallitanod, azt hogy mi az igeny mar a vevo donti el, kell-e neki ilyen aron vagy sem, ha nem kell es megis meg akarod tartani az ugyfelet, akkor szeparalj nekik egy /32-t es ha gond van BGP-ben kuld el valahova, ha igy egy ket orara vagy napora allni fog a lap meggondoljak hogy lehet megis kene valami...

Jah es ha nem akarsz magad barkacsoni akkor van szolgaltataskent is ilyen pl incapsula cloudfare etc

jah es sub

( Kayapo | 2014. 08. 14., cs – 12:55 )

Szerintem legfontosabb, hogy informáld az ügyfeledet, mit és hogyan támadnak, esetleg, honnan támadnak. Ha a futtatott kód fogékony az ilyen típusú támadásokra, akkor neki kutya kötelessége tenni ez ellen.

Aztán a webkiszolgálóknak is van több kevesebb eszközük amivel lehet küzdeni a DDOS ellen. Illetőleg IPS/IDS is szóba jöhet, ezek között van ami tud tenni a DDOS ellen

----
올드보이
http://molnaristvan.eu/

( kalebris | 2014. 08. 14., cs – 13:40 )

Dedikalt IPje van-e a servernek, ha igen akkor egyszeruen megkered a szolgaltatot, hogy routolja null0-ba az IP cimet. Vannak erre technikak, bgp-vel es dedikalt community-vel szoktak megoldani a dolgot es akkor meg neha ra is tudsz tesztelni, hogy megy-e meg.
Ha nincs dedikalt IPje es az osszes savszel oda akkor el kell kuldeni mashova, ha nem akarsz arcvesztest akkor megprobalod az ec2-t finanszirozni neki a havi/eves dijbol.

( atomjani | 2014. 08. 16., szo – 08:20 )

Először húznám a hajamat, aztán neki állnék gondolkozni.
Először is lehúznám a hálózatról és aztán vissza, hogy hozzáférjek, majd a tűzfalnál csak a saját ip címet engedném át, a többi kapcsolatot eldobnám.
Aztán ha van miből(pl napló), elemezném, hogy mely ip címről vagy ip tartományról támadnak, azokat el lehet dobatni, megy a fekete listára majd. Ha mindenféle ip-ről jön, akkor más szabályszerűséget kell keresnek, ami alapján jól be tudom azonosítani. Pl olyan ip címek ezek, amik mostanában tűntek fel szinte egy időben. A régiek fehérlistára, ezek a fekete listára mennek.

......................
Egymás segítésére még: http://pc-kozosseg.com

( Elbandi v | 2014. 08. 16., szo – 09:08 )

Sajnos voltam mar en is erintett hasonloban: a bohockodasra hasznalt gepen volt egy ts3 szerver, amit a haveri tarsasag hasznalt. egyszer osszebalhezott ket arc, erre elkezdtek dosolni a gepet. kesobbi logokbol kiderult, hogy 5-6 isp tartomanyabol 20-30 iprol jott az aldas. nem is csoda, ma mar lakossagi szolgaltatassal is lehet venni 10-20-100Mbit uplinkkel rendelkezo netet, ebbol nemkell sok, es pikk-pakk le lehet dosolni egy gepet. mivel nalunk nagyreszt bohockodasra van a gep, elegge koltsegszegeny a moka, igy a 100M-as vonalat siman kitomtek.

Mit tehet ilyenkor az egyszeru user? kb semmit.
- hiaba teszek a gepen egy iptables szabalyt az ipkre, attol meg a packet bejon a gepre, es eldugitja a savszelt.
- lehet irni az isp abuse cimekre, de ehhez kell a szolgaltatotol kapott log, hogy lassuk a tamado ipket. dehat azok is lehetne egy botnet resze, a gazda tudta nelkul.
- lehet felberelni ket "szekrenyt" akik "elbeszelgetnek" az illetovel, ez nem a mi stilusunk
- ???

--
A vegtelen ciklus is vegeter egyszer, csak kelloen eros hardver kell hozza!

Vegyünk egy alap ~Gbit-es uplinket. A mostani otthoni és akár VPS-es nethozzáférésekkel már néhány tucat kliens elég, hogy kitömd a sávot. A DDoS (ha a sávodat akarják) pedig jellemzően több 100db támadótól jön. Ha a Gbited fel is tudod hirtelen 2Gbit-re bővíteni sem megoldás. Talán ha 10Gbit-re felbővíted az érhet valamit, de ha akarják azt is relatív hamar kitömik.

( wpeople v | 2014. 08. 16., szo – 13:25 )

tipp: nem a célgépen, hanem előtte futtatni IDS-t, ami detektálja a gyanúsan megnövekedett packet forgalmat. (ha más nem, egy alap NFSen futtatása egy gépen, 5percenként letárolt és feldolgozott adatokkal)

A DDoS-olt IP-t gyorsan blackhole hirdetném, ezzel megállt a forgalom, majd a jelezném az abuse címekre a DoS-t. Ez az agresszívabb verzió.

A kevésbé agresszív verzió, ha van egy erre a célra fenntartott vékonyabb csöved (tegyük fel a primer vonalad 1gbps, a tartalék 100 mbps) és a DoS-olt címet (v tartományt) oda hírdeted be.

( sj | 2014. 08. 16., szo – 20:26 )

Tegyük fel, hogy egy szerverhoszting tulajdonosa vagy, és az egyik ügyfeledet ledosolják,

pontositsunk egy kicsit: tegyuk fel, hogy te vagy mondjuk az Adatpark tulajdonosa, vagy tegyuk fel, hogy van 3 desktop pc-d, amit betettel az Adatparkba? Csak azert kerdezem, mert nem feltetlen ugyanazok a lehetosegeid...

--
"A politikat, gazdasagot es a tobbi felsorolt faszsagot leszarom, amig engem nem erint (nem erint)" (bviktor)

Itt van lehetőség mindkettőről beszélni - a pro és kontra lehetőségek - ezért mindenki úgyis a saját tapasztalatából vagy gondolatmenetét fogja leírni. Értelemszerűen aki olcsóhosztingnál van, az arról fog megoldásokat találni, aki "drága" hosztingnál, az pedig arról tud többet.

Van ilyen is, hogy: CloudFlare DDOS protection.
A blogjukban írják is, hogy milyen elven működik:
- How You Mitigate a 75Gbps DDoS - Spamhaus
- 400Gbps NTP amplification DDOS
- Másik valós életből vett példa

Illetve ajánlom még ezt a Fireblade összehasonlítást:
- Mitigating DDoS

Maradva az eredeti post-nál:
Azt nem tudom, hogy ezek a cloud-based védelmek mennyibe kerülnek, de lehet, hogy többe, mint amennyit egy 100Mbps linken lógó baráti szerver üzemeltetői rászánnának. Meg azt sem tudom, hogy játék szerver esetén mennyire nyújtja a pinget az infrastruktúra...

Üdv:
Dw.

"Jegyezze fel a vádhoz - utasította Metcalf őrnagy a tizedest, aki tudott gyorsírni. - Tiszteletlenül beszélt a feljebbvalójával, amikor nem pofázott közbe."