Hogyan hárít el egy VPS szolgáltató egy DDOS támadást?

Hálózatok egyéb

A Linode atlantai adatközpontja két napig állt egy DDOS támadás miatt, és ezt rövidebb ideig eljátszották a többi adatközponttal is.
Pár kérdés merült fel bennem:
- Van-e az ilyen támadások ellen megoldás és mi az?
- Mennyire lehet kompetens a Linode? Kik jobbak/profibbak esetleg náluk?

  • 3442 megtekintés

( dorsy v | 2016. 01. 03., v – 18:22 )

Ahogy a mellekelt abra mutatja leginkabb sehogy. :)
Itt is az ervenyesul, hogy az erosebb kutya b*szik. Minel tobb helyen van es minel tobb savszelessege annal inkabb tud ez ellen tenni, mert nem tudjak minden node-jukat eltomni DDOS-szal. Erdekes, hogy a google-t nem tudjak doszolni, mi? :) Ennyi a sztori kb.
De a linodenal is csak 1-2 kozpontjuk allt le, a tobbi mukodott, olyan szolgaltatast kell venni ahol van lehetoseg atallni failover kiszolgalora fizikailag masik helyen. Ez mar nem a klasszikus VPS, inkabb mar cloud.

( gelei v | 2016. 01. 03., v – 18:28 )

> Mennyire lehet kompetens a Linode? Kik jobbak/profibbak esetleg náluk?

A kompetenciájukkal nincs első kézből tapasztalatom, de havi tíz dollárért ne várd, hogy ddos ellen tesznek bármit is.

havi tíz dollárért ne várd, hogy ddos ellen tesznek bármit is.

dehogynem: biztositanak twitteren az egyutterzesukrol

--
"nem tárgyszerűen nézem a dolgot, hanem a vádló szerepéből. Sok bosszúságot okoztak, örülnék ha megbüntetnék őket - tudom gyarló dolog, de hát nem vagyok tökéletes." (BehringerZoltan)

( wpeople v | 2016. 01. 03., v – 19:11 )

Vannak (nagyon drága) technológiák, amig megszűrik a forgalmat, a normális továbbmegy, az "abuzív" pedig /dev/null-ba irányítódik.
A sávszélességet ez is el fogja használni, de az erőforrás megmarad, ill más irányból (linken) jövő kéréseket ki tud szolgálni.

Itthon Invitel biztosan ad ilyen szolgáltatást (bérelt vonali internetre). Nem akarok hülyeséget mondani, de a szűrés költsége kb a bérelt vonalni internet árának fele. (ami rájön az árra természetesen)

Persze lehet barkácsolni, hogy traf flow adatokat realtime analizálsz és a gyanúsra triggerelsz, de nem lesz uaz.

( dotnetlinux | 2016. 01. 03., v – 19:36 )

Kicsit kapcsolodo kerdes: centos7+firewalld eseten ha tuzfal szinten szurok ket IPre, akkor el tudjak tomiteni a vps-t vagy fizikai gepet, ami 100/1000Mbit-en lóg? Gyakorlatilag minden bertomheto, nem? Mondjuk az eszkoz lehet mas: pistikewebtarheJ.hu-ra nem inditanak 1000geprol ddos-t.

( zrubi v | 2016. 01. 04., h – 09:41 )

leginkább sehogy.

A rutinosabbak (nagyobbak/gazdagabbak) kötnek biztosítást, amiből ki tudják fizetni az esetleges kötbéreket. Azt ennyi.

Egy DDOS-t csak igen nagy, georedundáns hálózattal rendelkező internet szolgáltató képes benyelni úgy, hogy a szolgáltatásai még használhatóak maradjanak... egy VPS szolgáltató jó esetben is a ~3. továbbszolgáltató, esélye nincs ilyesmire.
(ahogy a 4 kilences rendelkezésre állásra sem)

Disclaimer: I am not speaking on behalf of my employer, this is my personal opinion

--
zrubi.hu

( aaron v | 2016. 01. 04., h – 11:07 )

Pl. Dupla VPS két adatközpontban más földrészen, közöttünk mondjuk AWS Route 53 failover. Egy variáció a sok közül.

( csortu v | 2016. 01. 04., h – 11:46 )

Nem két napig álltak, hanem karácsony és szilveszter (illetve január 3) között folyamatosan DDoS-olták gyakorlatilag az összes adatközpontjukat. Sajnos a mi céges szervereink is benne vannak a szórásban. Igazából az a csoda, hogy a Linode még állja a sarat, nyilvánvalóan egy konkurrens szolgáltató padlóra akarja küldeni őket. Kár, mert eddig nagyon jól muzsikáltak.

--
Csaba

nyilvánvalóan egy konkurrens szolgáltató padlóra akarja küldeni őket.

sulyos vadak ezek...

--
"nem tárgyszerűen nézem a dolgot, hanem a vádló szerepéből. Sok bosszúságot okoztak, örülnék ha megbüntetnék őket - tudom gyarló dolog, de hát nem vagyok tökéletes." (BehringerZoltan)

Én ezt olvastam a status oldalukon:

The following is a partial list of attacks we have received in no particular order:

- Multiple volumetric attacks simultaneously directed toward all of our authoritative nameservers, causing DNS hosting outages
- Multiple volumetric attacks simultaneously directed toward all of our public-facing websites, causing Linode Manager outages
- Layer 7 (“400 bad request”) attacks toward our web and application servers, causing Linode Manager outages
- Large volumetric attacks toward our colocation provider’s upstream interconnection points, overwhelming the router control planes and causing significant congestion/packet loss
- Large volumetric attacks toward Linode network infrastructure, overwhelming the router control planes and causing significant congestion/packet loss

All of these attacks have occurred multiple times. Over the course of the last week, we have seen over 30 attacks of significant duration and impact. As we have found ways to mitigate these attacks, the vectors used inevitably change.

Nem vagyok egy szakember, de nekem ez egy szisztematikus és igen szofisztikált támadásnak tűnik, nem egy besértődött ügyfélnek. De biztos igazad van, és csak túldimenzionálom a dolgot, mivel nekünk is problémát okozott. (Mindenesetre tanultam belőle, és végül kárunk nem lett emiatt.)

--
Csaba

Jelen esetben elég szisztematikus, de ebből következtetés kár levonni. "Sima" DDoS-t sajnos nagyon könnyen be lehet kapni, mert jól elszaporodtak ezek a szupergyors netek és soksok szolgáltató nem foglalkozik az abuse-al (főleg más kontinensen lévőek), nem korlátozza a gyanús forgalmat se, sőt megelőző lépéseket se tesz.

Ha észleljük, abuse jön, akkor igen. Többször volt már példa ntp vagy dns amplification kimenő forgalomra vagy komoly mennyiségű spamre és általában mind elhanyagolt OS-ek miatt jött. Igyekszünk minnél kevésbé fájó módon korlátozva, persze amíg lehet. Olyan is előfordul, hogy problémás esetre valamilyen sávszél korlát kerül fel megelőzés képpen.

Ugyanekkora gond a lakossági neteken ülő zombigép had. Inkább ott kéne valami emberi korlát vagy valamilyen automatikus alert rendszer.

Általában az upstream meg a nagy szolgáltatók mindíg a szűrés erőforrás igényével jönnek. Nekem van egy olyan érzésem, hogy relatív olcsón meg lehetne oldani egy alap szintet és hogy a teljes infrastruktúra árának töredéke lenne csak.

Szóval akkor csak az abuse után cselekszel, aktívan ti se szűritek/nézitek ezeket. IPS/IDS stb-vel.

"Nekem van egy olyan érzésem,"
Szerintem próbáld ki, és akkor nem kell érzésre hagyatkozni. Nem a gépigény lesz sok, hanem hogy foglalkozni kell vele.

Én tesztelgettem a suricatat. Nem mondom kellett neki gép:
kb ~300e pps, ~1.5Gbit/sec, ehhez volt egy 10GbE-ethernetes gép 4db X7642 cpuval (ez elment olyan 3-8 as loaddal). Ehhez még kellett, egy logfeldolgozó, ahova naponta bejött 40-50millió sornyi log (beállítástól). És ez nem nagy hálózatról beszélünk. Szóval az ezeken átrágod magad, hogy ebből mégis mi a potenciális támadás, utána hiába hívod fel az egységsugarú usert, nem tudsz vele mit kezdeni.

Így ha jön az abuse jelentés és szerveres akkor az tiszta sor küldöm tovább, és meg is csonálják. Bérelt vonal esetén is jobbak a kilátások, mert az már feltételez egy hozzáértőbb embert, de lakossági netnél ...

Szóval nem a gép kerül sokba.

Persze lehet jogászkodni, hogy mivel feltehetően illegális tevékenységet csinál lekapcsolod és kész. Viszont akkor megint nem fogod tudni megértetni az ügyféllel mit kéne csinálnia. És csak azzal jön, hogy neki van ám vírusirtója :D

Fedora 22, Thinkpad x220

Mi nagyon picik vagyunk. A problémám az, hogy nálunk sokkal nagyobbak nem foglalkoznak ezzel. Ahol dollármilliókat költenek infrára, ott valszin megoldhatnák jobban. Egyébként félreértesz. Itt nem arról van szó, hogy fullos IPS/IDS-el figyelést várokel, de van néhány nevezetes port, forgalom típus ami problémát okoz (lásd az ntp és dns amplification témát). Ezek ellen lehetne tenni valami kis alapvetőt összehozni.

De ha még nem is oldják meg, össze sem tudom számolni, hogy az elmúlt 2 évben hány helyre küldtem abuse-ra emailt és a fülük botját sem mozdították vagy 3x csak ráírták, hogy óhát megcsináltuk, miközben jött tovább az áldás.

Ha nem közlik vagy épp senki vállalja magára, akkor nem feltétlen tudod meg, hogy ténylegesen mit támadtak, ami épp a Linode-nál van... van bőven feszültség és konfliktus a világon... a Linode és az ott futó szolgáltatások ilyenkor csak "járulékos veszteség".

--
https://portal.gacivs.info