DDOS védelem hogyan ?

Security-all

Sziasztok!

Segítséget, avagy tanácsot szeretnék kérni.
Pici hosting szolgáltató vagyunk jellemezően azoknak adunk tárterületet akik velünk készíttetik a honlapjaikat.
2016.05.01-ével átvettünk hosting-ra egy picit nagyobb oldalt amivel nem is volt gond, az első két hétben.
Majd azt vettük észre, hogy a virtualizált masinánk nem elérhető.
A szolgáltatóval egyeztetve (GTS Budaörs) kiderült, hogy az egyik IP címünk DDOS támadás alatt áll.
Kiderítettük, melyik IP cím, így kiderült melyik oldal volt a problémás.
Átdobtuk egy másik IP-re, de 1 nap után ott is támadták.
Adtunk neki új "kábelt", de ott is 1 nap után támadták.
Szisztematikusan mentek az oldal után.
Majd átdobtuk cloudflare-re, így megtámadták az régi IP-t amin a többi weboldal figyel.
Így a teljes gép/géppark megáll ugye.
Az utolsó támadás alkalmával a teljes terem megállt 5 percre...
A támadás mértéke 8 gigabit/s.

Próbálkoztunk már a nemzetközi hálózat kiiktatásával, ilyenkor nyugalom van, csak ugye nem vagyunk elérhetőek úgy ahogyan szeretnénk.

Lassan ott tartok, hogy álljon elém akinek a nyakára kell tolatni véletlenül egy kamazzal, de szeretnénk ezt hivatalos úton intézni.

Mi a teendő ilyenkor ?
A szolgáltató felajánlott egy DDOS védelmet, de akkora az összeg, hogy több mint 1 éves hosting díj.

Ha elkezdek megint IP-t váltogatni akkor valószínűsíthetőleg megint jönnek utánunk...

Ti mit tennétek ? (A támadó IP-k között elenyészően de található magyar cím is (inviteles))

  • 6017 megtekintés

( agostonl | 2016. 06. 07., k – 12:44 )

Szia!

Én a fail2ban-t konfigoltam be oly módon, hogy az ilyen és hasonló támadásoktól megvédjen.
Ja, és van kamazos ismerősöm, ha kell ;)

"Értem én, hogy villanyos autó, de mi hajtja?"

mindig ram tor a zokogas, amikor emberek fogalmatlanul ajanlgatjak a fail2ban-t ddos ellen. Ez mindenesetre jol mutatja, hogy nem erted, mi az a ddos es/vagy hogy mukodik a fail2ban...

--
"nem tárgyszerűen nézem a dolgot, hanem a vádló szerepéből. Sok bosszúságot okoztak, örülnék ha megbüntetnék őket - tudom gyarló dolog, de hát nem vagyok tökéletes." (BehringerZoltan)

kinek kuldesz emailt? Hany emailt kuldesz? Minek kuldesz emailt? Ez szinten az a megkozelites, amitol zokoghatnekom tamad...

--
"nem tárgyszerűen nézem a dolgot, hanem a vádló szerepéből. Sok bosszúságot okoztak, örülnék ha megbüntetnék őket - tudom gyarló dolog, de hát nem vagyok tökéletes." (BehringerZoltan)

Arra gondolt a költő, hogy ha DDOS alatt áll a szervered, nem lesz egy gramm sávszélessége sem e-mailt küldeni.

Valamint ha már eljut a szerveredig a DDOS, akkor már teljesen mindegy, hogy a fail2ban-nal mit blokkolsz, mert a sávszélességed ki van tömve. Kb. mintha egy dudáló kamion mellett bedugnád a füledet: a zaj ettől még nem szűnik meg körülötted, nem fogsz tudni beszélgetni senkivel. Ha meg is próbálod, a zaj elnyomja a hangod. A fail2ban tehát DDOS ellen hatástalan.

( csardij v | 2016. 06. 07., k – 12:53 )

Hát, azért ha 8GBit/s-től megáll a teljes terem, ott nagyobb gondok is vannak.

DDOS-t három módon tudsz megfogni: pénz, pénz, pénz
a) nagyobb uplinket veszel mint amennyivel támadnak
b) átmész másik szolgáltatóhoz aki ad ilyen szolgáltatást (pl. OVH)
c) beruházol saját magad tűzfalakba, stb, hogy kiszűrd.

Hát, mindegyik egy rakás gempa.

Dehogyis, az A pont a legjobb megoldás. Ugyanis a többi az elsőre vezethető vissza, hiába ad valaki olyan szolgáltatást ami talán véd a DDoS ellen, ha a szolgáltató sávszéljét is kitömik. Nemzetközi szinten lehetett már hallani több száz Gbites támadásokról is, ami azért itthon nem sok szolgáltató bírna ki.

Mivel kis ország vagyunk kis potenciállal, errefele csak 1-2x10GbE szokott lenni, azt meg a nagyok átvészelik, így hirdethetik, hogy nekik van DDoS védelem :>

Fedora 23, Thinkpad x220

( Winter | 2016. 06. 07., k – 13:08 )

Cloudflare + mindennek új ip, amit DNS-ből már nem tudnak kideríteni.
A direct. subdomainre is érdemes egy 127.0.0.1-et felvenni, mert alapból arra megmondja a Cloudflare a valós ip-t.

DigitalOcean 10$ kredit- Cloudatcost VPS 50%: MEQy2epUny - <3 openSUSE, Ubuntu, KDE <3

( dNi | 2016. 06. 07., k – 13:12 )

Ahogy elottem is mondtak, olcson nem valoszinu hogy meguszod.

Altalaban ilyenkor az ip-det null routeolja a szolgaltatod, hogy a sajat halozatat megvedje. Vannak kulfoldi de talan magyar cegek is akiken athuzhatod a forgalmadat es azok megszurik mielott hozzad kerul. Igy minden tiszta forgalom egy GRE tunnelen keresztul megy feled, a koszosabbik reszet pedig a ddos mitigation szolgatatod szuri. Elgondolkozhatsz az OVH-n, ott is van VPS es olcson dedikalt szerver is, nekik az arban benne van a ddos vedelem.

---
http://www.vultr.com/?ref=6814182

( transglob v | 2016. 06. 07., k – 13:32 )

Szia,

Akkor ti voltatok! :)
Tudtommal a GTS-nek van DDOS védelme Arbor alapokon.
Sajnos Te mint kishal a sztoriban nem nagyon tudsz mit tenni itt véleményem szerint csak az provider tud lépni.

Az, hogy ezért a GTS pénzt kér (http://www.gts.hu/szolgaltatasok/internet/anti-ddos) az más kérdés...
Ilyenkor felvetődik bennem, hogy ha a többi ügyfelét is veszélyezteti ezzel akkor miért nem alkalmazza ha már van neki megoldás.

Szolgaltatotol fugg, hogy milyen szinten figyelik a forgalmat es mikor null-routolnak egy IP-t. Meg igy is megzavarhatja a tobbi ugyfel forgalmat. De kb ez a megoldas. Null-route, ami mondjuk propagalodik az upstremaek fele is es akkor nem a szolgaltato hataran all meg a forgalom, hanem a szolgaltato szolgaltatoinal (:

-+-+-+
Dropbox tarhely
Cave Canem
+-+-+-

( 3r1c v | 2016. 06. 07., k – 13:44 )

Hello

Szerintem kérdezd meg a weblap előző szolgáltatóját, hogy ő tapasztalt-e ilyet, mert ha volt ehhez hasonló esete ugyan ezzel a weblappal akkor lehet hogy csak elterelés az egész, mivel a weblapon amit átvettél lehetnek biztonsági hibák melyekkel próbálkozhatnak, vagy már használják is míg te a DDoS ellen védekezel.

Sajnos a DDoS ellen kifejezett védelem nincs, megnehezíteni a dolgukat akkor tudod ha növeled a teljesítményt a sávszélességet vagy ha a szolgáltatásod elosztod. Szóval ahogy írták: pénz pénz pénz ...

+1
Hasonlóval sz*ptunk kb 1 hónapig. 3x volt ip csere, 2x költöztünk kompletten. Majd kiderült, hogy az egyik oldalt megtörték, és az hozta magával az átkot rendszeresen. Weboldal kidob, újratelepít minden és lám, azóta nem jött hasonló probléma (kopp,kopp,kopp azért lekopogom :) ). Rengeteg pénz, idő ment el rá, mindez egy oldal miatt. (Egyébként htaccessben volt 10000+ üres sör és utána volt az okosság benne. Szerintem meg is osztottam itt hup-on. Azóta nincs engedélyezve a .htaccess, mi állítjuk be kézzel amit kér az ügyfél.)

( koszik | 2016. 06. 07., k – 13:48 )

8 gigas DoS nem szamit tul nagynak a mai vilagban, sajnos fel kell ra keszulni, hogy ekkorakkal piszkalnak. Mi pont erre specializalodtunk, szoval ha opcio a szolgaltato/uplink valtas, akkor konnyen megoldhato a dolog. Ha nem, akkor nagyjabol igy jartatok, mert a tamado okos es kepes volt megjegyezni a regi cimet, igy a cloudflare onmagaban keves, ahogy azt te is eszrevetted. Megoldas lehet atrakni masik szolgaltatohoz a siteot, igy ha legkozelebb tamadnak titeket direktben a lap elerheto marad CFen keresztul, szoval valszeg nem lesznek motivaltak a tovabbi tamadasra feletek.

( dotnetlinux | 2016. 06. 07., k – 14:30 )

"Kiderítettük, melyik IP cím, így kiderült melyik oldal volt a problémás. Átdobtuk egy másik IP-re, de 1 nap után ott is támadták."
Valszeg nem az IP-t támadják, hanem a domain-t. Hiába pakoljátok át, mennek az új IP-re. Az előző szolgáltatót nem azért cserélte le az oldal tulaja, mert ott is megállt mindent?

"Az utolsó támadás alkalmával a teljes terem megállt 5 percre..."
Sztem csak átmenetileg állt meg. GTS nem hiszem, hogy egy IP miatt le tud állni.

"A szolgáltató felajánlott egy DDOS védelmet, de akkora az összeg, hogy több mint 1 éves hosting díj."
Méretgazdaságosságilag nem vagytok túl erősek. A teljes gépparkotoknak kellene védettnek lennie. 20-50-100 gép esetén már eloszlik a költség.

"A támadó IP-k között elenyészően de található magyar cím is (inviteles)"
Szerintem a domain felkerült egy proxy listára. Emiatt a fél világ rajtad keresztül forgalmaz. Ebbe invitel is bekerülhet. Vagy tényleg sima DDOS.

- Tény, a domain alapján támadják az ip-t, de meg kellett próbálni. Nem, nem ezért történt a csere.
- Igen, átmenetileg állt le, nem teljesen, de sok mindent elmond, hogy nem csak úgy hipphopp lehalt a gép.
- Mint írta pici szolgáltató vagyunk, nem is ez alapvetően a fő profilunk, azaz még 20 gépünk sincs.
- Nem, nem került fel semmilyen proxy listára, egyszerűen UDP-n tolnak minket, innen nem forgalmaz senki.

Ez esetben - jobban teszed, és ezt most teljes jóindulattal mondom -, ha "Eric Cartman vs. homless-ek" megoldást választasz. Avagy udvariasan szerződést bontasz a domain tulajával. Pillanatnyilag nem bírja a céged anyagi erőforrással a védelmet, mint írtad. Vagy dedikált gépre teszed, és közvetlenül a GTS-nél pakolod a salgó polcra (ha van náluk ilyen - nem néztem utána), és onnantól a GTS dolga a DDoS védelem. Ez csak kicsit kerül többe, de az ügyfelet megtartod.

és onnantól a GTS dolga a DDoS védelem

irta, hogy a szolgaltatonak van ilyen szolgaltatasa (tehat nem default jar), csak sok zsebe kerul...

--
"nem tárgyszerűen nézem a dolgot, hanem a vádló szerepéből. Sok bosszúságot okoztak, örülnék ha megbüntetnék őket - tudom gyarló dolog, de hát nem vagyok tökéletes." (BehringerZoltan)

"Sztem csak átmenetileg állt meg. GTS nem hiszem, hogy egy IP miatt le tud állni."
gtsnel jartam en is igy. Operator annyit mondott, hogy szuntessem meg azt az interfacet par orara, es akkor cel nelkul timeoutol a ddos is, megtettem, es panaszkodott, hogy valamiert a router kikuldi a tartomanyba a csomagokat, es igy a tartomany tobbi gepe sem volt elerheto.

GTS valasza a ddosra az volt, hogy majd elmulik, vagy fizessek millio folotti osszeget a ddos vedelmukre. En mindenkeppen korbejarnam mas szolgaltato adta lehetosegeket, ugyanis nalam 1gbit nagysagu ddos jott csak.

( athila v | 2016. 06. 07., k – 20:16 )

Vedd meg a szolgáltató DDoS védelmi megoldását, mást nem tehetsz.
Nem tudom, mennyibe kerül, de magyarországon asszem 3 ISP-nek van ilyen szolgáltatása, nagy a gyanúm, hogy nagyságrendileg mindegyik hasonló árazással érhető el.

( kicca | 2016. 06. 07., k – 21:22 )

Magyarorszagon az osszes szolgaltatonak nagyon gyer savszelje van es barmit igernek kb egyik sem alkalmas egy nagyobb ddos ellen.

De szerencsere ott az OVH. Olcsobb mint a magyar szolgaltatok es jobb vedelmet is nyujt. Nem kell erte pluszban fizetni. De ha nagyon szamit latency magyarok fele, akkor ott van voxility is. Ha tied a tartomany, akkor van olyan opcio naluk, hogy ddos eseten ok hirdetik IP cimeid.

"Nem, nem került fel semmilyen proxy listára, egyszerűen UDP-n tolnak minket, innen nem forgalmaz senki."
OVH emiatt is jobb otlet. Mert azert hiaba van barkinel(naluk is) tilera, arbor azert tapasztalhatsz kieseseket ddos kezdetekor. Viszont van lehetoseg cisco aclek kitolasara border routereikre (alap csomagban. nem kell pluszban fizetni). Igy belovod, hogy http/https-t szeretnel csak engedni mondjuk. UDP n meg csak par dns szervert, ntp-t stb engedsz be es onnantol meg ddos elejen sem lesz kieses es ovh is jobban orul, mert mar elejen eldobodik csomag.

( dcsaba v | 2016. 06. 07., k – 23:31 )

tötölve
LOAD "http://digx.hu",8,1

( joco01 v | 2016. 06. 08., sze – 15:10 )

Csak engem zavar a cím? "DDOS védelem ellen hogyan"

--

( madmartigen v | 2016. 06. 08., sze – 15:50 )

Ha az ugyfel nem termeli ki a DDoS vedelem arat, szabadulj meg tole....

-+-+-+
Dropbox tarhely
Cave Canem
+-+-+-

( vl v | 2016. 06. 08., sze – 17:09 )

Azért valaki magyarázza már el, hogy hogy létezik az, hogy gyakorlatilag 10-20 év alatt sem sikerült a szolgáltatóknál elterjeszteni azt a gyakorlatot, hogy csak olyan forráscímekkel fogadjanak be az ügyfeleiktől csomagokat, amilyen címek oda ki vannak osztva. És ennek megfelelően a kimenő peering oldalukon is csak olyan csomagokat eresszenek ki, ami a saját vagy valamelyik kuncsaftjuk címtartományába tartozó címről jön.

már hogy a pékbe nem kamu címekről jönne az áldás???
pont az a lényege ezeknek, hogy a támadni kívánt IP címet hamisítják be source-nak, pici lekérés, nagyméretű válasz.
vagy valamit nagyon félreértesz, vagy valamit nagyon rosszul fogalmaztál meg...
bazz ip urpf strict mode-ot kéne kötelezővé tenni a customerek portjaira MINDENHOL, az lenne a megoldás.

Kiindulás igen, de maga a cél már a valós címről kapja a forgalmat, remekül háromszögelnek. Mindíg találnak majd olyan hálózatot vagy kellőszámú zombigépet amivel lehet ilyesmit csinálni sajnos. Hiába teszel egy ACL-t kötelezővé, hogy ha maga a hálózati infra sebezhető esetleg.

Nekünk a legutóbbi x alkalommal DDoS címszóval teljesen legitimnek látszó forgalom jött szerte a világból mindenhonnan, kínától - braziliáig, nyilván valami zombi gépekből álló botnetből.

Ezzel nem nagyon tudsz mit kezdeni, mert kb. az egész világ számára null route-ot kellene hirdetni.

A legitim forgalmat viszont könnyű megszűrni. Pl GeoIP országkód alapján queue-be rakod őket és minden !CEE forgalmat a CEE ~20-40% -ánál koppantassz, azt meg kibírják a szerverek. Mondjuk ha te vagy a facebook akkor ez nem működik. A floodnál nincs más, mint meginni egy sört, hátha addig megunják. :)

Nade az lenne a cél, hogy a kiindulásnál fogjuk meg a dolgot. Azaz a zombigép ne tudjon indirekt támadást csinálni, mert úgy meg sem lehet találni a zombigépeket, hiszen ő belöki a csomagot a hálózatba, és onnantól kezdve már senki meg nem mondja, hogy honnan jött az áldás.
Míg ha rendesen működnének ezek az ACL-ek, akkor két ponton is meg tudnának akadni az indirekt támadások (először az access pontnál, ahol a kuncsaft be sem küldhetné más címével a csomagot, de ha ez valamiért nem működne, akkor a másik pont a szolgáltatójának a kimenő pontja lenne, ahol meg csak a szolgáltató címtartományai mehetnének ki, ergó max. ugyanazon szolgáltató másik előfizetőjét tudná DoS-olni indirektbe).

A direkt támadás valóban más tészta, de arra meg az a megoldás szerintem, hogy megfelelő visszajelző rendszert kell a szolgáltatóknak kiépíteni, hogy a zombikat relatíve gyorsan le lehessen tolni a hálózatról. Nem az a baj, hogy vannak zombik, hanem hogy sokáig zombik bírnak lenni. Ha a zombigép DoS-próbálkozás után relatíve hamar "elhasználódna", akkor azért hamar elvesztenék a gépparkjukat ezek a kedves népek. Indirekt felállásban akár majdnem örökéletű is tud lenni a zombi.

Hja csak amikor bejelentem hogy NTP amp vagy DNS attack jön, akkor a nagytudásúak visszaválaszolják, hogy óhát persze mert a támadott IP cím kéri le ezt olyan sokszor. Az ACL-t is értem, de ahogy manapság oly sok probléma ez is az elhanyagolós/beleszart gépek miatt jön, amiket senki se frissít és lehet már azt sem tudják hogy létezik. Ugyanez megvan hálózati eszközökkel is.

Nem annyira ide vag, meg nem is valoszinu hogy hasznalhato lesz a kommentem, de pl minket innen lonek, rendszerint chargen tamadassal... jonnek az 512meretu packetek es bedol minden, egy free fiokkal leterdeltetik az egesz hostingomat.

  • https://www.ipstresser.com/

    • . 16db szerveruk van... kis kutyak megis tudnak kart okozni

    ( meridian v | 2016. 06. 12., v – 08:58 )

    update: kénytelenek voltunk szolgáltatót váltani, egyelőre csak a teszt miatt ugyanis a megnevezett szolgáltató nem volt képes az udp-t teljesen letiltani nálunk....
    Ugyanitt szeretnénk megköszönni a szerverplex.hu rugalmasságát és gyorsaságát!

    ( Hevi v | 2016. 06. 13., h – 00:02 )

    Nem ertek hozza, szoval lehet noob kerdes: AWS es hasonlok eseten lenne ilyen problema?

    ( zegige | 2016. 06. 13., h – 01:34 )

    kivancsi leszek ez megoldja-e a problemat, ha igen lehet en is valtok :) // milyen csomagot valasztottatok?