Lehet-e HAProxyval DDoS ellen vedekezni Transzparens modban

 ( tibby | 2019. szeptember 2., hétfő - 0:35 )

Sziasztok!
Van egy publikus IP tartomany, amin van 10 Web szerver publikus IP-vel. Teljesen egyszeru felepites.


[INTERNET]--->[ROUTER]--->[SWITCH]--->[SZERVER]

A feladat az, hogy valamilyen szintu DDos elleni vedelmet implementaljuk es megvedjuk a szervereket anelkul, hogy elveszitenek a publikus IP cimuket. Tehat valahogy transzparens modban kellene ezt csinalni, Layer 2-es szinten.
Optimalisan a ROUTER es a SWITCH Kozott kellene boviteni a topologiat.

Kerdes az lenne, hogy HAProxy kepes e transzparens modban L2-n szurni a forgalmat es ledobalni a nem oda illoket?

Koszi a segitseget es a javaslatokat!

Hozzászólás megjelenítési lehetőségek

A választott hozzászólás megjelenítési mód a „Beállítás” gombbal rögzíthető.

Lehet hülyeség, de Sávszélesség bővítés?

Az nem jo, mert DDoS-al szinte barmilyen savszelet ki lehet hajtani. Valami olyan megoldas kellene ami megfogja a forgalmat, PL: ha adott IP-rol X-nel tobb keres erkezik mondjuk 1 percen belul, akkor X feletti kereseket elhajitja.

Lehet, hülyeség... fail2ban?
Én azzal oldottam meg.

Régen minden más volt... ma meg minden a régi.

Igen, ezt akkor lehet, ha minden szerveren felvennenk es beallitananak.
Viszont a szervereket nem mi kezeljuk. Ezert kellene Layer 2-es megoldas, meg a szerverek ele.

1) a Haproxy nem layer 2, hálistennek mondjuk az ip címek sem, az is layer 3.
2) Te tulajdonképpen rate limitelni szeretnél. Ezek pl nem tűnnek rossznak:
- https://medium.com/faun/understanding-rate-limiting-on-haproxy-b0cf500310b1
- https://gist.github.com/procrastinatio/6b6579230d99be5bfa26d04acd788e7a
Bár igazából lehet, hogy a queuing is elég lesz, ebben az első: https://www.haproxy.com/blog/four-examples-of-haproxy-rate-limiting/ - mondjuk ahogy nézem, a másik kettő is kb itt van, aztán ez mégiscsak "offical"

3) At the end of the day, ddos ellen csak sávszéllel lehet védekezni, és tipikusan nem endpointon. Ugyanis lehet neked akármennyire okos haproxyd, vagy akármid, ami rögtön 500akat dobál vissza egy idő után, annak is át kell menni az interneteden, a DDOSnak meg az a tulajdonsága, hogy rengeteg kliens van, ami ezzel is el tud dugítani vonalat. (sőt, akár már sima synekkel is) Szóval ha tényleg DDOS ellen akarsz védekezni, akkor sajna nincs mese, keress szolgáltatót.

Ha kitomik a sávszélességet akkor mind1 mit állítasz be, mert a csomag lehet el se jut már a hálókártyáig.

Szóval DDoS ellen legjobb védekezés, ha nagyobb sávszélességed van mint amivel támadnak.

Fedora 30, Thinkpad x220

lássuk be, ez kb mission impossible :-)

A fenti hozzászólónak is igaza van, aki azt mondja, h a provider első körben a Te IPcímedet tiltja ki.
Pontosabban blackhole-ra küldi. Ez azt jelenti, hogy megjelölt címre már a küldő (BGP) router sem küldi be a forgalmat.

De nézzük meg mélyebben: van egy hazai szerver, főleg hazai forgalommal.
Ha itthonról jön a DDoS, akkor viszonylag gyorsan végére lehet járni - és korrekt szolgáltató esetén az Ügyfelet kiba...a mint macskát sz.rni. Főleg, ha nem első esetről van szó.

Külföldi forrás(ok) esetén is sok esetben van mód arra, hogy csak adott peer-nek küldik el a blackhole-t ahonnan jön(ne) az áldás, így a világnak egészen kis hányadát zárják el a Te oldalad megtekintése elől.

"Ha itthonról jön a DDoS, akkor viszonylag gyorsan végére lehet járni - és korrekt szolgáltató esetén az Ügyfelet kiba...a mint macskát sz.rni. Főleg, ha nem első esetről van szó."

Úgy gondolod, hogy mondjuk legyen csak 1000 végpont amiről éppen támadnak, annak hirtelen vége lesz ?
Ebben nem reménykednék :D

Fedora 30, Thinkpad x220

Ha jól tudom, csak az a megoldás ugyanis nem 1 hanem igen sok gépről kell egyszerre összehangolt támadást indítani. Ráadásul az ügyfelek sávszélessége inkább elhanyagolható tényező. Ha jól olvastam nagyobb szolgáltató ellen sikeres támadást 20-200-2000 gépről lehet indítani.

De pl a CloudFlare ellen felesleges is, 100 feletti a datacenter tükrözések száma és dinamikus forgalomirányítást használnak sőt ott az ARGO is.

Megoldás
vagy sávszélesség bővítés
vagy CloudFalre
(esetleg torlódásvédelem, (60s/10 lekérdezés) de odáig szerintem el sem jut a dolog)

DIGI gigabites csomagja 3000 Ft körül van. Ezért is vicces az általános iskolákban bekötött 5 megás internet.

soha nem értem meg, miért tudja valaki összehasonlítani a Digi lakosságnak szóló csomagját (amit főként nagy népsűrűségű részeken biztosítanak - pl panelház) egy iskolai hozzáféréssel, ahol van többszáz egyidejű felhasználó (aki kb bármekkora kapacitást képes elhasználni)

Úgy hogy a céges előfizetőknek a max. duplája a díj.
Az adatforgalom korlátlan.
Akkor min vagy fennakadva?

fennakadva?
Mindössze azon vagyok fennakadva, hogy látom mindkét oldalt.
A belföldi internet díja ~150 000Ft/10G (BIX-ben)
a nemzetközi kapacitás díja ~600EUR/1G (szintén internet exchange-ben átvéve)

ez pedig a költségnek a kisebbik fele, még ki kell építeni és üzemeltetni a hálózatot, stb.

Miért gondolja bárki is hogy 3000Ft-ért _JÁR_ a 100/100mbps dedikált hozzáférés...

Hogy a konkrét kérdésre válaszoljak: egy céges (közületi) előfizetés esetén általában egy irodát nézünk, mondjuk 5-50 PC szintjén. Egy vállalt a legtöbb esetben ennél vagy magasabb minőségi osztályú internetet vesz - vagy többet (több ISP-től).

Persze, ennek jó része a hibaelhárítási paraméterek miatt van.

Bar nem egeszen ertem, miert kell mindenkepp a webszervernek publikus IP, valamint nem ismerem a helyi ceges policy-t sem; de a Cloudflare kb pont erre van kitalalva. (Van ingyenes csomagjuk is, ha ez a fo faktor...)

DDOS ellen gyakorlatilag nem lehet védekezni.

Maximuma a saját vackaidat (a webszervereket) tudod megvédeni a túlterheléstől/összeomlástól.

De ettől még a DDOS támadás sikeres lesz -> a szolgáltatásod nem lesz elérhető a külvilág számára, mert így majd az előtte lévő cucc fog túlterhelődni, vagy simán csak a elfogy a sávszélességed.

szerintem.
--
zrubi.hu

Pontosabban: hazi modszerekkel nem lehet DDOS ellen vedekezni. Parszaz dollarert kb. a legnagyobbakon kivul az osszes magyar ISP-t kitomik, akiknek az elso reakcioja az lesz hogy teged dobnak ki.

Rakd be a cuccot egy Coudflare/Cloudfront/Akamai moge, legjobb ar/teljeseitmenyu megoldas, max uj "publikus" IP cimekre lesz szukseged.

így van, jogos.

Akár egy nagy szolgáltató (ISP) tudna tenni ellene - de azt te nem akarod majd kifizetni.

Ahogy említetted is, egy még nagyobb, több kontinensen is szolgáltató reverse proxy jellegű hálózattal is lehet ellene tenni... De "otthon", saját eszközökkel, egyedül biztosan nem.

--
zrubi.hu

cloudflare vagy barmelyik hasonlo alternativa (van meg 3)

--
A vegtelen ciklus is vegeter egyszer, csak kelloen eros hardver kell hozza!

DDOS ellen egy geppel nem, esetleg elosztott proxy klaszterrel lehet vedekezni.

Általánosságban mi az a szolgáltatás, amit ddos-olni akarnak és miért éri meg védekezni ellene, már az elején? Volt már ddos-ban részed vagy csak elméleti kérdések ezek?

su

ha DDoS-t detektalnal halozati szinten, akkor estleg, ha van ra penzed vehetsz mondjuk az Akamai-tol vedelmet. De gondolom ez nem az a kategoria :)

Probalkozni lehet meg feljebb levo retegeken modsecurityvel, egesz komoly dolgokat raktak mar nalunk ossze vele.
Nyilvan akkor tudsz hatekonyan vedekezni, legyen akar egy F5-os WAF-od is, ha ismered jol az applikaciodat. Anelkul nem er az egesz semmit sem.