DDOS I OVH

[MaTyyy 2]

Witam, na mój serwer od wczoraj lecą ataki DDOS, mój serwer to SP16G z OVH. Oczywiście, support OVH odpowiada, żebym kupił sobie firewalla... Nic nikomu nie robiłem, nie wiem za co te DDOSy, co mogę zrobić, żeby się może uratować?

 

[Gość Kamikadze]

Kupić firewalla

[MaTyyy 2]

Ech, czyli to koniec mojego dopieeero co rozwijającego się projektu... Dzięki za pomoc..

[elcct 159]

A skąd wiesz, że to DDOS? Może projekt stał się popularny...

[Gość IStreamPL]

Duże te ataki? Czemu OVH wybrałeś tak zapytam?

[nesti 67]

Może na początek csf?

[Majkel. 5]

Ataki DDOS w OVH są ograniczane automatycznie do około 100mbit per IP.. mając 1Gbit łącza w teorii powinieneś mieć szanse się obronić przed atakami przy dobrej konfiguracji firewalla.. Jednak w praktyce wygląda to tak, że to nic nie daje.. Bardzo często sieciówki nie wyrabiają ilości pakietów jakie przechodzi w tych 100mbit.. Nie mówiąc już o tym, że atak przejmuje jeden rdzeń..gdyby dawali sieciówki typu i350, które rozkladają obciążenie po rdzeniach procesora równomiernie oraz wspierają wydajność wewnętrznym procesorem

sieciowym, do teog jak kolega wspomniał CSF i problem byłby z głowy.. Co najwyżej martwili byśmy się o ataki na kilka adresów IP na raz..

 

 

a co do OVH i ich firewalli, to tylko się nimi ośmieszają.. byle DDOS rozwala ich najlepszego firewalla.. A do tego trzeba praktycznie z góry za niego zapłacić, a później jeszcze płacić kolejne tysiące miesięcznie..

 

Edytowano Kwiecień 18, 2013 przez Majkel. (zobacz historię edycji)

[MaTyyy 2]

Sprawdzę CFS. OVH wybrałem, ze względu na cenę, no chyba, że macie inne dedyki, gdzie dostanę 16gb i procek i5 za 250 zł... Może macie gdzieś sprawdzone dedyki z firewall w cenie?

[Pan Kot 1535]

Może na początek csf?

 

Jeśli to DDoS z prawdziwego zdarzenia to CSF i tak nic nie da, udp floodu nie zablokujesz .

[bzikmik 10]

Zmień przynajmniej na gamę EG gdzie masz 1Gbps a nie 100 Mbps, które łatwo zatkać. Plus oczywiście csf albo jakieś mądre reguły w iptables. Do tego trzeba wiedzy albo dużo poczytać ale raczej na pewno zapobiegnie 90% tych tzw. 'ataków' dzieci neo itp.

[Yaneek 13]

Tak naprawdę jeśli nei chcesz wydawać pieniędzy na EG to masz 2 opcje

Systemowy firewall + iptables lub wziąść tam tańszego kimsyfa z 16Gb ram i dokupić firewall i cena będzie +/- taka sama.

[Insider 43]

Twittnij Octavowi (https://twitter.com/olesovhcom) ip swojego serwera to wytnie atak via sprzęcik Tilera albo Arbor Networks. Ostatnimi czasy ostro testują te rozwiązania - ciachają ddosy typu 20Gbps i 2Mpps just for fun - więc jest nadzieja.

[elcct 159]

Ale czy to na pewno ddos? Może masz kiepskie skrypty

[MaTyyy 2]

Ponieważ dużo osób ma wątpliwości, że to DDOS, to podsyłam wykresik z OVH.

http://iv.pl/images/40188458315173003495.png

+ w dumpie z tcpdump było kilka adresów takich jak:

- http://makama.pl/

- static.kpn.net

 

199.212.0.73

195.73.248.129

194.123.24.152

130.204.226.214

195.2.87.135

212.1.94.9

194.123.177.127

130.204.226.214

195.2.87.135

212.1.94.9

77.254.73.171

195.145.159.11

188.40.85.71

 

Edytowano Kwiecień 19, 2013 przez MaTyyy (zobacz historię edycji)

[Gość patrys]

To ma kartę 100Mb/s ? Ile tam pakietów leci ?

W OVH mieliśmy ataki po 7mln pps i na to już niestety firewalla nie ma

[MaTyyy 2]

Kartę ma 1GB, ale łącze jest 100mb. Maksymalna ilość pakietów jaka leciała to : 12899.4 packet/s, przy czym średnia to 23649.5 packet/s

[Zoel 9]

Cloudflare brałeś pod uwagę?

[Majkel. 5]

100mbit jest wychodzące... 1Gbit wchodzące... przy karcie 1Gbit..

 

Mattyy w OVH nic nie zrobisz, prócz tego, że możesz spróbować napisać na twiterze do Olesa z OVH.. może Cie przygarnie pod skrzydło.. ale wątpie znam kilku co próbowało i nawet się nie odezwał..

 

ewentualnie jeżeli masz tylko www.. to możesz tak jak kolega wyżej napisał spróbować przedelegować domeny na cloudflare i tam Cię ochronią w miarę..

Kartę ma 1GB, ale łącze jest 100mb. Maksymalna ilość pakietów jaka leciała to : 12899.4 packet/s, przy czym średnia to 23649.5 packet/s

 

ee chyba na odwrót ? średnia 12k a max 23k

Edytowano Kwiecień 19, 2013 przez Majkel. (zobacz historię edycji)

[MaTyyy 2]

Aktualnie mam takie dane:

Max =169817.3 packet/s

Średnia = 46560.7 packet/s

 

Co do cloudflare, to odpada, bo muszę mieć połączenie cały czas, no chyba, że się da ominąć wpisami SRV to, ale i tak to nie zadziała, bo już próbowałem, po zmienieniu wpisów w home.pl(bo tam mam domenę) i upłynięciu 24h, pokazują się jedynie reklamy home.

[Zoel 9]

Dziwne jest to co piszesz o tych reklamach home - w sumie ja mam domeny w OVH ale zmiany widzę do paru minut. Używam DNSów od Google (a na mobilnym Play i tak 2x szybciej widzę zmiany w delegacji domeny).

[Majkel. 5]

Matyy niestety, ale zauwazylem że masz serwer 16.. A on łącze ma 100/100 i nic nie zrobisz.. Gdybyś mial serwer wyzszy i mial łącze 200/1000 to mozna by sie trochę obronić.. A tak to nie ma czym.. Ovh zmniejsza Ci atak każdy do okolo 100mbit.. Majac do dyspozycji 1gbit na wejsciu, to nawet przy csf .. Cos tam sie obronisz.. A tak to kicha..

[Gość]

Edytowano Marzec 26, 2018 przez Gość (zobacz historię edycji)

[MaTyyy 2]

@Zoel, no niestety, gdy zmieniam DNS'y w home na te podane w cloudflare, to wyskakuje reklama Home.pl nie wiem czemu. Czyli co, nie ma szans żeby cokolwiek zrobić? CFS zainstalowany, IPTables ogarnięty przy pomocy skryptu jakiego znalazłem w googlach (antiddos) może znacie coś jeszcze?

[Pan Kot 1535]

Powtarzam, że iptables'ami to możesz się bawić co najwyżej z tcp i w połowie z icmp, serwer nie ma żadnego wpływu na to jakie dane do niego przychodzą po udp i wszystkie takie rulesy i blokady możesz sobie wsadzić wiadomo gdzie. Tu potrzeba maszyny bezpośrednio na brzegówce, żeby w ogóle cokolwiek było w stanie odfiltrować.

[Majkel. 5]

 

Gdzie znalazłeś informację, że ten limit to 100Mbit per IP? O ile pamiętam, gdy wprowadzali limity (na ruch po UDP, bo zakładam, że o tym mówimy - popraw mnie jeśli się mylę), była mowa o (początkowo) 20Mbit, a później (aż do teraz): 50Mbit.

 

OVH ma zabezpieczenia DDOS standardowe. Każdy atak po UDP, czy TCP limituje do około 100mbit dla każdego adresu IP.. Jeżeli na serwerze dostajesz atak 100mbit.. to tak na prawdę dostajesz więcej..

 

 

Powtarzam, że iptables'ami to możesz się bawić co najwyżej z tcp i w połowie z icmp, serwer nie ma żadnego wpływu na to jakie dane do niego przychodzą po udp i wszystkie takie rulesy i blokady możesz sobie wsadzić wiadomo gdzie. Tu potrzeba maszyny bezpośrednio na brzegówce, żeby w ogóle cokolwiek było w stanie odfiltrować.

 

Nie prawda.. Można przefiltrować bez problemu pakiety UDP.. ale do tego potrzebne jest łącze większe niż 100mbit.. bo jak można obronić się atakiem 100mbit, jak takie się ma łącze?

 

Ja w OVH bez problemu radziłem sobie z atakami po UDP filtrowałem CSF praktycznie wszystkie .. Jedyny problem stanowiły zwielokrotnione ataki po TCP na różne adresy IP w tym samym czasie, które wykańczały mi procka..