Skocz do zawartości
lou.

Malutkie pytanie OVH.

Polecane posty

Witajcie !

Chciał bym się zapytać czy lepiej wybrać sobie mKS z oferty kimsufi, czy lepiej VPS cloud 1. Na danym serwerze będzie uruchomiona strona www oraz serwer głosowy (ts,vt)

Chodzi o to, który serwer będzie wydajniejszy itp.

 

Dodatkowo chciał bym zapytać czy jak dostane po jajkach jakimś atakiem, to z miejsca lece czy mnie jakoś zostawią xD

Dzięki za pomoc :P

Udostępnij ten post


Link to postu
Udostępnij na innych stronach
Gość l3szcz

Oj będziesz zasypany komunikatami, wyłączą Ci serwer i tak i tak, jeżeli za bardzo będziesz nękany DDoSikiem.

Do TS3 polecałbym ten dedyk.

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Aha, no czekam dalej na argumenty.

Bardziej podoba mi się ten VPS ze względu na możliwe lepsze zaplecze jak i support.

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

lepiej weź już KS 2G, jeśli chcesz mieć sporego tego TS :) - ilość slotów mam na myśli

 

pozwolę sobie zacytować odpowiedź z innego tematu odnośnie VPS/hostingu współdzielonego: ( firmy progreso.pl)

 

 

Piszemy tutaj z dwóch powodów. Po pierwsze: wydajesz się preferować ten wątek od helpdesku, po drugie: informacje przydadzą się innym. Chcemy, żeby cała sprawa była transparentna.

Nie martw się. Od chwili kiedy jesteś u nas cała nasza uwaga skupiona jest na Tobie. już następnego dnia po przeniesieniu strony do nas zostaliśmy zaatakowani, ale - zgodnie z tym co napisaliśmy w wątku, o którym pytałeś o hosting z ochrona DDOS - takie ataki nie są tragedią.

Jesteś atakowany przynajmniej raz na 32h. W ciągu ostatnich dwóch dni ataki te stały się na tyle poważne, że wymagają nasze stałej atencji i modyfikowania systemu zabezpieczeń. To normalne - pierwsze to nasza praca, a drugie sprawia, że się rozwijamy, ale ataki te są na tyle poważne, że ucierpieli na tym nasi klienci.

W tym momencie przyszedł czas na zewnętrzne zabezpieczenie. Przy takiej skali ataków sam hosting nie jest dla Ciebie rozwiązaniem. Opcje są dwie:

  1. Porządnie się zabezpieczyć z zyskiem dla bezpieczeństwa twojej strony. Polecamy serwis incapsula.com (600 dolarów / m-c - działa, sprawdziliśmy na kilku projektach) lub popularny Cloudflare (pakiety od 200 dolarów w górę, mniej wydajne, ale popularniejsze) lub inna usługa ochrony przed atakami DDOS.
  2. Progreso skorzysta z regulaminu , tj.

     

    Cytuj

    Operator może rozwiązać Umowę ze skutkiem natychmiastowym w przypadku:
    2.1. naruszenia istotnych postanowień Umowy przez Abonenta, a w szczególności:
    2.1.3.używania przez Abonenta oprogramowania szkodzącego interesom Operatora;
    ...
    2.3. stworzenia przez Abonenta zagrożenia dla interesów Operatora;

     

     

     

     

 

Mamy nadzieję, że zdecydujesz się na opcję #1:) Musisz zabezpieczyć się solidnie. Dużą cześć informacji przekazaliśmy Tobie telefonicznie, ale profilaktycznie wklejamy to również tutaj, bo taka jest nasza ogólna polityka w stosunku do dużych ataków typu DDOS: prosimy o zabezpieczenie (raz) lub rozwiązujemy umowę celem ochrony innych klientów.

 

 

reasumując w przypadku VPS bardzo szybko mogą Cię usunąć ( bez względu na firmę), bo np. DDOS nie idzie wtedy tylko na Twój VPS ale też server matkę, w przypadku dedyka nie ma takiego problemu. Jak ci walną jakiś atak, to jest tylko i wyłącznie problem Twój, a nie firmy

Edytowano przez McAs (zobacz historię edycji)

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Generalnie jeśli chodzi o ddosy to dedyk jest bezpieczniejszy w tej kwestii, ale to wciąż nie jest machnięcie ręką na taką sytuację.

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Rozumiem, lecz niestety na tą chwile nie dam rady wybrać lepszej usługi.

Poczekam jeszcze na inne wypowiedzi i zdecyduje.

Udostępnij ten post


Link to postu
Udostępnij na innych stronach
tak sprawdziłem ofertę http://mintshost.pl - VoiceVPS
pod tym wszystkim mała gwiazdka:

 

serwer VoiceVPS można stracić w przypadku gdy serwer będzie zbyt często znajdował się pod wpływem ataków (co skutuje spadkiem wydajności serwera głównego) lub gdy łącze do serwera zostanie w pełni obciążone tylko przez TWÓJ serwer (--- to również może spowodować szkody na serwerze)

 

 

lepiej weź dedydyka tego najtańszego. Świata nie zwojujesz ale sporą ilość slotów online powinieneś uciągnąć. Do tego jakieś zabezpieczenia i nginx( by nie marnować zasobów przez apacha) i da się żyć :)

 

Edytowano przez McAs (zobacz historię edycji)

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Informacja od OVH

Witam,
W przypadku serwerów VPS klient otrzymuje dostęp root i zarządza we własnym zakresie serwerem. 
OVH nie oferuje specjalnych zabezpieczeń przed tego typu atakami. Jeśli chodzi o środki podejmowane przez OVH - serwer może zostać czasowo odcięty od sieci (na czas ataku).

Z chwilą zablokowania serwera klient otrzymuje powiadomienie/zgłoszenie z informacją o przyczynach i czasie blokady (średnio 4-8 godz.).
Jeśli chodzi o rozwiązanie umowy - jest to zależne od częstotliwości, rodzaju i długości (czasu trwania) ataków.


Pozdrawiam

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Czy w końcu jakieś prawo międzynarodowe nie powinny tego uregulować?
odcinać atakujacych od łącz, a nie atakowanych

  • Upvote 1

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Czy w końcu jakieś prawo międzynarodowe nie powinny tego uregulować?

odcinać atakujacych od łącz, a nie atakowanych

 

I co urzędniczyna będzie decydować kto atakuje? Najlepiej jeszcze jakby był jeden na serwer i oglądał wykresy, potem tylko telefon do wielkiego brata i atakujący dostaje kulke ? ;)

  • Upvote 1

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Co nie zmienia faktu, że nadal nie rozumiem jaki jest problem w napisaniu bardzo prostego skryptu, który odcina wszystkie IP, które dajmy na to wysyłają typowego udp flooda i to jeszcze najczęściej na tysiące portów. Oczywiście mowa tu o firmach hostingowych, które takowy skrypt wyposażą w dostęp do banowania na brzegówkach.

 

Skoro brzegówka jest w stanie przyjąć taki ruch na klatę i przekierować pakiety target IP do /dev/null to jaki problem przekierować do /dev/null requesty z IP "podejrzanych"? :P

 

To pytanie kieruję do doświadczonych w temacie bo zawsze mnie to ciekawiło.

Edytowano przez Archi (zobacz historię edycji)

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Skoro brzegówka jest w stanie przyjąć taki ruch na klatę i przekierować pakiety target IP do /dev/null to jaki problem przekierować do /dev/null requesty z IP "podejrzanych"? :P

 

 

 

Chciałbyś, żeby Ci jakiś admin klasyfikował co jest podejrzanym ruchem i wycinał to na brzegówce?

To co w Twoim zastosowaniu jest "podejrzanym" ruchem, dla innego może być naturalnym.

 

Udostępnij ten post


Link to postu
Udostępnij na innych stronach
Co nie zmienia faktu, że nadal nie rozumiem jaki jest problem w napisaniu bardzo prostego skryptu, który odcina wszystkie IP, które dajmy na to wysyłają typowego udp flooda i to jeszcze najczęściej na tysiące portów.

Widzisz. Analiza pakietów kosztuje dużo. Bo wymaga obróbki praktycznie do samej L7. Przewalanie ich dalej kończy się na L3. A nawet, jeśli analizował byś i tylko L3. To zdajesz sobie sprawę, że (pseudo)tablica routingu zawierająca od groma /32 spowoduje, że ogólna wydajność trasowania spadnie dosyć znacząco (wskazane było by poczytać, jak jest realizowany wybór trasy przez routery). Jeśli natomiast zaczniesz agregować trasy, to nagle przykładowo okaże się, że wyciąłeś 83.10.0.0/16. No i co dalej?

 

Urządzenia sieciowe są coraz wydajniejsze. Ale w ogólnym rozrachunku mniej kosztowne jest przetworzenie po swojej stronie ataku i skumulowanie go na końcowym węźle, niż analizowanie go wcześniej. No chyba, że następuje wysycenie upstreamów... Ale wtedy rozgłasza się blackhole atakowanego adresu IP i ma się totalny spokój ;)

Edytowano przez kafi (zobacz historię edycji)

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

I jeszcze bym dodał że koszt analizy małych pakietów UDP ze względu na ich ilość jest większy o rząd wielkości większy w stosunku do ruchu w Tbit/s niż przy normalnym traficu

 

A przy takiej sakli jak OVH muszą jeszcze analizować ruch wewnątrz sieci a nie tylko na stykach bo ataki pomiędzy klientami są codziennością

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

No chyba, że następuje wysycenie upstreamów... Ale wtedy rozgłasza się blackhole atakowanego adresu IP i ma się totalny spokój ;)

 

 

Będę wdzięczny za doprecyzowanie tego co autor ma na myśli

 

chodzi Ci o wrzucenie na null'a? Czy masz na myśli jakiś inny mechanizm? Zastanawiam się jak wysycenie portu np atakiem UDP odeprzesz nullowaniem atakowanego IP

 

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

@McAs

Piszesz o ts3 że lepiej dedyk w Ovh ale powiedz mi po co? Kolega lou. ma zamiar kupić licke na tS3 by mieć nieograniczoną liczbę slotów? Wątpie... pod te 512 slotów to najsłabszy vps z oferty np. Biznes-Host wystarczy... Ze stroną niech będzie ten VPS2.

Dodatkowo zapomnieliście wspomnieć koledze że w razie gdyby dedyk padł administracja ovh ma to gdzieś i nie restartuje go - sam musisz sobie to zrobić a gdy masz VPSa automatycznie wstaje... Nie zapominajmy o takich "szczegółach"

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

@TeamPlay.com.pl

 

Wiem, że administracja z OVH ma w głębokim poważaniu to bo sam z tym się borykam teraz ( nie upieram się akurat na konkretną tą firmę). Twój szczegół co wspomniałeś jest ważny , ale w przypadku częstych ataków na jego VPS to odrazu go z stamtąd pogonią w porównaniu z serverem dedyk. Od taki drobny szczegół.

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Ja wyjechałem na tydzień (zaraz po zakupie 16G w OVH) i po powrocie dostałem maila że mój dedyk został zablokowany ponieważ wysyłał spam :) ot to :) - ani zwrotu gotówki / ani możliwości odblokowania - więc ja tą firmę traktuje raczej jako ostateczność... Lepiej inwestować w polski rynek i ludzi będących na tym forum niż w żabojadów.

 

Pozdrawiam

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

 

chodzi Ci o wrzucenie na null'a? Czy masz na myśli jakiś inny mechanizm? Zastanawiam się jak wysycenie portu np atakiem UDP odeprzesz nullowaniem atakowanego IP

 

Nie mówię tu o dropowaniu pakietów na własnym routerze. Chodzi o BGP Blackholing (RFC3882).

http://www.computerworld.pl/artykuly/381614/Filtrowanie.na.masowa.skale.html

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Polska firma czy Francuska, polityka jest wszędzie jedna -> Ktoś ci przeszkadza -> ty przeszkadzasz firmie hostingowej -> zostajesz z niczym

Edytowano przez lou. (zobacz historię edycji)

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

@kafi @tgx

Dzięki za wyjaśnienia. Zupełnie zapomniałem o tym, że pakiety mogą być zespoofowane i nie ma ich jak sprawdzić pod kątem source IP, dopiero sobie z tego zdałem sprawę jak zacząłem czytać Wasze posty :).

 

A jakby dodać gdzieś w panelu opcję "I'm under attack" czy coś podobnego, która by całkowicie wycinała ruch UDP/TCP/ICMP z wyłączeniem rzeczy zdefiniowanej przez klienta? Mam tu na myśli to, że można np. w przypadku strony www zezwolić tylko na tcp po 80, bo najczęściej reszta portów to tylko bramki w które można "pukać" pakietami. W ten sposób jeśli ktoś celuje typowym głupim ddosem udp flood random ports to nie osiągnie żadnego efektu bo router będzie ignorował te pakiety. Wtedy zerkamy tylko na protocol type i target port. Dodatkowo można dodać jakiś loadbalancing i np. wycinać na routerze, który jest najmniej obciążony (w założeniu, że mamy tu sekwencję router 1 => router 2 => ... => router x => IP)

 

Do tego wyobrażam sobie taką utopię, w której każdy klient mógłby wrzucać na brzegówkę swoje własne rulesy iptables dotyczące ruchu w związku z jego IP :P.

Edytowano przez Archi (zobacz historię edycji)

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Router brzegowy to jest router, a nie firewall. Pracuje w warstwoe trzeciej.

Jego zadaniem jest analiza adresu docelowego i przemieszczenie pakietu jak najbliżej adresata.

Jako, że jest to warstwa trzecia, to operuje on na adresach IP. Nie interesuje go, co jest na wyższych

schodkach piramidy - bo IP to nie tylko TCP, UDP i ICMP. Jest jeszcze chociażby GRE i tuzin innych protokołów.

 

 

 

A jakby dodać gdzieś w panelu opcję "I'm under attack" czy coś podobnego, która by całkowicie wycinała ruch UDP/TCP/ICMP z wyłączeniem rzeczy zdefiniowanej przez klienta?

Hmm... To, co opisujesz, to realizuje urządzenie zwane... firewallem :)

 

 

 

Do tego wyobrażam sobie taką utopię, w której każdy klient mógłby wrzucać na brzegówkę swoje własne rulesy iptables dotyczące ruchu w związku z jego IP .

A ja nie. Bo filtry na urządzeniach brzegowych z zasady dotyczą wszystkich będących w danym AS.

Więc jak sobie wyobrażasz, jakby Zenon Wredny zakupił sobie w takim Atmanie usługę i wyfiltrował na routerze brzegowym wspomniane 83.10.0.0/16 ?

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Bądź aktywny! Zaloguj się lub utwórz konto

Tylko zarejestrowani użytkownicy mogą komentować zawartość tej strony

Utwórz konto

Zarejestruj nowe konto, to proste!

Zarejestruj nowe konto

Zaloguj się

Posiadasz własne konto? Użyj go!

Zaloguj się


×