rasputin 42 Zgłoś post Napisano Czerwiec 29, 2013 Witam. W dniu wczorajszym w godzinach popołudniowych na serwer dedykowany z którego korzystam został przeprowadzony atak DDoS. Chwile później, nie minęło 5 minut dostałem mail, że usługa o adresie ip zostaje zablokowana na 24h. Był to raptem drugi atak przez 6 miesięcy pobytu w tej firmie. Siła ataku 400Mbps. Zadzwoniłem do firmy w celach wyjaśnienia sytuacji bo pierwszy raz się z czymś takim spotykam. Straciłem widoczność trzech stron www i 3 serwerów gier oraz 3 serwerów teamspeak. W trakcie rozmowy usłyszałem, że usługa nie zostanie odblokowana ale mam dodatkowe IP o których nie wiedziałem jednakże trzeba to skonfigurować za co zapłaciłem i uzyskałem dostęp do serwera. Jak wiadomo praca administratora to koszt 120zł za godzinę. Przez ostatnie 7h próbowałem uruchomić serwery głosowe a później zainstalować nowego. Sprawa z niedziałającym TS3 wyglądała następująco: Można było zainstalować Teamspeaka na 32sloty, po włożeniu klucza teamspeak nie odpalał się a w logach widniała informacja , że nie może połączyć się z serwerem "Unable to connect to accounting server ts3anetwork:: connect failed error 110". Niektóre skrypty na www używające nazwy zamiast IP nie działały poprawnie. Socks 5 na serwerze również nie działał. Przykładowe łączenie się z stronami www przez serwer nie działało.W ifconfig widniał stary adres IP. Znalazłem poradnik na ovh i zrobiłem wszystko jak trzeba, serwer już nie wstał. Nie wspomnę o tym, że strony www które uruchomiłem ładowały się z prędkością żółwia. I teraz moje pytanie od kiedy wyłączają usługę na czas 24h zamiast wyciąć atak? Pierwszy raz się z czymś takim spotykam chodź serwerów dedykowanych korzystam od ponad dwóch lat. Od 4h czekam na odpis na maila bo nie mam dostępu do usługi. Zapewne przyjdzie mi czekać przez kolejne parę godzin albo nawet do poniedziałku bo nie ma na stronie żadnego numeru oprócz kontaktu z biurem firmy, gdzie uzyskanie połączenia w weekend jest nie możliwe a na maile nie odpisują. A na stronie jak zwykle napis, że kontakt z administratorem możliwy 365/24/7. Administrator śpi a ja sobie włosy z głowy wyrywam. Udostępnij ten post Link to postu Udostępnij na innych stronach
RafoX 233 Zgłoś post Napisano Czerwiec 29, 2013 To już zależy od polityki firmy czy wytną ci atak ty po prostu Cię zablokują Zapewne w regulaminie masz napisane... Swoją drogą co to za firma :> Udostępnij ten post Link to postu Udostępnij na innych stronach
rasputin 42 Zgłoś post Napisano Czerwiec 29, 2013 "Usługodawca zastrzega sobie prawo do tymczasowego zablokowania świadczonej usługi, bądź do rozwiązania umowy w trybie natychmiastowym z Abonentem, w przypadku kiedy zakupiony przez niego pakiet hostingowy obciąża zasoby sprzętowe, powodując trudności techniczne w pracy serwera. " Racja tylko, że administrator był na miejscu, mógł wyciąć atak by ten się już nie potworzył co zdarza się u nich często. Codziennie jakieś serwery są atakowane bo nie raz karta sieciowa obrywała co i ja odczułem. Nie wycinając adresów szkodzą sobie i osoba które mają wykupiony serwer. Nazwy firmy podawać nie będę. Pierwsza strona wyników na frazę "serwery dedykowane" Zablokowanie usługi to jeden fakt, drugi, że karta sieciowa została źle skonfigurowana, trzeci to, że czekam na maila na którego się szybko nie doczekam, więc pozostaje mi się tu żalić Udostępnij ten post Link to postu Udostępnij na innych stronach
Gość Zgłoś post Napisano Czerwiec 29, 2013 (edytowany) Edytowano Marzec 26, 2018 przez Gość (zobacz historię edycji) Udostępnij ten post Link to postu Udostępnij na innych stronach
rasputin 42 Zgłoś post Napisano Czerwiec 29, 2013 Rozumiem i przyjmuje owe wyjaśnienie. Tylko dlaczego od razu przy pierwszym ataku usługa została zablokowana? Zrozumiałe by to było dla mnie w momencie gdyby sytuacja powtórzyła się któryś raz z kolei w krótkim odstępie czasu. Nie zmienia faktu powyższego to, ze na reakcje administracji trzeba czekać wieki i liczyć , że to co im się zleca za opłata też będzie wykonane porządnie. Udostępnij ten post Link to postu Udostępnij na innych stronach
Gość Zgłoś post Napisano Czerwiec 29, 2013 (edytowany) Edytowano Marzec 26, 2018 przez Gość (zobacz historię edycji) Udostępnij ten post Link to postu Udostępnij na innych stronach
Romson 9 Zgłoś post Napisano Czerwiec 29, 2013 Jeśli siła ataku to 400 Mbps, to stawiam na OVH. A jeśli tak jest, to wytnij cały ruch pochodzący z OVH (whitelist dla serwerów reklam w OVH). 1 Udostępnij ten post Link to postu Udostępnij na innych stronach
Gość Zgłoś post Napisano Czerwiec 29, 2013 (edytowany) Edytowano Marzec 26, 2018 przez Gość (zobacz historię edycji) Udostępnij ten post Link to postu Udostępnij na innych stronach
chmuri 89 Zgłoś post Napisano Czerwiec 29, 2013 Jeśli to nie jest moloch z mega łączami to pomyśl sobie z drugiej strony on dostanie fakturę za 400 megabitów ruchu od operatora a Ty co zapłacisz za to? Bo on będzie musiał jeśli ma taką umowę i nie będzie ryzykował dla jednego klienta który i tak nie zapłaci za to:) Udostępnij ten post Link to postu Udostępnij na innych stronach
Gość patrys Zgłoś post Napisano Czerwiec 29, 2013 Usługodawca to chyba Artnet (http://goo.gl/4B79H), łącza powinni mieć więcej, ale czy Ty zapłaciłeś za taką usługę ? Zależy od typu ataku, patrząc na przepustowość to pewnie UDP, który też zapewne dało by się wyciąć Jak jesteś narażony na ataki musisz mieć filtry ustawione przed serwerem, zajrzyj w google, bo trochę firm to oferuje ( z reguły lokalizacja USA ). Udostępnij ten post Link to postu Udostępnij na innych stronach
kori 29 Zgłoś post Napisano Czerwiec 29, 2013 jak tego szukać? daj jakiś przykład z taką opcją wycinania przed serwerem Udostępnij ten post Link to postu Udostępnij na innych stronach
tgx 575 Zgłoś post Napisano Czerwiec 29, 2013 jak tego szukać? daj jakiś przykład z taką opcją wycinania przed serwerem szukasz rozwiązań jawnie opisujących swoje usługi "ddos protected" - wszystkie już wycinają przed serwerem oferując "czysty transfer" http://www.koddos.com/ Udostępnij ten post Link to postu Udostępnij na innych stronach
Gość patrys Zgłoś post Napisano Czerwiec 29, 2013 Zobacz na oferty: blacklotus.net i staminus.net Udostępnij ten post Link to postu Udostępnij na innych stronach
rasputin 42 Zgłoś post Napisano Czerwiec 29, 2013 Mi zależy na Polskiej lokalizacji. Pomimo wszystko pierwszy raz przez dwa lata wyłączono mi usługę na 24h Jakoś inne firmy sobie z tym radziły. Udostępnij ten post Link to postu Udostępnij na innych stronach
Romson 9 Zgłoś post Napisano Czerwiec 29, 2013 Nie wiem dlaczego mój post został zminusowany, bo ja dałem tylko małą (niekoniecznie skuteczną, ale zawsze coś) radę, która polega na tym, żeby uniemożliwić osobom przeprowadzanie ataku DDoS na daną stronę z OVH. A o tym wie każdy, że w OVH można więcej, niż w zwykłym polskim DC, gdzie poziom łącz zniża się do europejskich standardów (tak wiem, że nie wszystkie kraje są cool ). Mimo wszystko, zawsze jeśli ktoś, coś źle napisze, to nie trzeba dziecinnie wyjeżdżać z tego typu praktyką, a najlepiej dowalić mi jakimś rzeczowym argumentem. To było rzeczywiście wałkowane wiele razy (i to nie tylko na WHT), także więc, to jest bardzo nieznośny problem, głównie dla tych, którzy robią coś z pasją, a nie dla tylko dla pieniędzy. Bo uwierzcie, że nie mam złych intencji wobec twórcy tematu, a wręcz przeciwnie, napisałem tyle ile wiem. Miłej nocy. 1 Udostępnij ten post Link to postu Udostępnij na innych stronach
kix 28 Zgłoś post Napisano Czerwiec 29, 2013 Nic nie wiesz. Blokowanie na samym serwerze jakichkolwiek adresów IP podczas ataku DDoS nic nie da. Udostępnij ten post Link to postu Udostępnij na innych stronach
Pan Kot 1535 Zgłoś post Napisano Czerwiec 29, 2013 Nie wiem dlaczego mój post został zminusowany, bo ja dałem tylko małą (niekoniecznie skuteczną, ale zawsze coś) radę, która polega na tym, żeby uniemożliwić osobom przeprowadzanie ataku DDoS na daną stronę z OVH. A o tym wie każdy, że w OVH można więcej, niż w zwykłym polskim DC, gdzie poziom łącz zniża się do europejskich standardów (tak wiem, że nie wszystkie kraje są cool ). Mimo wszystko, zawsze jeśli ktoś, coś źle napisze, to nie trzeba dziecinnie wyjeżdżać z tego typu praktyką, a najlepiej dowalić mi jakimś rzeczowym argumentem. To było rzeczywiście wałkowane wiele razy (i to nie tylko na WHT), także więc, to jest bardzo nieznośny problem, głównie dla tych, którzy robią coś z pasją, a nie dla tylko dla pieniędzy. Bo uwierzcie, że nie mam złych intencji wobec twórcy tematu, a wręcz przeciwnie, napisałem tyle ile wiem. Miłej nocy. Napisałeś odpowiedź, która merytorycznie nie jest poprawna, ponieważ nie masz absolutnie jakiegokolwiek wpływu na łącze z poziomu serwera jeśli w grę wchodzi UDP Flood. Odsyłam do mojego temaciku, który spowoduje że będziesz wiedział jeszcze więcej http://www.webhostingtalk.pl/topic/41538-security-na-debianie-fakty-i-mity-poradnik/ Jeśli nie jesteś czegoś pewien to nie wprowadzaj ludzi w błąd. Jest różnica między próbą pomocy i dobrymi intencjami, a błędami merytorycznymi wynikającymi z braku wiedzy. I za to m.in otrzymałeś mojego minusa. 1 Udostępnij ten post Link to postu Udostępnij na innych stronach
Romson 9 Zgłoś post Napisano Czerwiec 30, 2013 @up: Niczemu nie śmiem zaprzeczyć, bo ponoć na WHT siedzą specjaliści. Nie chcę zniżać się do poziomu tych ludzi, więc odpuszczę z wojną, bo rzeczywiście nie jestem do końca kumaty w tej sprawie i mogłem wprowadzić w błąd autora tematu, za co najmocniej przepraszam.Niemniej jednak, z obserwacji wynika, że zazwyczaj ataki DDoS to są ataki przeprowadzone przez zazdrosnych dzieciaków z DC OVH. Mylę się do tego? Wystarczy mi to powiedzieć prosto w twarz (prosto z mostu napisać). Zabieram się za lekturę Archiego. Udostępnij ten post Link to postu Udostępnij na innych stronach
Pan Kot 1535 Zgłoś post Napisano Czerwiec 30, 2013 Masz rację co do spamu z DC OVH, ale nie masz racji co do blokady takiego czegoś. Możesz sobie w iptables wyciąć ruch całego świata włącznie z tobą, a i tak jestem w stanie zddosować Cię UDP Floodem bo właśnie tak on działa. Udostępnij ten post Link to postu Udostępnij na innych stronach
T 6 Zgłoś post Napisano Lipiec 10, 2013 (edytowany) Pewnie część osób się ze mną nie zgodzi, ale moim zdaniem każdy kij ma dwa końce. Problem z obsługą DDoS-ów ze strony operatora jest oczywisty i sam się nieraz z nim borykałem, ale z drugiej strony dlaczego miałoby to być problemem klienta, szczególnie, gdy DDoS jest relatywnie mały? Przecież ruch tego typu nie jest inicjowany przez klienta, jest on po prostu ofiarą przestępstwa. Oczywiście są sytuacje z punktu widzenia dostawcy nierozwiązywalne, czyli bardzo duże ataki, z którymi poradzą sobie wyłącznie wyspecjalizowane w tym firmy. Ale 400 mbit/s? Przecież to jest mały atak. To nawet pewnie nie DDoS, tylko zwykły DoS z hacked boksu na 1 Gbit/s. I to ma być powód do odbierania dostępu do usługi klientowi? No bez przesady... Edytowano Lipiec 10, 2013 przez T (zobacz historię edycji) Udostępnij ten post Link to postu Udostępnij na innych stronach
Gość patrys Zgłoś post Napisano Lipiec 11, 2013 Przepustowość 400Mb/s w dzisiejszym świecie to nic, jeżeli klient faktycznie płaci za to łącze i pewnie tu jest największy problem. Taki atak przeleci przez routery i switche bez problemu, problem pojawi się na końcu. Druga sprawa, że w tych 400Mb/s można ukryć kilka milionów pps Atak UDP nie będzie problemem, ale przy TCP nie ma szans by docelowy serwer wytrzymał napór pakietów. Wykonanie ataku DDOS to kilka dolarów, a obrona to już tysiące ... Udostępnij ten post Link to postu Udostępnij na innych stronach
rasputin 42 Zgłoś post Napisano Lipiec 11, 2013 Atak był UDP . W tamtym czasie co chwile atakowana była karta sieciowa więc nawet nie ma pewności czy atak był na mnie. Mam ip z konćówką wieksza o 1 od owej karty. Dodam jeszcze, że od tamtej pory nic sie nie dzieje a usługi przenioslem na dodatkowe ip. Mnie to i tak dziwi bo patrzac po ip które atakowaly można to było spokojnie wyciac, wiekszosc bylo na czarnych listach. Udostępnij ten post Link to postu Udostępnij na innych stronach
Gość patrys Zgłoś post Napisano Lipiec 11, 2013 A możesz to jakoś po polsku ? Wycięcie ataku na docelowej maszynie i tak by nic nie dało, ale przepuszczenie 400Mb/s na normalnym sprzęcie to drobnostka. Ataki to codzienność, UDP jest od dawna rzadkością z uwagi na nieskuteczność. Więc z reguły są to olbrzymie floody syn które sieją spustoszenie Udostępnij ten post Link to postu Udostępnij na innych stronach
tgx 575 Zgłoś post Napisano Lipiec 11, 2013 A Ataki to codzienność, UDP jest od dawna rzadkością z uwagi na nieskuteczność. Taka rzadkość, że spowodowała "paniczne" działania wielu dostawców typu ovh blokowania ruchu z pakietów "odbijanych " z otwartych DNS Nieskuteczność? Już były tu firmy które miały "ataki były z root serwerów" także wszystko jest kwestią kogo i co. Normalny sprzęt też jest pojęciem względnym. Mały 400 megowy ale ciągły atak może usługodawcę kosztować kilka tysięcy więc może o to chodziło a nie tylko możliwości obrony. Udostępnij ten post Link to postu Udostępnij na innych stronach
Robert Kura 0 Zgłoś post Napisano Lipiec 11, 2013 Mały 400 megowy ale ciągły atak może usługodawcę kosztować kilka tysięcy więc może o to chodziło a nie tylko możliwości obrony. Myślę, że może nawet kosztować znacznie więcej. Zależy od tego, jaki jest dzienny ruch. A może być bardzo duży, zwłaszcza jak atak wypadnie w jakimś wyjątkowo gorącym czasie. Udostępnij ten post Link to postu Udostępnij na innych stronach