Skocz do zawartości
Lost

VPS/dedyk odporny na DDoS

Polecane posty

Witajcie, tak jak w temacie, jestem zainteresowany kupnem serwera VPS / dedykowanego odpornego na ataki DDoS.

 

hosteam.pl sprawdzałem, ale ceny mnie przerażają. Macie jakieś inne, lepsze propozycje? Proszę o wsparcie.

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Hosteam to akurat najlepszy hosting cena/jakość jeśli chodzi o ochronę ddos i samą usługę. Taniej na pewno nie znajdziesz.

Udostępnij ten post


Link to postu
Udostępnij na innych stronach
Gość

Sprintdatacenter.pl, mimo że nie reklamują jakoś specjalnie tego na stronie z praktyki wiem, że całkiem fajnie nakładają odpowiednie filtry podczas wystąpienia ataku i od razu o nim informują.

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

To może z innej beczki - jak mogę zabezpieczyćVPS / dedyk przed takimi atakami na własną rękę?

Udostępnij ten post


Link to postu
Udostępnij na innych stronach
Gość

To może z innej beczki - jak mogę zabezpieczyćVPS / dedyk przed takimi atakami na własną rękę?

Nie możesz :unsure:

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Sprintdatacenter.pl, mimo że nie reklamują jakoś specjalnie tego na stronie z praktyki wiem, że całkiem fajnie nakładają odpowiednie filtry podczas wystąpienia ataku i od razu o nim informują.

 

Unixstorm też założył filtr na 24h, tak że nikt nie mógł się połączyć z forum. O coś takiego chodzi?

 

 

Nie możesz :unsure:

 

Naprawdę nic nie da się zrobić? Słyszeliście o czymś takim jak Cloudflare.com?

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Jeśli mówisz o prawdziwych atakach a nie jakimś pingu z trzech komputerów to możesz kupić sprzętowego firewalla za parę(naście) tysięcy i wstawić go do serwerowni (zakładając że będziesz miał dedyka) oczywiście dodatkowo płacąc za zajęte miejsce, ew wynająć taki sprzęt za co najmniej parę stówek miesięcznie. Do tego dochodzą koszty samego serwera, jak i łącza (bo na 100mbps nie wiem czy jest sens wstawiać firewalla jak będziesz miał wysycone łącze)

 

Na VPS z OpenVZ nie zrobisz zapewne nic, bo nie dostaniesz w większości firm dostępu do iptables

Edytowano przez ToFFiK (zobacz historię edycji)

Udostępnij ten post


Link to postu
Udostępnij na innych stronach
Gość patrys

CF dobra opcja dla mniejszych stron, przy większych będzie problem z wydajnością statyki, jednak można to obejść.

Z atakami przy planie za 200 baksów radzą sobie świetnie ;)

 

@ToFFiK: w czym by miało pomóc iptables ? ;)

Udostępnij ten post


Link to postu
Udostępnij na innych stronach
Gość

 

Unixstorm też założył filtr na 24h, tak że nikt nie mógł się połączyć z forum. O coś takiego chodzi?

 

Niezupełnie, nie chodzi o całkowite odcięcie dostępu do serwera, ale filtrację ruchu.

 

Jedna z możliwości to np. stosowanie BGP Blackholing - polega na tym, że cały ruch z zagranicznych adresów IP jest wycięty i dostęp do serwera jest tylko z polskich adresów IP. Oczywiście sprawdza się to tylko wtedy, gdy masz klientów z danego kraju, bo powoduje to częściowe utrudnienie dostępu do serwera. Ale chyba lepsze to niż, całkowite?

Edytowano przez Gość (zobacz historię edycji)

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Mógłby się bawić w CSF+LFD, zawsze coś pomaga przy dzieciach neostrady, jak muszą co chwile resetować router to się im szybko nudzi

 

Jedna z możliwości to np. stosowanie BGP Blackholing - polega na tym, że cały ruch z zagranicznych adresów IP jest wycięty i dostęp do serwera jest tylko z polskich adresów IP

 

Bez IPTables dużo nie wytnie, a na dedyku nawet po wycięciu jeśli nie będzie miał czegoś lepszego niż 100mbps (ba, żeby jeszcze było tyle gwarantowane w większości firm budżetowych) to mu zapchają całą rurke i tyle będzie miał z blokowania innych krajów

Edytowano przez ToFFiK (zobacz historię edycji)

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Mówię o raczej sporym ataku, firma unixstorm wypowiedziała nam z powodu częstych i dużych ataków ddos umowę, dodała, że 90% polskich hostingów wyłozyło by się przy takim ataku, nie znam więc dokładnej jego wielkości.

 

 

Mniejsza strona tzn jaka? Dziennie mam ok. 1500 unikalnych odwiedzin, głównie z Polski.

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Zobacz ofertę OVH mają właśnie od września teraz wprowadzić jakieś firewalle na dedyki ale nie wiem w której serwerowni więc musiałbyś się zorientować.

Edytowano przez ToFFiK (zobacz historię edycji)

Udostępnij ten post


Link to postu
Udostępnij na innych stronach
Gość

 

 

 

Jedna z możliwości to np. stosowanie BGP Blackholing - polega na tym, że cały ruch z zagranicznych adresów IP jest wycięty i dostęp do serwera jest tylko z polskich adresów IP

Bez IPTables dużo nie wytnie, a na dedyku nawet po wycięciu jeśli nie będzie miał czegoś lepszego niż 100mbps (ba, żeby jeszcze było tyle gwarantowane w większości firm budżetowych) to mu zapchają całą rurke i tyle będzie miał z blokowania innych krajów

Raczej BGP Blackholing nie zrobi na iptables.. to się zakłada na routerach brzegowych sieci.

Udostępnij ten post


Link to postu
Udostępnij na innych stronach
Gość patrys

@ToFFiK, no ale to nie atak z jednego komputera neostrady, a każdy inny który miałby być atakiem wpływającym na działanie serwera nie może być wycięty przez iptables.

Nie wiem czemu w LFD ( ostatnio widziałem taki serwer z tym ) są opcje ochrony przed DOS ;)

 

Mniejsza strona tzn jaka? Dziennie mam ok. 1500 unikalnych odwiedzin, głównie z Polski.

 

To drobnostka, poszukaj jakiegoś sensownego VPS, albo i nawet hostingu z ochroną DDOS - ja takiego nie znam.

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

CSF i LFD to ochrona bardziej usług na tym serwerze niż samego serwera. Jak już pisałem wielokrotnie pakiety czy to udp czy syn i tak dolecą do kernela, i tak zajmą rurkę, i tak "będą" bo nie możemy sobie na serwerze stwierdzić, że nagle ich nie przyjmujemy i koniec. Można sobie zablokować cały ruch udp/tcp/icmp via iptables, a i tak udp floodem można rozłożyć serwer.

 

CSF jest dobre do bardzo małych ataków, głównie pojedynczych z powodu bardzo fajnego connlimita (można ustawić limit per IP i mieć z główki) oraz skanowaniu portów (bardzo fajnie działa). Problem jest tylko taki, że tak jak mówię to jest ochrona usług - jeśli apache czy inne dziadostwo Ci nie wyrabia podczas ddosu z cpu/ramem/io to pewnie, CSF może pomóc. Ale jak nie wyrabia rurka to sorry, ale możesz równie dobrze odłączyć serwer, a rurka i tak będzie zapchana.

 

I nie, nie ma możliwości we własnym zakresie na ochronę przeciwko ddos inną niż zminimalizowanie strat poprzez kilka fajnych praktyk. Po więcej info zapraszam do mojego poradniczka w odpowiednim dziale. Jeśli jednak liczysz na to, że cokolwiek będziesz w stanie zrobić to się mylisz, co najwyżej nie wywalić kernel panica w związku z OOM ;).

Udostępnij ten post


Link to postu
Udostępnij na innych stronach
Gość patrys

Przetestuj co się dzieje z connlimit przy uderzeniu większej ilości SYN nawet z jednego IP.

Lepszym modułem będzie hashlimit do blokowania ilości przepływających pakietów.

 

Rurka to tylko przy atakach UDP, przy TCP będzie problem z przerwaniami karty sieciowej.

 

@chmuri: dobrze ustawione CF w opcji business da radę + dobrze ustawiony też backend.

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Mówię o raczej sporym ataku, firma unixstorm wypowiedziała nam z powodu częstych i dużych ataków ddos umowę, dodała, że 90% polskich hostingów wyłozyło by się przy takim ataku, nie znam więc dokładnej jego wielkości.

 

 

Mniejsza strona tzn jaka? Dziennie mam ok. 1500 unikalnych odwiedzin, głównie z Polski.

 

Juz od dziś niby wchodzi http://www.ovh.com/fr/anti-ddos/ cena żadna ochrona dla wszystkich 480Gb/s

no ale to OVH ;)

Edytowano przez cdcd (zobacz historię edycji)

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Czyżby koniec soplicy? :P

 

Jedno wyjście : HOSTEAM lub OVH z firewallem na start 700zł (instalacja) potem 100zł per miesiąc.

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Co właśnie sądzicie na temat tego hosteama?

Pomoc techniczna jest tam tylko w dni powszednie od 9 do 17 - to mnie martwi.

 

Zastanawia mnie także, czy nie bardziej opłąca się wykupić dzielony serwer z tańszych ofert, ale obawiam się, że moje forum byłoby zbyt obciążające.

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Jak dostaniesz ddosa to z każdej innej firmy Cię wyrzucą.

 

Hosteam albo koniec z biznesem. Ew. jak masz umiejętności możesz walczyć z dedykiem/vps-em i moim poradnikiem, ale i to nie gwarantuje pełnej ochrony, nawet jak schowasz się za CF'em.

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

W hosteam jest też pomoc w weekendy, tylko to trzeba indywidualnie omówić z nimi i cenę za ilość godzin roboty w weekendzie. :)

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Bez IPTables dużo nie wytnie, a na dedyku nawet po wycięciu jeśli nie będzie miał czegoś lepszego niż 100mbps (ba, żeby jeszcze było tyle gwarantowane w większości firm budżetowych) to mu zapchają całą rurke i tyle będzie miał z blokowania innych krajów

Co ma iptables do BGP Blackholingu?

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Ja bym czekał aż OVH.pl wprowadzi (chyba, że już wprowadziło) ochronę DDoS na dedyki, a potem czekał na kimsyfy (chyba, że akurat te dostępne Ci podpasują).

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Bądź aktywny! Zaloguj się lub utwórz konto

Tylko zarejestrowani użytkownicy mogą komentować zawartość tej strony

Utwórz konto

Zarejestruj nowe konto, to proste!

Zarejestruj nowe konto

Zaloguj się

Posiadasz własne konto? Użyj go!

Zaloguj się


×