Skocz do zawartości
protoplasta

Zabezpieczenie przez DoS - Plesk

Polecane posty

Znacie jakieś skuteczne sposoby na zapobieganiu atakom dos? Wydaje mi się że najlepszym rozwiązaniem byłoby odcinanie IP, ale nie wiem czego użyć aby sobie z tym poradzić. Opłaca się jakoś bawić z ModSecurity czy może jest coś lepszego? Aktualnie IP banuje w CF. Są wakacje i jakiś dzieciak z IP z neostrady zarzuca mi dosami, napiszę do orange, ale na przyszłość chciałbym się zabezpieczyć.

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

IP możesz banować w CF, ale niewiele to daje, jeżeli jesteś hosterem to on zna lub w każdej chwili może poznać IP serwera kupując usługę
IPka też może wyciągnąć poprzez http://who.is/dns/wp.pl

 

nie znam się na sprawach technicznych linuxowych, mogę jedynie zasugerować:

1. oddzielne IP dla poczty i hostingu, nawet oddanie hostowania poczty zewnętrznej firmie, np. gmail.com, prokonto.pl itp

2. nowych userów trzymać na jednym tymczasowym IP
3. jeżeli są środki, zastosowanie routera brzegowego

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

To wszystko wiem, pytam po prostu jak sobie poradzić z tym od strony serwera, on puscza dosa w moją stronę główną która stoi za cloudflare, a cf w takiej sytuacji nic nie daje, recznę banowanie też jest nudne. Martwi mnie to że w niektórych miejscach pokazywane jest ip cf zamiast ip użytkownika i się boje że jeżeli z automatu by to leciało to może być taka sytuacja że zbanuje IP cloudflare.

Już mi też kiedyś dosa zapuszczali ale z różnych miejsc i nie wiem czy jest jakiś skuteczny sposób aby jakoś temu przeciwdziałać.

Edytowano przez protoplasta (zobacz historię edycji)

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

To wszystko wiem, pytam po prostu jak sobie poradzić z tym od strony serwera, on puscza dosa w moją stronę główną która stoi za cloudflare, a cf w takiej sytuacji nic nie daje, recznę banowanie też jest nudne. Martwi mnie to że w niektórych miejscach pokazywane jest ip cf zamiast ip użytkownika i się boje że jeżeli z automatu by to leciało to może być taka sytuacja że zbanuje IP cloudflare.

Już mi też kiedyś dosa zapuszczali ale z różnych miejsc i nie wiem czy jest jakiś skuteczny sposób aby jakoś temu przeciwdziałać.

if(isset($_SERVER["HTTP_CF_CONNECTING_IP"])) return $_SERVER["HTTP_CF_CONNECTING_IP"];         

no tak tylko że to php, a ty chcesz blokować w firewall...spytaj cloudflare suport lub poczytaj to:

https://support.cloudflare.com/hc/en-us/sections/200805497-Restoring-Visitor-IPs

 

Edytowano przez kori (zobacz historię edycji)

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

do DOS-ów z jednego ip jeszcze z neo nie potrzeba routera brzegowego(??!!) - generalnie jak juz sie upierac przy rozwiązaniu sprzetowym to szybciej jakiś firewall ( asa5505 czy srx).

Ustaw sobie w cloudflare coś w stylu "i'm under attack" ( czy jakoś podobnie to sie nazywało) i CF ci załatwi problem ataków na http.

Jesli to jakiś tcp/udp bezpośrednio na ip serwera to limitowanie połączeń per ip w iptables - przykładowo

http://www.cyberciti.biz/faq/iptables-connection-limits-howto/

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Zaciekawiło mnie to że w awstats najwięcej odesłań jest z ip cloudflare, ale są też ip normalnych ludzi, bo ModSecurity w plesku jak dla mnie jest dziwny i nie bardzo się zagłębiałem w jego tajniki tym bardziej że nie wiem czy poradzi on sobie z takim zadaniem i też to że po kilku godzinach miałem kilkaset mb logów, a miałem ustawiony tryb detecion only. Tak czy siak w logach są normalne IP bo mam moda CF do apache zainstalowanego, tyle że właśnie plesk łapie te ip z cf co mnie martwi w dużym stopniu. Ten tryb i'm under attack też nie do końca jest rozwiązaniem, ponieważ trzeba czekać kilka sekund zanim strona się wczyta.

Nie wiem też czy jakoś lepiej się apache nie da skonfigurować bo wywala mi

mod_fcgid: can't apply process slot for /var/www/cgi-bin/cgi_wrapper/cgi_wrapper

ale jak ustawiłem większe wartości to wywalało bazę i load nieźle skakał przy większej ilości osób, config aktualnie wygląda tak, ale myślę że tutaj niewiele da się zmienić

  FcgidIdleTimeout 60
  FcgidProcessLifeTime 90
  FcgidMaxProcesses 26
  FcgidMaxProcessesPerClass 8
  FcgidMinProcessesPerClass 0
  FcgidConnectTimeout 30
  FcgidIOTimeout 45
  FcgidInitialEnv RAILS_ENV production
  FcgidIdleScanInterval 10

O sprzętowym rozwiązaniu raczej nie ma mowy, niestety mój dedyk jakoś super wydajny nie jest, a chciałbym poznać jakieś rozwiązanie, bo dziwne że aż jedna osoba jest w stanie położyć mi stronę.

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Rozumiem, ale by nie robić dyskusji w formie czatu napisz mi na maila jaki to system a postaram się zajrzeć do serwera jeżeli będziesz chciał jak również odpowiednio skonfigurować go bo to co przedstawiłeś to standardowy config.

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Debian 7. Standardowy trochę się różni, ale ustawiałem wcześniej coś około 100, jednak przy 400 osobach load 33 nie wyglądał najlepiej. Bo z tego co widziałem to na sharedach wartości te są kosmiczne, no ale ja jakiejś super maszyny nie mam. Jednak wydaje mi się że wszystko ok jest skonfigurowane, jednak jak będę miał chwilę to postaram się jutro odezwać (a właściwie dzisiaj).

Edytowano przez protoplasta (zobacz historię edycji)

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Dziecko z neostradą (samą neostradą) nie może Cię z DDoSować, nie ma tyle mocy. Chyba, że problemem jest fatalny serwer WWW, który sobie nie radzi, wtedy potrzebujesz zablokować ruch do HTTP ze wszystkich adresów oprócz CF i jesteś zabezpieczony.

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Nie DDoSować a DoSowac, to pewna różnica. Osoba ta wysyłała zapytania do serwera kilka razy na sekundę (średnio po 4), a serwer na każde z nich odpowiadał.

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Bądź aktywny! Zaloguj się lub utwórz konto

Tylko zarejestrowani użytkownicy mogą komentować zawartość tej strony

Utwórz konto

Zarejestruj nowe konto, to proste!

Zarejestruj nowe konto

Zaloguj się

Posiadasz własne konto? Użyj go!

Zaloguj się


×