Zabezpieczenie przez DoS - Plesk

[protoplasta 25]

Znacie jakieś skuteczne sposoby na zapobieganiu atakom dos? Wydaje mi się że najlepszym rozwiązaniem byłoby odcinanie IP, ale nie wiem czego użyć aby sobie z tym poradzić. Opłaca się jakoś bawić z ModSecurity czy może jest coś lepszego? Aktualnie IP banuje w CF. Są wakacje i jakiś dzieciak z IP z neostrady zarzuca mi dosami, napiszę do orange, ale na przyszłość chciałbym się zabezpieczyć.

[kori 29]

IP możesz banować w CF, ale niewiele to daje, jeżeli jesteś hosterem to on zna lub w każdej chwili może poznać IP serwera kupując usługę
IPka też może wyciągnąć poprzez http://who.is/dns/wp.pl

 

nie znam się na sprawach technicznych linuxowych, mogę jedynie zasugerować:

1. oddzielne IP dla poczty i hostingu, nawet oddanie hostowania poczty zewnętrznej firmie, np. gmail.com, prokonto.pl itp

2. nowych userów trzymać na jednym tymczasowym IP
3. jeżeli są środki, zastosowanie routera brzegowego

[protoplasta 25]

To wszystko wiem, pytam po prostu jak sobie poradzić z tym od strony serwera, on puscza dosa w moją stronę główną która stoi za cloudflare, a cf w takiej sytuacji nic nie daje, recznę banowanie też jest nudne. Martwi mnie to że w niektórych miejscach pokazywane jest ip cf zamiast ip użytkownika i się boje że jeżeli z automatu by to leciało to może być taka sytuacja że zbanuje IP cloudflare.

Już mi też kiedyś dosa zapuszczali ale z różnych miejsc i nie wiem czy jest jakiś skuteczny sposób aby jakoś temu przeciwdziałać.

Edytowano Lipiec 12, 2015 przez protoplasta (zobacz historię edycji)

[Gość l3szcz]

evasive ;>

[kori 29]

To wszystko wiem, pytam po prostu jak sobie poradzić z tym od strony serwera, on puscza dosa w moją stronę główną która stoi za cloudflare, a cf w takiej sytuacji nic nie daje, recznę banowanie też jest nudne. Martwi mnie to że w niektórych miejscach pokazywane jest ip cf zamiast ip użytkownika i się boje że jeżeli z automatu by to leciało to może być taka sytuacja że zbanuje IP cloudflare.

Już mi też kiedyś dosa zapuszczali ale z różnych miejsc i nie wiem czy jest jakiś skuteczny sposób aby jakoś temu przeciwdziałać.

if(isset($_SERVER["HTTP_CF_CONNECTING_IP"])) return $_SERVER["HTTP_CF_CONNECTING_IP"];         

no tak tylko że to php, a ty chcesz blokować w firewall...spytaj cloudflare suport lub poczytaj to:

https://support.cloudflare.com/hc/en-us/sections/200805497-Restoring-Visitor-IPs

 

Edytowano Lipiec 12, 2015 przez kori (zobacz historię edycji)

[Marek607 655]

do DOS-ów z jednego ip jeszcze z neo nie potrzeba routera brzegowego(??!!) - generalnie jak juz sie upierac przy rozwiązaniu sprzetowym to szybciej jakiś firewall ( asa5505 czy srx).

Ustaw sobie w cloudflare coś w stylu "i'm under attack" ( czy jakoś podobnie to sie nazywało) i CF ci załatwi problem ataków na http.

Jesli to jakiś tcp/udp bezpośrednio na ip serwera to limitowanie połączeń per ip w iptables - przykładowo

http://www.cyberciti.biz/faq/iptables-connection-limits-howto/

[protoplasta 25]

Zaciekawiło mnie to że w awstats najwięcej odesłań jest z ip cloudflare, ale są też ip normalnych ludzi, bo ModSecurity w plesku jak dla mnie jest dziwny i nie bardzo się zagłębiałem w jego tajniki tym bardziej że nie wiem czy poradzi on sobie z takim zadaniem i też to że po kilku godzinach miałem kilkaset mb logów, a miałem ustawiony tryb detecion only. Tak czy siak w logach są normalne IP bo mam moda CF do apache zainstalowanego, tyle że właśnie plesk łapie te ip z cf co mnie martwi w dużym stopniu. Ten tryb i'm under attack też nie do końca jest rozwiązaniem, ponieważ trzeba czekać kilka sekund zanim strona się wczyta.

Nie wiem też czy jakoś lepiej się apache nie da skonfigurować bo wywala mi

mod_fcgid: can't apply process slot for /var/www/cgi-bin/cgi_wrapper/cgi_wrapper

ale jak ustawiłem większe wartości to wywalało bazę i load nieźle skakał przy większej ilości osób, config aktualnie wygląda tak, ale myślę że tutaj niewiele da się zmienić

  FcgidIdleTimeout 60
  FcgidProcessLifeTime 90
  FcgidMaxProcesses 26
  FcgidMaxProcessesPerClass 8
  FcgidMinProcessesPerClass 0
  FcgidConnectTimeout 30
  FcgidIOTimeout 45
  FcgidInitialEnv RAILS_ENV production
  FcgidIdleScanInterval 10

O sprzętowym rozwiązaniu raczej nie ma mowy, niestety mój dedyk jakoś super wydajny nie jest, a chciałbym poznać jakieś rozwiązanie, bo dziwne że aż jedna osoba jest w stanie położyć mi stronę.

[bybunny 540]

Parametry serwera? Ram, cpu ?

[protoplasta 25]

https://www.online.net/en/dedicated-server/dedibox-xc

[bybunny 540]

Ok , panel gotowy razem z ich OS czy instalowany samodzielnie?

Edytowano Lipiec 12, 2015 przez SiXwishlist (zobacz historię edycji)

[protoplasta 25]

Instalowany oddzielnie

[bybunny 540]

Rozumiem, ale by nie robić dyskusji w formie czatu napisz mi na maila jaki to system a postaram się zajrzeć do serwera jeżeli będziesz chciał jak również odpowiednio skonfigurować go bo to co przedstawiłeś to standardowy config.

[protoplasta 25]

Debian 7. Standardowy trochę się różni, ale ustawiałem wcześniej coś około 100, jednak przy 400 osobach load 33 nie wyglądał najlepiej. Bo z tego co widziałem to na sharedach wartości te są kosmiczne, no ale ja jakiejś super maszyny nie mam. Jednak wydaje mi się że wszystko ok jest skonfigurowane, jednak jak będę miał chwilę to postaram się jutro odezwać (a właściwie dzisiaj).

Edytowano Lipiec 12, 2015 przez protoplasta (zobacz historię edycji)

[Misiek08 285]

Dziecko z neostradą (samą neostradą) nie może Cię z DDoSować, nie ma tyle mocy. Chyba, że problemem jest fatalny serwer WWW, który sobie nie radzi, wtedy potrzebujesz zablokować ruch do HTTP ze wszystkich adresów oprócz CF i jesteś zabezpieczony.

[protoplasta 25]

Nie DDoSować a DoSowac, to pewna różnica. Osoba ta wysyłała zapytania do serwera kilka razy na sekundę (średnio po 4), a serwer na każde z nich odpowiadał.

[Vasthi 74]

Syn cookies włączone ? Może dodaj limit połączeń per ip

[protoplasta 25]

Miałem wyłączone. Ale właśnie boje się o to że przez to że zapytania idą przez IP CF, to te IP dostanie bana.