Skocz do zawartości
Cadman

Atak DDoS Cloudflare nie daje rady

Polecane posty

Jestem DDoS-owany, przez ogromny botnet, wszystkie IP sa rozne, a atak idzie z kilku krajow, uzywam Cloudflare, ale od dzisiaj, z jakiegos powodu przestal mnie bronic, czy jest jakis sposob, by skutecznie sie bronic przed takim atakiem

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

ogolnie, boty/zombie wchodza na 2 rozne podstrony niesamowita ilosc razy na sekunde, powodujac, ze serwer nie wytrzymuje, te 2 strony to 1. strona glowna 2. strona z informacja o przedmiocie, ani jedna, ani druga nie robi zadnych specjalnych rzeczy, to nie problem ze skryptem"

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Według mnie wycinka ipków które wogóle Ciebie nie interesują, u mnie np. odcięty cały wschód, afryka, ameryka, ogólnie 3 świat itp

 

A limitowanie na sieć lub ipka w iptables np. odpowiednia ilość na min albo nawet na kilka sekund?

Edytowano przez gutek (zobacz historię edycji)

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

nie chce blokowac calych krajow, a nawet jakbym chcial, to bym musial blokowac po IP-Range-ach, bo Cloudflare nie pozwala na blokowanie krajow, pozwala tylko w planie, za ktory chca jakos 18k zl/miesiac, a blokowanie w iptables da mi bardzo malo, bo atak i tak bedzie dochodzil do mojego serwera, tylko nie bedzie wykonywal jakiejs minimalnej ilosci kodu, nawet jakbym blokowal to i tak bedzie dochodzic, najlepiej jest blokowac na Cloudflare, ale musze zmienic plan na Pro, czego jeszcze nie moge zrobic

Edytowano przez Cadman (zobacz historię edycji)

Udostępnij ten post


Link to postu
Udostępnij na innych stronach
Gość patrys

Kiepski avatar i może swój trafił na swego ? :)

 

Cloudflare to tylko jedna z metod ochrony, trzeba pamiętać o tym, że atakujący może znać IP, więc należało by je zmienić i sprawdzić dokładnie co oraz jak jest atakowane

Trzeba też pamiętać, że Cloudflare nie blokuje stricte ataku dos i filtracja musi być za nim.

No i po trzecie, jedyną filtracje DDOS ma dopiero pakiet Bussiness, ale ten za pewne jest wykupiony.

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Trzeba też pamiętać, że Cloudflare nie blokuje stricte ataku dos i filtracja musi być za nim.

Jak nie blokuje? Cały ruch przechodzi przez ich serwery.

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Pierwszy punkt patrys-a, jest bardzo dobry, zupelnie o tym zapomnialem, ale nie do konca jestem pewien, jak ktos moglby znalezc prawdziwy adres IP serwera.

Drugi i Trzeci nie maja wiekszego sensu, caly ruch przechodzi przez cloudflare, i filtruja na kazdym planie, nie tylko na Business, na Pro i Business jednak dostajesz wieksza kontrole nad ochrona, na Free masz ochrone przez blokowanie IP i stopnie ochrony, przy "Im Under Attack" powinien filtrowac wszystkie ataki, ale z jakiegos powodu nie filtruje, filtracja za nim jest po prostu kiepskim pomyslem, po to jest Cloudflare zeby ruch NIE DOCHODZIL do twojego serwera

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

trzeba pamiętać o tym, że atakujący może znać IP, więc należało by je zmienić i sprawdzić dokładnie co oraz jak jest atakowane

Trzeba też pamiętać, że Cloudflare nie blokuje stricte ataku dos i filtracja musi być za nim.

No i po trzecie, jedyną filtracje DDOS ma dopiero pakiet Bussiness, ale ten za pewne jest wykupiony.

 

Najlepiej wyciąć ruch dla ruchu http(s) dla wszystkiego poza cloudflare: KLIK

On ma problem z dużą ilościa requestów do stron, więc to powinno pomóc.

 

Blokada jest dla planu enterprise:

 

https://support.cloudflare.com/hc/en-us/articles/200171406-How-do-I-block-connections-based-on-country-or-countries-

 

Plan Biznes to 200$, Plan Enterprise "Averages $5,000/month" ;)

Udostępnij ten post


Link to postu
Udostępnij na innych stronach
Gość Kamikadze

Pierwszy punkt patrys-a, jest bardzo dobry, zupelnie o tym zapomnialem, ale nie do konca jestem pewien, jak ktos moglby znalezc prawdziwy adres IP serwera.

 

Drugi i Trzeci nie maja wiekszego sensu, caly ruch przechodzi przez cloudflare, i filtruja na kazdym planie, nie tylko na Business, na Pro i Business jednak dostajesz wieksza kontrole nad ochrona, na Free masz ochrone przez blokowanie IP i stopnie ochrony, przy "Im Under Attack" powinien filtrowac wszystkie ataki, ale z jakiegos powodu nie filtruje, filtracja za nim jest po prostu kiepskim pomyslem, po to jest Cloudflare zeby ruch NIE DOCHODZIL do twojego serwera

 

 

Próbowałeś opcji

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Tak, mamy "Im Under Attack" tryb wlaczony, tak jak napisalem wyzej, ale nie blokuje ataku, z jakiegos powodu, dodalem wlasnie tez wszystkie reguly iptables, ktore blokuja wszystkich, poza ip, ktore uzywamy, ale tez nie pomoglo, co pewnie znaczy, ze ruch idzie przez Cloudflare mimo wszystko

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Nie siedź z założonymi rękami, wycinaj zakresy atakujących IP na cloudflare.

Nie jestem pewien jak jest z ipv6, zdaje się że domyślnie mialem wylaczone na cloudflare,

może to trzeba wlaczyc i osobno wyciać, nie wiem...

Edytowano przez kori (zobacz historię edycji)

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Chcialem wycinac, ale robiac to, ucinam mase prawdziwych uzytkownikow, ktorzy po prostu wchodza na strone, a pozniej nie bede wiedzial kto byl prawdziwym uzytkownikem, a kto nie

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Jeśli ustawił w iptables ruch http tylko via cloudflare to po co mu każecie siedzieć i wycinac pojedyńcze ip skoro juz to ma zrobione?

 

Ogólnie za mało informacji podesłałeś, wiemy tylko że "serwer" nie wyrabia i ruch jest tylko poprzez CF.

Napisz co konkretnie nie wyrabia bo inaczej nie pomożemy

 

 

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Ogółem cloudflare w wersji darmowej to syf, bardziej przeszkadza niż pomaga. U mnie jak działo się podobnie to pomagało jedynie wyłączenie CF mimo iż nie mam żadnych zabezpieczeń typu antyddos, fail2ban ładnie sobie radził. Serwer musiał przemielić więcej danych ale wszystko chodziło sprawniej.

Edytowano przez protoplasta (zobacz historię edycji)
  • Upvote 1

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Nie wyrabia apache2.2.22, czytalem w jakis super pomocnych "jak zaoptymalizowac apache", ze trzeba obnizyc MaxClients, ale ich powod nie byl dla mnie prawdziwy, wiec mam MaxClients ustawione na 120, a dziala w trybie prefork MPM ( jestem prawie pewien ), apache odbiera krotkie i dlugie zapytania na wszystkie 120 otwartych kilentow, zapytania te trwaja czasami naprawde niesamowite dlugie REQ, na ktorego temat znalazlem bardzo malo informacji

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Powiem ci że przerabiałem to samo, bawiłem się zmiany w konfiguracji ale jeżeli było lepiej to z drugiej strony serwer był obciążany w większym stopniu i ciężko było znaleźć złoty środek. Na pewno w jakiś sposób zmiana konfiguracji działa i cloudflare na dosa nie działa (bo właśnie taki masz atak, a nie ddosa), jedynie pomoże wyłączenie CF i skonfigurowanie fail2ban.

Udostępnij ten post


Link to postu
Udostępnij na innych stronach
Gość patrys

Free i pro nie filtruje ataków DDOS dla warstw 4/7.

Więc wpierw doczytaj, zapytaj, a nie bądź najmądrzejszy, bo to Twój serwer nie wyrabia.

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Jezeli bycie najmadrzejszym znaczy posiadanie umiejetnosci czytania ze zrozumieniem, to tak, najwyrazniej masz racje.

Jak chcesz tylko gadac glupoty, wprowadzac ludzi w blad, i nie chcesz pomagac, to nie probuj, ja tego nie potrzebuje, nikt tego nie potrzebuje"

Edytowano przez Cadman (zobacz historię edycji)

Udostępnij ten post


Link to postu
Udostępnij na innych stronach
Gość l3szcz

A nie myślałeś o ataku na serwer SQL? Jeżeli to możliwe, to sądzę, że i przez to DDoSy mogą iść.

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Wlasciwie nie, nie myslalem, ciekawy pomysl, ale akurat w moim przypadku wiem, ze atak idzie na serwer ze strona, bo obserwuje go w mod_status, widze na jakie strony idzie atak, i wiem, ze te strony nie robia nic specjalnego, wiem tez, ze ruch idzie przez cloudflare, ale z jakiegos powodu nie jest blokowany, i tyle. Bedac bardziej precyzyjnym, mam na Cloudflare ustawione dwie zasady, na obie strony ktore sa atakowane, obie na najwyzszym poziomie ochrony "Im Under Attack", niestety nic z tego nie wynika, atak przechodzi, jak gdyby nigdy nic, probowalem tez oczywiscie ustawic ochrone na cala strone na "Im Under Attack", ale rezultat byl identyczny. Jedyne co sie zmienilo od wczoraj, to Cloudflare albo blokuje wiecej ataku, albo atakujacy zaczyna sie nudzic, bo robi sobie dluzsze przerwy niz robil sobie wczesniej"

Edytowano przez Cadman (zobacz historię edycji)

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Bądź aktywny! Zaloguj się lub utwórz konto

Tylko zarejestrowani użytkownicy mogą komentować zawartość tej strony

Utwórz konto

Zarejestruj nowe konto, to proste!

Zarejestruj nowe konto

Zaloguj się

Posiadasz własne konto? Użyj go!

Zaloguj się


×