Skocz do zawartości
SchErk

OVH Anty-DDOS PRO

Polecane posty

Witam,

 

Posiadam usługę z dostępem do Anty-DDOS PRO oraz konfiguracja regułek.

Mój serwery ustawiony jest na "Filtrorwanie Stałe" oraz właczony firewall.

 

Jeżeli ktoś atakuje moją infrastrukturę to mam problem, gdyż przełącza się firewall na tryb "wymuszony" i przez niego tracę 20-50% pakietów UDP.

 

Może wiecie co na to poradzić?

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Nie, nie przez niego - tracisz przez DDoS, który właśnie leci w twój serwer.

 

Możesz zmienić firmę, wtedy serwer zamiast posiadania 20% packet lossów będzie leżał zupełnie ;).

  • Upvote 2

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Nie, nie przez niego - tracisz przez DDoS, który właśnie leci w twój serwer.

 

Możesz zmienić firmę, wtedy serwer zamiast posiadania 20% packet lossów będzie leżał zupełnie ;).

 

Nie o to chodzi.../

 

Może nie czytelnie pisze.

 

Podczas włączenia stałego filtrowania oraz skonfigurowaniu regułek dot. jest git.

Atak zostaje z maszyny wycięty w kilka chwil, ale firewall przełącza się w tryb "wymuszony", który powoduje pakiety OUT.

 

Powiem jaśniej..

 

Atak wycięty jest w 5-10 sekund, ale tcpdump pokazuje jedynie moje ip dot. połączenia z serwerem.

Kiedy atak dotrze włącza się filtorwanie wymuszone i to one powoduje te %.

Udostępnij ten post


Link to postu
Udostępnij na innych stronach
Gość Spoofy

Bo do UDP musisz mieć layer 7 aka. anti ddos game - jeżeli to jest gra ;)

Warto pobawić się też mitigation_time - który sam sobie ustawiasz + dodać regułki allow'ujące dane porty ;-)

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Bo do UDP musisz mieć layer 7 aka. anti ddos game - jeżeli to jest gra ;)

 

Warto pobawić się też mitigation_time - który sam sobie ustawiasz + dodać regułki allow'ujące dane porty ;-)

 

To nie jest gra i bardziej ataki L4 są widziane, niż L7.

 

zYFXmet.jpg

Wątpię, że moge sam ustawić czas mitigacji, gdyż ustawiłbym 5 - 10 sekund, a tam jest liczony w minutach.

Edytowano przez SchErk (zobacz historię edycji)

Udostępnij ten post


Link to postu
Udostępnij na innych stronach
Gość Spoofy

 

To nie jest gra i bardziej ataki L4 są widziane, niż L7.

 

zYFXmet.jpg

Wątpię, że moge sam ustawić czas mitigacji, gdyż ustawiłbym 5 - 10 sekund, a tam jest liczony w minutach.

 

To jest zależne jeszcze od tego czy cokolwiek masz na tej maszynie - np. skaczący cpu, ram etc. i co konkretnie dochodzi do Twojej maszyny. automitigation timeout ustaw na 0 (minut -,-) i będzie mieć to samo co chcesz osiągnąć. Dodatkowo pobaw się w regułkach odnośnie udp na ichnim fw. Warto żebyś zrobił też tcpdump'em zrzut pakietów żeby dokładnie określić co tam leci i ew. podesłał do OVH ;)

Edytowano przez Spoofy (zobacz historię edycji)

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

 

To jest zależne jeszcze od tego czy cokolwiek masz na tej maszynie - np. skaczący cpu, ram etc. i co konkretnie dochodzi do Twojej maszyny. automitigation timeout ustaw na 0 (minut -,-) i będzie mieć to samo co chcesz osiągnąć. Dodatkowo pobaw się w regułkach odnośnie udp na ichnim fw. Warto żebyś zrobił też tcpdump'em zrzut pakietów żeby dokładnie określić co tam leci i ew. podesłał do OVH ;)

 

W tym przypadku ustawienie "0" jest rozumiane przez ovh jako permanentna mitigacja ataku.

 

Przy ustawieniu tego TimeOuta i ataku, który był wczoraj tryb filtracji "wymuszony" jest właczony ponad 10 godzin...

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Byłem w SYS. Nawet zwykła ochrona dawała radę jedynie musiałem się skontaktować z supportem by uaktywnili profil TS3 dla maszyny. Polecam zostać w OVH zwłaszcza z TSem.

Udostępnij ten post


Link to postu
Udostępnij na innych stronach
Gość Spoofy

@ref

 

Zainstalowany teamspeak aby bardziej pokazać o co mi biega.

 

IP : 167.114.251.250

http://screenshot.sh/owjRILSSR572o

http://screenshot.sh/ouVluAHEZC2Ek

 

 

Po ataku = 2/4 % out.

 

 

Przecież wyraźnie powiedziałem wyżej że jeżeli to jest "gra" to do tego służy anty ddos game aka. layer 7 - TeamSpeak to też "gra" na UDP -,-

 

I istotnie - pewno masz to wszystko źle skonfigurowane bo nie kumasz jak to działa :)

 

Czy wiesz w co uderza ten atak? Leci po UDP czy TCP, a może (o zgrozo) ICMP, hmm? Na jaki port? Co loguje maszyna? Jak wyglądają statystki po stronie OVH?

 

P.S. Ja przez jakieś 5 lat hostowałem TeamSpeak'a na anty DDoS Pro i bez najmniejszych problemów wskakiwał mi na "forced" mode bez uszczerbku po stronie komunikacji TeamSpeak'a.

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Na bank jest coś spieprzone w firewallu. Fakt faktem - OVH notuje spadki na TSie od części operatorów ale nie tego pokroju. Kontaktowałeś się z nimi?

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Nie rozumiesz, że zainstalowałem teamspeak aby ukazać problem?

Napisałem, ale zobaczymy co odpiszą.

 

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

 

Przecież wyraźnie powiedziałem wyżej że jeżeli to jest "gra" to do tego służy anty ddos game aka. layer 7 - TeamSpeak to też "gra" na UDP -,-

 

I istotnie - pewno masz to wszystko źle skonfigurowane bo nie kumasz jak to działa :)

 

Czy wiesz w co uderza ten atak? Leci po UDP czy TCP, a może (o zgrozo) ICMP, hmm? Na jaki port? Co loguje maszyna? Jak wyglądają statystki po stronie OVH?

 

P.S. Ja przez jakieś 5 lat hostowałem TeamSpeak'a na anty DDoS Pro i bez najmniejszych problemów wskakiwał mi na "forced" mode bez uszczerbku po stronie komunikacji TeamSpeak'a.

Więc tak... OVH nie odpisze ze względu na święta lub unika odpowiedzi.

Atak około 1 GBPS

Atak typu SSYN / DNS oraz NTP

ICMP było wyłaczone, ale to nie daje rezultatu dot. pakietów out na maszynie.

 

Właśnie możliwe, że jest to jakiś problem w ich infrastrukutrze.

 

Jeżeli ktos potrzebuje zobaczyć to na żywo to zapraszam na ip powyżej.

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Nawet jeżeli nie odpisuje polski support to reaguje Francja. Najlepiej pisać w "Zgłoś awarię" a jeżeli na VPSie trzymasz jakąś krytyczną aplikacje to do nich dzwonić (jeżeli Francja - angielski komunikatywny, nie zawsze idzie coponiektórych zrozumieć np. mr. Mehdi).

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Bądź aktywny! Zaloguj się lub utwórz konto

Tylko zarejestrowani użytkownicy mogą komentować zawartość tej strony

Utwórz konto

Zarejestruj nowe konto, to proste!

Zarejestruj nowe konto

Zaloguj się

Posiadasz własne konto? Użyj go!

Zaloguj się


×