OVH Anty-DDOS PRO

[SchErk 16]

Witam,

 

Posiadam usługę z dostępem do Anty-DDOS PRO oraz konfiguracja regułek.

Mój serwery ustawiony jest na "Filtrorwanie Stałe" oraz właczony firewall.

 

Jeżeli ktoś atakuje moją infrastrukturę to mam problem, gdyż przełącza się firewall na tryb "wymuszony" i przez niego tracę 20-50% pakietów UDP.

 

Może wiecie co na to poradzić?

[Pan Kot 1535]

Nie, nie przez niego - tracisz przez DDoS, który właśnie leci w twój serwer.

 

Możesz zmienić firmę, wtedy serwer zamiast posiadania 20% packet lossów będzie leżał zupełnie .

[SchErk 16]

Nie, nie przez niego - tracisz przez DDoS, który właśnie leci w twój serwer.

 

Możesz zmienić firmę, wtedy serwer zamiast posiadania 20% packet lossów będzie leżał zupełnie .

 

Nie o to chodzi.../

 

Może nie czytelnie pisze.

 

Podczas włączenia stałego filtrowania oraz skonfigurowaniu regułek dot. jest git.

Atak zostaje z maszyny wycięty w kilka chwil, ale firewall przełącza się w tryb "wymuszony", który powoduje pakiety OUT.

 

Powiem jaśniej..

 

Atak wycięty jest w 5-10 sekund, ale tcpdump pokazuje jedynie moje ip dot. połączenia z serwerem.

Kiedy atak dotrze włącza się filtorwanie wymuszone i to one powoduje te %.

[Gość Spoofy]

Bo do UDP musisz mieć layer 7 aka. anti ddos game - jeżeli to jest gra

Warto pobawić się też mitigation_time - który sam sobie ustawiasz + dodać regułki allow'ujące dane porty ;-)

[SchErk 16]

Bo do UDP musisz mieć layer 7 aka. anti ddos game - jeżeli to jest gra

 

Warto pobawić się też mitigation_time - który sam sobie ustawiasz + dodać regułki allow'ujące dane porty ;-)

 

To nie jest gra i bardziej ataki L4 są widziane, niż L7.

 

Wątpię, że moge sam ustawić czas mitigacji, gdyż ustawiłbym 5 - 10 sekund, a tam jest liczony w minutach.

Edytowano Marzec 24, 2016 przez SchErk (zobacz historię edycji)

[Gość Spoofy]

 

To nie jest gra i bardziej ataki L4 są widziane, niż L7.

 

Wątpię, że moge sam ustawić czas mitigacji, gdyż ustawiłbym 5 - 10 sekund, a tam jest liczony w minutach.

 

To jest zależne jeszcze od tego czy cokolwiek masz na tej maszynie - np. skaczący cpu, ram etc. i co konkretnie dochodzi do Twojej maszyny. automitigation timeout ustaw na 0 (minut -,-) i będzie mieć to samo co chcesz osiągnąć. Dodatkowo pobaw się w regułkach odnośnie udp na ichnim fw. Warto żebyś zrobił też tcpdump'em zrzut pakietów żeby dokładnie określić co tam leci i ew. podesłał do OVH

Edytowano Marzec 25, 2016 przez Spoofy (zobacz historię edycji)

[SchErk 16]

 

To jest zależne jeszcze od tego czy cokolwiek masz na tej maszynie - np. skaczący cpu, ram etc. i co konkretnie dochodzi do Twojej maszyny. automitigation timeout ustaw na 0 (minut -,-) i będzie mieć to samo co chcesz osiągnąć. Dodatkowo pobaw się w regułkach odnośnie udp na ichnim fw. Warto żebyś zrobił też tcpdump'em zrzut pakietów żeby dokładnie określić co tam leci i ew. podesłał do OVH

 

W tym przypadku ustawienie "0" jest rozumiane przez ovh jako permanentna mitigacja ataku.

 

Przy ustawieniu tego TimeOuta i ataku, który był wczoraj tryb filtracji "wymuszony" jest właczony ponad 10 godzin...

[SchErk 16]

@ref

 

Zainstalowany teamspeak aby bardziej pokazać o co mi biega.

 

IP : 167.114.251.250

http://screenshot.sh/owjRILSSR572o

http://screenshot.sh/ouVluAHEZC2Ek

 

 

Po ataku = 2/4 % out.

 

 

Szanowni Państwo,


Obecnie system monitoringu nie odnotowuje ataku dla adresu IP 167.114.251.250.

 

[Rolej 58]

Byłem w SYS. Nawet zwykła ochrona dawała radę jedynie musiałem się skontaktować z supportem by uaktywnili profil TS3 dla maszyny. Polecam zostać w OVH zwłaszcza z TSem.

[Gość Spoofy]

@ref

 

Zainstalowany teamspeak aby bardziej pokazać o co mi biega.

 

IP : 167.114.251.250

http://screenshot.sh/owjRILSSR572o

http://screenshot.sh/ouVluAHEZC2Ek

 

 

Po ataku = 2/4 % out.

 

 

Przecież wyraźnie powiedziałem wyżej że jeżeli to jest "gra" to do tego służy anty ddos game aka. layer 7 - TeamSpeak to też "gra" na UDP -,-

 

I istotnie - pewno masz to wszystko źle skonfigurowane bo nie kumasz jak to działa

 

Czy wiesz w co uderza ten atak? Leci po UDP czy TCP, a może (o zgrozo) ICMP, hmm? Na jaki port? Co loguje maszyna? Jak wyglądają statystki po stronie OVH?

 

P.S. Ja przez jakieś 5 lat hostowałem TeamSpeak'a na anty DDoS Pro i bez najmniejszych problemów wskakiwał mi na "forced" mode bez uszczerbku po stronie komunikacji TeamSpeak'a.

[Rolej 58]

Na bank jest coś spieprzone w firewallu. Fakt faktem - OVH notuje spadki na TSie od części operatorów ale nie tego pokroju. Kontaktowałeś się z nimi?

[SchErk 16]

Nie rozumiesz, że zainstalowałem teamspeak aby ukazać problem?

Napisałem, ale zobaczymy co odpiszą.

 

[SchErk 16]

 

Przecież wyraźnie powiedziałem wyżej że jeżeli to jest "gra" to do tego służy anty ddos game aka. layer 7 - TeamSpeak to też "gra" na UDP -,-

 

I istotnie - pewno masz to wszystko źle skonfigurowane bo nie kumasz jak to działa

 

Czy wiesz w co uderza ten atak? Leci po UDP czy TCP, a może (o zgrozo) ICMP, hmm? Na jaki port? Co loguje maszyna? Jak wyglądają statystki po stronie OVH?

 

P.S. Ja przez jakieś 5 lat hostowałem TeamSpeak'a na anty DDoS Pro i bez najmniejszych problemów wskakiwał mi na "forced" mode bez uszczerbku po stronie komunikacji TeamSpeak'a.

Więc tak... OVH nie odpisze ze względu na święta lub unika odpowiedzi.

Atak około 1 GBPS

Atak typu SSYN / DNS oraz NTP

ICMP było wyłaczone, ale to nie daje rezultatu dot. pakietów out na maszynie.

 

Właśnie możliwe, że jest to jakiś problem w ich infrastrukutrze.

 

Jeżeli ktos potrzebuje zobaczyć to na żywo to zapraszam na ip powyżej.

[Rolej 58]

Nawet jeżeli nie odpisuje polski support to reaguje Francja. Najlepiej pisać w "Zgłoś awarię" a jeżeli na VPSie trzymasz jakąś krytyczną aplikacje to do nich dzwonić (jeżeli Francja - angielski komunikatywny, nie zawsze idzie coponiektórych zrozumieć np. mr. Mehdi).