Skocz do zawartości
banan47

Wasze interwencje dotyczące ataków DDoS.

Polecane posty

Witam, chciałbym poznać Wasze reakcje tj. właścicieli / administratorów hostingów na temat ataków DDoS wykonywanych poprzez klientów z VPS'ów dzierżawionych w Waszych firmach. Jak interweniujecie gdy zauważycie, że któryś z klientów używa serwer ewidentnie tylko do ataków DDoS na inne hosty?

Bardzo proszę o merytoryczne wypowiedzi, jak postępujecie z takim klientem i wykupioną przez niego usługą.

 

Pozdrawiam

Edytowano przez banan47 (zobacz historię edycji)

Udostępnij ten post


Link to postu
Udostępnij na innych stronach
Gość Filip Nowacki

W większości regulaminów jest wzmianka, że jeśli klient zagraża infrastrukturze DC to firma ma prawo wypowiedzieć umowę w trybie natychmiastowym ;)

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Włączę się do dyskusji - jakieś narzędzia do automatyzacji wykrywania takiego ruchu wychodzącego?

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Ja otrzymuje maila o zwiększonym poziomie load'u matki lub zgłoszenie AntiHack od OVH, natomiast dobrze to widać po wykorzystanym transferze wirtualki, np. od czasu zakupu minęło 2h, a wirtualka użyła już 500% transferu.

Edytowano przez banan47 (zobacz historię edycji)

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

A co jeżeli potem potencjalny klient (ten od ddosow z vps) po wykonaniu ataku jest potem jego odbiorcą?

 

Jak radzicie sobie na takie sytuację?

 

Czy osoba wcześniej poszkodowana uderza w dany adres IP vps?

Zdarzają się ataki na routery brzegowe?

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Jest też druga strona medalu, klient może atakować coś nieświadomie, przez np. błędną konfigurację binda, ntp, dziury w skrypcie (Wordpress) czy czegokolwiek innego.

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Zapomnialem!

Co jeżeli wlaściciel poda dane do vps osobie trzeciej, a właściciel nie będzie wiedział o wybrykach tej osoby.

 

Co jeżeli będzie nieautoryzowane połączenie z vps?

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Zapomnialem!

Co jeżeli wlaściciel poda dane do vps osobie trzeciej, a właściciel nie będzie wiedział o wybrykach tej osoby.

 

Co jeżeli będzie nieautoryzowane połączenie z vps?

 

Tutaj IMO odpowiada w 100% właściciel, chyba że sam znajdzie i przedstawi dowody, że to zrobiła osoba trzecia, której świadomie udostępnił dane.

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

 

Tutaj IMO odpowiada w 100% właściciel, chyba że sam znajdzie i przedstawi dowody, że to zrobiła osoba trzecia, której świadomie udostępnił dane.

 

Czyli firma nie sprawdza logów z połączeń?

Dobrze wiedzieć i dziękuję za szybką odpowiedź

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

A co jeżeli potem potencjalny klient (ten od ddosow z vps) po wykonaniu ataku jest potem jego odbiorcą?

 

Jak radzicie sobie na takie sytuację?

 

Czy osoba wcześniej poszkodowana uderza w dany adres IP vps?

Zdarzają się ataki na routery brzegowe?

 

 

Zapomnialem!

Co jeżeli wlaściciel poda dane do vps osobie trzeciej, a właściciel nie będzie wiedział o wybrykach tej osoby.

 

Co jeżeli będzie nieautoryzowane połączenie z vps?

 

Typowe tłumaczenie klienta w tej sytuacji. Swoją drogą podając dane osobie trzeciej, ponosi za jej postępowanie pełną odpowiedzialność.

 

 

Jest też druga strona medalu, klient może atakować coś nieświadomie, przez np. błędną konfigurację binda, ntp, dziury w skrypcie (Wordpress) czy czegokolwiek innego.

 

W swoim pytaniu napisałem, że ewidentnie używa serwera do tych celów, dokładniej chodzi mi o komendę ping z użyciem odpowiednich parametrów.

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Naprawdę nikt więcej nie wypowie się w tej kwestii? Dziwi mnie to, ponieważ nie wierze, że nigdy nie mieliście do czynienia z taką sytuacją.

 

ale czego tutaj nie rozumiesz?

Z serwera idzie atak, sprawdza się z jakich plików/aplikacji, blokuje się zawartość częściowo lub całkowicie. Wysyła się powiadomienie do klienta w celu wyjaśnienia sprawy. Jeśli to jakiś "błąd" lub wirus to usuwa się zagrożenie i serwer działa dalej. Gdy sytuacja powtarza się kilka razy sprawa wygląda już gorzej. Na pewno za samo użycie polecenia ping w ciągu kilku sekund nie dostaniesz żadnej blokady, ale gdy będzie to szło kilka minut czy nawet godzin i nawalało ogromnymi pakietami i wysycało całe łącze to ktoś zapewne to sprawdzi i poleci za taką komendę jakaś blokada. Większość firm hostingowych stosuje swoje monitoringi, więc wychwycić takie rzeczy przy większym obciążeniu nie jest trudno.

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Bądź aktywny! Zaloguj się lub utwórz konto

Tylko zarejestrowani użytkownicy mogą komentować zawartość tej strony

Utwórz konto

Zarejestruj nowe konto, to proste!

Zarejestruj nowe konto

Zaloguj się

Posiadasz własne konto? Użyj go!

Zaloguj się


×