Atak DoS na serwer www (Apache2)

Zombie
NoName_1000
NoName_1000

Więc zacznę od początku, chciałem połączyć się ze swoją stronę internetową. Widzę że serwer nie odpowiada więc zrestartowałem serwer i strona działała przez minutę a potem znów serwer nie odpowiadał. Zalogowałem się do panelu v2 lvlup żadnych ataków tam nie widzę ale po uruchomieniu polecenia iftop widziałem że ktoś generował duży ruch. Dopiero po zablokowaniu adresu IP używając notacji CIDR (24) serwer www działał poprawne.

Więc dlaczego ochrona anty DDoS w wersji Game nie wykryła i nie zablokowała ataku DoS? Bo jeżeli anty ddos nie radzi sobie z małymi atakami to gorzej będzie z większymi atakami. A planuję otworzenie serwera mc, serwer mc musi mieć też jakieś zabezpieczenie przeciwko ataką DDoS czy DoS.

PS: Adresy IP atakujących (jestem zdania że dane przestępców powinno się nagłaśniać):

Atak #1: 54.174.55.129 Atak #2: 54.174.55.0/24

DBanaszewski
DBanaszewski α-tester v3

Anti DDoS GAME chroni aplikacje, które wykorzystują protokół UDP (np. serwery gier tj. CS:GO).

HTTP/S działa na TCP, więc tutaj ochrona GAME nie pomoże, bo po prostu to tak nie działa.

Timo
Timo Moderator forum.lvlup.pro

Konfiguracja zabezpieczeń należy do Twoich obowiązków - Ty chronisz swój serwer. Hosting, czy serwerownia, zapewnia jedynie narzędzia.

Co do samych technik ochrony nie będę się wypowiadał, bo nie znam się aż na tyle, ale wiedz, że samo postawienie serwera na VPS z ochroną anty-ddos nie uchroni cię przed atakami. Masz zresztą wiele poradników, tutaj na forum, jak odpowiednio wszystko skonfigurować.

A jeśli chodzi ci o filtrowanie UDP, to też musisz je skonfigurować i uwaga, działa to tylko na UDP, a nie TCP :thinking:

NoName_1000
NoName_1000

Dziękuję za pomoc :)

Nieznajomy11
Nieznajomy11 Moderator forum.lvlup.pro

Mam wrażenie, że niektórzy trochę nie potrafią zrozumieć pewnych rzeczy i myślą, że halo przecież ja mam x i to wiadomo, że już robi za mnie y. Tak samo, jak sam fakt użycia CloudFlare nie powoduje, że nasza strona magicznie odpiera każdy atak. CloudFlare daje narzędzia, które pozwalają wyciąć atak przed naszym serwerem i zrobić inne magie. Coś, na co nasz mały serwerek nie ma mocy.

Tak samo, zazwyczaj głównym zadaniem ochrony antyddos na poziomie dostawcy jest odpieranie lub niwelowanie ataków wolumetrycznych, czyli głównie pakowania ile się da w serwer i niech zdycha, których nie jest w stanie odeprzeć sam usługobiorca, używając reguł programowych na swoim serwerze. To my powinniśmy znać nasze aplikacje, to my powinniśmy być w stanie stworzyć reguły dla nas. Nie można stworzyć tak czułej ochrony dla każdego na zwykłą większą ilość zapytań do serwera WWW.

Jeśli by nawet próbować, to już lepiej chyba wyciąć cały ruch zewnętrzny, zero problemów. My jesteśmy w stanie odróżnić po swojej stronie ruch w postaci floodu na serwer www, bo znamy jego zastosowanie, ale w przypadku innych dokładnie tak samo wyglądający ruch, może być normalnym ruchem do rest api. Przypominam, że przy użyciu HTTPS w sieci nie będą latać adresy stron i inne dane, więc tworzenie firewalla do takich zadań nie jest realne. To nie jest zadanie dla tych systemów, po prostu.

Jeszcze jakby ktoś powiedział, że przecież strona w ogóle nie działała, to jak to może być normalny ruch. To, że apache2 nie radzi sobie z takim ruchem, to tylko kwestia tego, że to pewnie zwykłe apache2, które hostuje jakieś antyczne softy w php, czy inne niezoptymalizowane do dużego ruchu rzeczy, które generują mase procesów. Odpowiedni load balancing i oprogramowanie (nginx, golang) i można przyjmować naprawdę duży ruch. Wszystko zależy jeszcze od tego, co nasze oprogramowanie robi. Jeśli jest to ciężkie forum wykonujące dziesiątki zapytań do bazy, to się nie dziwię, że wszystko zdycha. Szczególnie jeśli to php lub dowolne inne rozwiązanie otwierające proces na zapytanie HTTP do serwera.

Aylin
Aylin ex-admin forum.lvlup.pro

NoName_1000:

dlaczego ochrona anty DDoS w wersji Game nie wykryła i nie zablokowała ataku DoS

Bo w samej nazwie ma już co to robi - pomaga w ochronie odnośnie ataków typu DDoS. I nie, dodanie portu 80 czy 443 do whitelisty nie pomoże. Tak jak pisał @DBanaszewski - wszystko to leci po TCP.

Ataki typu DoS można próbować wyciąć przy użyciu iptables, a jako że ludzie najczęściej używają do atakowania jakiś automatów z Rosji/Kongo/Honolulu to można też jakieś zbędne azjatyckie i afrykańskie kraje oddelegować do przysłowiowego /dev/null.

Stronę można próbować też "ukryć" za Cloudflare, z tego co wiem to ich darmowe opcje wystarczają.

No, tyle ode mnie :>

system
system

Ten temat został automatycznie zamknięty 32 dni po ostatnim wpisie. Tworzenie nowych odpowiedzi nie jest już możliwe.