Klienci często mają wątpliwości odnośnie ataków oraz możliwych metod ochrony przed nimi. Opiszę podstawy w dużym skrócie aby łatwo zrozumieć i podjąć niezbędne decyzje.
Terminy
Usługa
np. serwer www, gier czy głosowy
Zasoby
np. CPU, RAM, łącze internetowe
Rodzaje ataków
Wolumetryczne
Ataki te mają na celu wyczerpać dostępne zasoby i spowodować niedostępność usługi.
Przykład w życiu codziennym to płacenie monetami 1gr za przejazd na autostradzie przez wiele osób - kolejka gwarantowana. Ta kolejka to lagi lub przycięcia na twoim serwerze.
DoS
Proste ale zwykle skuteczne - ciągłe wysyłanie dużej ilości informacji do przetworzenia dla serwera. W pewnym momencie zasoby serwera mogą się skończyć co może skutkować spowolnieniem w działaniu usługi lub całkowitym brakiem odpowiedzi.
W praktyce zazwyczaj jest to jedna osoba która używa swojego komputera lub VPS'a oraz gotowych skryptów zalewająca żądaniami inny serwer.
Zazwyczaj odpowiednia konfiguracja iptables wystarcza aby odeprzeć taki atak. Przykładowo można zablokować adres IP powodujący takie ataki lub zastosować limit żądań na sekundę.
Należy też rozważyć zmianę konfiguracji aplikacji która jest ofiarą tak aby przyjmowała tylko określoną liczbę połączeń na sekundę. Dla serwerów MC przy użyciu spigot można to zrobić za pomocą klucza connection-throttle
w pliku konfiguracyjnym.
DDoS
Najczęściej spotykany dziś rodzaj ataku.
Atakujący zazwyczaj korzysta z serwisu tzw. stressera gdzie bezpłatnie lub za niewielką opłatą można uruchomić atak DoS (opisany wyżej) lecz z dużej ilości serwerów jednocześnie. Serwery te to zazwyczaj zwykłe komputery przeciętnych osób które zostały zarażone złośliwym oprogramowaniem i wykonuje polecenia np. ataki przestępców którzy są właścicielami tzw. botnetu czyli sieci zarażonych złośliwym oprogramowaniem urządzeń.
Atak jest banalnie prosty do przeprowadzenia, niestety obrona przed nim już nie.
Ilość ruchu jest tu tak duża, że port sieciowy serwera dedykowanego nie jest technicznie w stanie obsłużyć takiej ilości. Coś jak gaszenie pragnienia cysterną lub liczenie sezamu na bułkach od hamburgerów.
Reguły w iptables czy konfiguracja naszej usługi zazwyczaj już tu nie pomoże gdyż atak musi być wycięty jak najbliżej źródła czyli najczęściej po stronie dostawcy serwerów dedykowanych np. OVH, Hetzner czy SDC. Każdy dostawca serwerów dedykowanych ma swoje sposoby reakcji na takie ataki i to od tego zależy czy nasza usługa podczas takiego ataku będzie dostępna.
Lista pakietów usług w lvlup.pro i opisy zabezpieczeń
Lokalizacja PL - SDC
Serwerownia SDC nie jest już obecnie w użyciu przez lvlup.pro
Blackholing https://www.sprintdatacenter.pl/antiddos Zazwyczaj serwerownia przestaje rozgłaszać atakowany adres IP na kilka minut dzięki czemu nie napływają "złe" pakiety, niestety te "dobre" pakiety też nie docierają co skutkuje niedostępnością usługi. Chroni usługę przed przeciążeniem lecz niestety przez ten czas usługa jest niedostępna.
Lokalizacja EU - podstawowa ochrona OVH
OVH ma swoje własne metody filtrowania ruchu. W momencie gdy zostaną wykryte anomalie w ruchu internetowym dla danego adresu IP, adres ten zostaje przełączony na inną infrastrukturę sieciową do czasu ustąpienia ataku https://www.ovh.pl/anti-ddos/
Ta infrastruktura posiada bardzo zaawansowane i autorskie mechanizmy które w czasie rzeczywistym usuwają niepożądane pakiety i po takim czyszczeniu wędrują one do naszej usługi.
Skuteczność jest różna, dużo zależy od rodzaju ataku, jest jednak bardziej skuteczna od blackholingu w SDC. Powinno to wystarczyć dla większości użytkowników. Zabezpieczenie to jest używane dla serwerów Minecraft z tej oferty: https://lvlup.pro/oferta/hosting-minecraft/ oraz dla VPS OpenVZ: https://lvlup.pro/oferta/vps/
Przy testach ataku z usług typu booter/stresser gdzie wolumen to ~5Gbps, serwer traci kilka pakietów ping (ok. 1-3) w chwili gdy atak się rozpoczyna, potem serwer działa poprawnie.
Lokalizacja FR - ochrona game OVH
Metoda działa tak jak podstawowa opisana wyżej lecz ma dodatkowe mechanizmy które są "świadome" serwerów gier oraz popularnych ataków. Istnieje także możliwość uaktywnienia dodatkowego zabezpieczenia w postaci whitelisty UDP, w tym celu wystarczy utworzyć zgłoszenie w panelu klienta.
https://lvlup.rok.ovh/t/whitelista-udp-na-kvm-game-pro/264
Jest to najbardziej skuteczna ochrona w ofercie lvlup.pro która jest dostępna pod nazwą KVM Game Pro https://lvlup.pro/oferta/vps-kvm-game-pro/
W praktyce z własnego doświadczenia opis jak to wygląda na przykładzie serwera głosowego TS3.
Gdy rozpocznie się atak, przez kilka sekund mogą następować dropy pakietów gdyż w tym czasie adres IP jest przełączany na inną infrastrukturę, a następnie wszystko działa poprawnie czasami nieznacznie zwiększając ping o ok.5-10ms. Po ustąpieniu ataku sieć przełącza się w normalny tryb, jeśli ping na czas ataku wzrósł to wraca on do normy.
Przy testach ataku z usług typu booter/stresser gdzie wolumen to ~5Gbps, serwer nie stracił ani jednego pakietu ping.
Atak na aplikację
Przez osoby bardziej zaawansowane
Jeśli prowadzisz duży serwer gier/głosowy np. więcej niż 200 graczy online lub większy serwis WWW to mogą się nim zainteresować się osoby o trochę większym zaawansowaniu niż korzystanie z gotowych skryptów i chęcią wyłączenia serwisu.
W przeciwieństwie do poprzednich metod które można przyrównać do siłowych, tu bardziej jest używany spryt. Wystarczy wiedza o luce w danej wersji usługi z której korzystasz oraz wysłanie kilku specjalnie przygotowanych pakietów aby wyłączyć, uszkodzić czy przejąć kontrolę nad serwerem/usługą.
Przykładowo starsze wersje serwera TS3 lub Minecraft mają błąd i mogą zużywać bardzo dużo zasobów np. 100% CPU czy użyć całego dostępnego RAMu jeśli prześle im się pakiet który źle obsługują.
Aby zabezpieczyć się przed takimi atakami należy zawsze używać najnowszych wersji oprogramowania a jeśli do naszego oprogramowania nie wychodzą już aktualizacje - zamienić je na wspierane i często aktualizowane. https://lvlup.rok.ovh/t/aktualizacja-systemu-debian-ubuntu/20
Należy też odpowiednio skonfigurować usługi np. unikać jak ognia uruchamiania spod użytkownika root!
Jeśli masz bardzo nietypowe ataki lub potrzebujesz pomocy w przywróceniu działania po ataku to będzie wymagało pracy administratora, wystarczy napisać https://lvlup.pro/panel/support/ticket Bezpłatnie przygotuję wycenę pomocy w takich sytuacjach
Boty
Często można też się spotkać z atakami botów które chcą odgadnąć hasło do root, przy takim udanym ataku nasz VPS zapewne zostanie użyty do powodowania ataków DDoS na inne serwisy. Zabezpieczenie się jest zazwyczaj bardzo proste gdyż boty nie grzeszą inteligencją. Kwestia kilku regułek w iptables oraz aplikacji blokującej https://lvlup.rok.ovh/t/jak-zabezpieczyc-vpsa-przed-wlamaniami-botow-na-ssh/96 Warto też mieć najnowsze wersje paczek systemowych https://lvlup.rok.ovh/t/aktualizacja-systemu-debian-ubuntu/20
Socjotechnika
Najgroźniejszy możliwy rodzaj ataku według mnie.
Atakujący przekonuje Cię do przekazania mu danych dostępowych np. do konta root udając znajomego lub osobę która zna się na rzeczy i Ci pomoże. W rzeczywistości pewnego dnia może zastać Cię przykra niespodzianka w postaci czystego serwera bez plików lub przeróbkami których nie chciałeś.
Jak się obronić? Przydzielać tylko takie uprawnienia które są niezbędne sprawdzonym przez nas osobom. Przykładowo osobie która zarządza serwerem TS3 przy dobrej konfiguracji nie jest potrzebny dostęp do konta root ani login i hasło do panelu klienta gdzie mamy VPSa.
Warto też zapoznać się z tym wątkiem co się stanie gdy nie zadbamy o odpowiednie zabezpieczenia https://lvlup.rok.ovh/t/nic-nie-zrobilem-a-moj-vps-naruszyl-regulamin-i-zostal-zablokowany/423
Jeśli posiadasz serwer z oferty OpenVZ dobrze jest też zobaczyć ten wątek https://lvlup.rok.ovh/t/otrzymuje-atak-ddos-na-vps-openvz/824