» »

Popolna zaščita strežnika pred napadi

Popolna zaščita strežnika pred napadi

NLight ::

Zdravo, po prebiranju zadnjih novic o DDoS napadu na GitHub mi je na misel prišlo eno vprašanje...

Ali lahko strežnik / spletno stran popolnoma zavarujemo pred napadi? Tako, da tudi velikani kot so Kitajska (oblast), ki ima na voljo ogromno sredstev za napade, ne more sesuti strežnika? In kako...

Unknown_001 ::

Kondom na mrežni kabel :)


Garantirano deluje :D>:D

Drugače pa disconnect, druge ni, kdor se bo zagrebel vdreti mu bo že nekako uspelo. Nobena zaščita ni nezlomljiva. Fizični odklop v je pa itak najbolj zihr, ampak tudi 1000% nepraktičen način za ta namen.
Wie nennt man einen Moderator mit der Hälfte des Gehirnis ?

Begabt

Zgodovina sprememb…

darkz ::

NE! :)
|ryzen 3900x|, |2x8 ddr4 3600|, |x470-f rog|
|970pro 512|, |5700 xt|, |nzxt x52|, |omen 32|

GTX970 ::

Proti DDoS napadom se zavaruješ tako, da imaš večjo pipico kot napadalci.

BadB0y ::

GTX970 je izjavil:

Proti DDoS napadom se zavaruješ tako, da imaš večjo pipico kot napadalci.


In kako boš imel večjo pipico kot npr par 1000-10000 računalnikov v botnetu ?


...:TOMI:... ::

Tako, da nimaš centralnega streznika ampak imas P2P, tako kot napadalci. Takrat ti nic ne morejo.
Tomi

GTX970 ::

BadB0y je izjavil:

GTX970 je izjavil:

Proti DDoS napadom se zavaruješ tako, da imaš večjo pipico kot napadalci.


In kako boš imel večjo pipico kot npr par 1000-10000 računalnikov v botnetu ?

Da bolj odpreš denarnico.Kako misliš tao ddos napade na svojo stran rešuje MS ?

bte, lani 02/03 so Slovenci uspešno ddosali strani Gursa :D.

pegasus ::

A tko kot je ddosan arso vsakič k se nekje mal zemlja rukne? ;)

GTX970 ::

Razlika je samo v tem, da v ozadju ne gre za omrežje botnetov :)).

Isotropic ::

tko da maš povezanega samo na intranet

ToniT ::

Isotropic je izjavil:

tko da maš povezanega samo na intranet

To je premalo.
Potrebno ga je dati v v poseben prostor, varen pred prisluškovanji in na poseben vir elektrike, ločen od ostalega omrežja in ga ugasniti.

Zgodovina sprememb…

  • spremenil: ToniT ()

AnotherMe ::

Ce bi obstajalo nekaj kot je popolna varnost, bi v avtu lahko namesto airbaga imeli montirano zelezno spico obrnjeno proti tvoji glavi!
Popolnoma ga ne mores zascitit - glede na to da sploh sprasujes, priporocam gostovanje pri resni firmi, pa naj se oni trudijo varovat tvoje podatke. Ti pac upas, da jim bo uspelo:)
Ce pa sprasujes z namenom da bi se kaj naucil, je pa to seveda nekaj popolnoma drugega in popolnoma podpiram tvoje zanimanje!

N4m31355 ::

Cisto blank ideja..
Obstaja kak algoritem, ki preverja use requeste, in ce se 3x v 100ms povezes blokira IP za 14 dni? naceloma tudi ce ma attacker 100k bootnet, je to se vedno le 300k requestov.. (ne ponavljajoce)? res pa je da nevem kako bi to delovalo v primeru spoofanja maca ko se za dosanje uporablja dns serverje..

terryww ::

Sicer pa tudi mene zanima kako si github inžinerji z +100k plače privoščijo načrtovat arhitekturo, kjer lahko en sub site potegne dol celo firmo.
Pri ddos napadu ti načenjajo vse razpoložljive vire (od mreže do cpuja) in ker vsako programje v tako stresnem okolju ne preživi oz. ni pravilno konfigurirano (e.g. apache spawna nove threade za vsak novo povezavo -> zmanjka rama -> segfault -> kernel ubije apache). Imet kvoto za en route/url je začetek. Ampak zdaj se ti vsi nodi v klastru ukvarjajo s preverjanjem in handlanjem kvote za ta route. Mogoče bi bila rešitev, da se samo en node ukvarja z enim projektom, en node za hot backup in v dockerju, da skaliraš, če je res potrebno. Mogoče bi bilo pametneje rešit problem še preden pride request do app stacka/klastra... Mogoče bi AndrejO, ki ščiti google ravno pred takimi zadevami, znal kaj več o tem povedat.
It is the night. My body's weak.
I'm on the run. No time to sleep.

Senitel ::

N4m31355 je izjavil:

Cisto blank ideja..
Obstaja kak algoritem, ki preverja use requeste, in ce se 3x v 100ms povezes blokira IP za 14 dni? naceloma tudi ce ma attacker 100k bootnet, je to se vedno le 300k requestov.. (ne ponavljajoce)? res pa je da nevem kako bi to delovalo v primeru spoofanja maca ko se za dosanje uporablja dns serverje..

Stuff mora še vedno prit do tebe, da ga lahko blokiraš. Pipco do tebe lahko še zmer zabijejo s tem. Lahko zabijejo tudi pipco do tvojega ISP-ja.
In ne spoofa se mac naslovov ampak kar IP. Internet dela na IP-jih ne na mac-ih. :)

misek ::

N4m31355 je izjavil:


Obstaja kak algoritem, ki preverja use requeste, in ce se 3x v 100ms povezes blokira IP za 14 dni?
Seveda to obstaja. In se tudi uporablja. Ampak za zaščito, da nekdo ne poskuša uganiti geslo. V primeru napada je pa težava ta, da je linija popolnoma zasedena in niti legalni uporabniki nimajo več dostopa.

stara mama ::

Tud odklop kabla ne pomaga če si te nekdo želi ker si dosti pomemben :)
Recimo stuxnet ...

ezikielrage ::

Stormfront je ena najbolje zaščitenih strani kar jih poznam. Glede na finančne zmogljivosti njihovi naravnih sovražnikov...

Matthai ::

N4m31355 je izjavil:

Cisto blank ideja..
Obstaja kak algoritem, ki preverja use requeste, in ce se 3x v 100ms povezes blokira IP za 14 dni? naceloma tudi ce ma attacker 100k bootnet, je to se vedno le 300k requestov.. (ne ponavljajoce)? res pa je da nevem kako bi to delovalo v primeru spoofanja maca ko se za dosanje uporablja dns serverje..

Ja, to obstaja. fail2ban se imenuje ena aplikacija, ki dela točno to.

Ampak problem je drugje. Če boš na tak način blokiral web requeste, si boš sam odrezal uporabnike, ki prihajajo iz nekega proxya. Razne velike firme, vsi, ki uporabljajo caching, državne uprave.

Zadeve je treba reševati ali z večjo pipico, ali pa- še bolje - s policerji na routerjih.
All those moments will be lost in time, like tears in rain...
Time to die.

Cervantes ::

Postaviš spletno stran na Amisovih serverjih 8-)

N4m31355 ::

Navadni uporabnik naj nebi poslal 2 requesta v &less 100ms?
ali pac?

Torej ce se nekdo spravi te ugasne ne glede kaj? (napad na spamhouse 600Gb/s)

Izak ::

Samo kot zanimivost: Digital Attack Map. Poglejte za nekaj dni nazaj. :O

aerie ::

Očitno so hekerji bogaboječa bitja ali pa gre le za slučajnost.

Lonsarg ::

V bistvu obstaja rešitev za tele DDoS napade in sicer sistemska. Napad je uspešen, ker končno stično točko preobremeni, rešitev je torej da se naredi vmesne stične točke, ki imajo informacije o tem, koliko prometa iz katere regije v katero regijo je maksimum. Recimo do Githuba lahko najdemo na prste ene roke prešteti glavne stične točke wholesale ponudnikm worldwide povezav. Če bi Github sporočil tem stičnim točkam, koliko prometa dovoli per region bi avtomatika zrihtala vse.

In to avtomatiko bi se dal komot v protokol kot je BGP dodati, brez da se nov protokol rihta. Vsi večji ponudniki kot je github bi nato preprosto svoj BGP lavfali.

c3p0 ::

N4m31355 je izjavil:

Navadni uporabnik naj nebi poslal 2 requesta v &less 100ms?
ali pac?


Ne bo tako preprosto. Da naložiš eno stran, je ponavadi kar nekaj requestov, tudi po par 100 v zelo kratkem času, slikice, skripte, css...

pegasus ::

Lonsarg je izjavil:

Vsi večji ponudniki kot je github bi nato preprosto svoj BGP lavfali.
Že slišim krike navdušenja med network admini :D
BGP ima dovolj svojih problemov že sedaj, folk se že krega ali je BGPsec taprava rešitev zanje ... Ne rabi še en spisek ljudi, ki ne vedo nič o njem, da ga začnejo uporabljat ...

Bergi ::

sajko ::

*me je Bergi prehitel

Zgodovina sprememb…

  • spremenilo: sajko ()

M.B. ::

Proti DDOSu lahko zmagaš edino če imaš večjo pipco kot napadalec. Če je napadalec kitajska maš majhen problem.

The number of requests peaked out at 52 Mbps. Let's put that number in perspective: Daring Fireball is notorious for taking down sites by sending them about 500 Kbps of traffic. What we had just experienced was roughly the equivalent of 100 fireballs.
If each of those requests were 500 bytes, that's 13,000 requests per second. *That's about a third of Google's global search traffic.* Look at how much careful planning went into handling Kim Kardashian's butt at 8,000 requests per second.

Citat opisa januarskega kitajskega DDOSa ko so kitajci "po pomoti" zamenjali DNSje torrent trackerjev za naključnimi IPji posledice so DDOS na announce URLje na strežnikih, ki seveda ne obstajajo.
Cisco firewall je poklekno ponekod:
We were the lucky targets of China's DNS poisoning on Monday the 19th. Any requests from clients in China to Edgecast's CDN was instead thrown at our public IP. After deducing what was going on, we ended up blacklisting large (class A in some cases) APNIC address blocks assigned to China.
Interestingly, it wasn't our webservers that were overwhelmed but instead the Cisco firewall that sits in front of them. 25K concurrent connections made it decidedly unhappy.

In redkokdo prenese naenkrat 1 Gbit/s.

Zakaj blokada kitajskih IPjev ne reši zadeve:
Even with packet filtering in place, I still feel vulnerable. Why?
I'm not sure the blocks will withstand another 52 Mbps flood. Remember that up to 65,535 filter rules can be matched by code in the kernel. Your ability to block packets is only as good as the CPU that's running that code. When I hear that dedicated Cisco firewall hardware is failing, it give me no confidence that my box with 6,500 rules getting 13,000 packets per second will be able to keep up. A back of the envelope calculation shows 84.5 million comparisons per second is needed (or one every 11 nanoseconds.)
For this same reason, don't assume that any routers or load balancing schemes upstream from your server will be able to keep up with China. There's no guarantee that your hosting provider will be able to protect your servers or VM instances at rates like we experienced last week.
Still don't believe me? Look at the first comment on this post at the Internet Storm Center:
I had the same problem starting last Friday, the 2nd. Took out a full load balanced cluster of servers.



Glede na nove raziskave švedov in ostalih bi naj menjavanje javascripta prišlo nekje iz Kitajskega Ubicoma kjer je veliki požarni zid.
Everyone started out as a newbie.
Sadly only a handful ever progress past that point.

SeMiNeSanja ::

Ena luštna zadeva, ki kahko malo pomaga je tudi Cloudflare.
Še najbolj pa pomaga, da ne gostiš vsebin zaradi katerih bi lahko postal tarča takih napadov.

Seveda obstajajo tudi algoritmi, programi, požarne pregrade, ki te poknejo na črno listo, če si preveč zaporednih requestov ustvaril. Vendar blokiranje za 14 dni je popolnoma nerealno. Če je samo polovica tistih 'napadalcev' na dinamičnih IP naslovih, bi samo ta block lista ubila firewall ali router.
Jaz uporabljam 20 minutno blokado za 'kršitelje', pa jih imam brez DDOS-ov stalno po 20-50 na spisku. Kako bi izgledalo ob DDOS-u, pa si ne znam predstavljat.

M.B. ::

Cloudflare verjetno že pomaga ampak cena je pa verjetno taka da te na rit vrže. Glede na to da je nimajo niti na strani napisano.
Everyone started out as a newbie.
Sadly only a handful ever progress past that point.

SeMiNeSanja ::

Kdo pravi da nimajo napisano? Bo treba špegle nabaviti?

dronyx ::

Ali za DDoS napade ne obstaja kakšna inteligentna zaščita pred strežnikom, ki bi blokirala zahtevke za katere ugotovi, da so del napada?

Matthai ::

Ne, ker tega ni mogoče ravno enostavno ugotoviti. Sploh če napadalec uporablja kakšen spoofing.
All those moments will be lost in time, like tears in rain...
Time to die.

SeMiNeSanja ::

Inteligentnih zadev obstaja cel kup, vendar te zgolj lahko zaščitijo tvoj strežnik pred preobremenitvijo, ne morejo pa zaščititi tvojo linijo do ponudnika.

Ko ti enkrat 'zabašejo' linijo, ti nič ne pomaga, če droppaš vse pakete in tvoj server lokalno še vedno krasno dela, če pa je nedostopen iz interneta.
V primeru kakšnega zares hudega napada pa se lahko v težavah znajde tudi marsikateri ISP.

Rešitve kot npr. Cloudflare pa dejansko tvoj strežnik 'virtualizirajo', tako da uporabniki na različnih koncih sveta v bistvu gledajo keširane strani, ki jih ti ponudniki servirajo preko geografsko razpršenih IP naslovov. Tako zgolj manjši del napada dejansko doseže tvoj strežnik.
Zadeva precej pomaga tudi da ne postaneš kolateralna žrtev, ko napadajo neko drugo web stran, ki se jo gostuje na istem strežniku kot tvoje strani - ko strežnik zaradi napada ne bo več dosegljiv, bodo tvoje strani še vedno na voljo preko Cloudflare 'oblaka'.

Sam se že kar nekaj časa pripravljam, da bi si uštimal tisto brezplačno Cloudflare varianto. Samo vrag, ko vedno nekje zmanjka tistih 'par minut', da bi zadevo poštimal.


Vredno ogleda ...

TemaSporočilaOglediZadnje sporočilo
TemaSporočilaOglediZadnje sporočilo
»

Domenca gostovanje

Oddelek: Izdelava spletišč
171425 (911) c3p0
»

Brian Krebs žrtev največjega napada DDoS v zgodovini

Oddelek: Novice / Varnost
245839 (2418) OK.d
»

DDos-anje

Oddelek: Informacijska varnost
171577 (1350) DeeCoy
»

Potek operacije Povračilo (strani: 1 2 )

Oddelek: Novice / Omrežja / internet
8315896 (12677) Jupito

Več podobnih tem