Forum » Pomoč in nasveti » Popolna zaščita strežnika pred napadi
Popolna zaščita strežnika pred napadi
NLight ::
Zdravo, po prebiranju zadnjih novic o DDoS napadu na GitHub mi je na misel prišlo eno vprašanje...
Ali lahko strežnik / spletno stran popolnoma zavarujemo pred napadi? Tako, da tudi velikani kot so Kitajska (oblast), ki ima na voljo ogromno sredstev za napade, ne more sesuti strežnika? In kako...
Ali lahko strežnik / spletno stran popolnoma zavarujemo pred napadi? Tako, da tudi velikani kot so Kitajska (oblast), ki ima na voljo ogromno sredstev za napade, ne more sesuti strežnika? In kako...
Unknown_001 ::
Kondom na mrežni kabel :)
Garantirano deluje
Drugače pa disconnect, druge ni, kdor se bo zagrebel vdreti mu bo že nekako uspelo. Nobena zaščita ni nezlomljiva. Fizični odklop v je pa itak najbolj zihr, ampak tudi 1000% nepraktičen način za ta namen.
Garantirano deluje
Drugače pa disconnect, druge ni, kdor se bo zagrebel vdreti mu bo že nekako uspelo. Nobena zaščita ni nezlomljiva. Fizični odklop v je pa itak najbolj zihr, ampak tudi 1000% nepraktičen način za ta namen.
Wie nennt man einen Moderator mit der Hälfte des Gehirnis ?
Begabt
Begabt
Zgodovina sprememb…
- spremenilo: Unknown_001 ()
darkz ::
NE! :)
|ryzen 3900x|, |2x8 ddr4 3600|, |x470-f rog|
|970pro 512|, |5700 xt|, |nzxt x52|, |omen 32|
|970pro 512|, |5700 xt|, |nzxt x52|, |omen 32|
BadB0y ::
Proti DDoS napadom se zavaruješ tako, da imaš večjo pipico kot napadalci.
In kako boš imel večjo pipico kot npr par 1000-10000 računalnikov v botnetu ?
...:TOMI:... ::
Tako, da nimaš centralnega streznika ampak imas P2P, tako kot napadalci. Takrat ti nic ne morejo.
Tomi
GTX970 ::
Proti DDoS napadom se zavaruješ tako, da imaš večjo pipico kot napadalci.
In kako boš imel večjo pipico kot npr par 1000-10000 računalnikov v botnetu ?
Da bolj odpreš denarnico.Kako misliš tao ddos napade na svojo stran rešuje MS ?
bte, lani 02/03 so Slovenci uspešno ddosali strani Gursa .
ToniT ::
tko da maš povezanega samo na intranet
To je premalo.
Potrebno ga je dati v v poseben prostor, varen pred prisluškovanji in na poseben vir elektrike, ločen od ostalega omrežja in ga ugasniti.
Zgodovina sprememb…
- spremenil: ToniT ()
AnotherMe ::
Ce bi obstajalo nekaj kot je popolna varnost, bi v avtu lahko namesto airbaga imeli montirano zelezno spico obrnjeno proti tvoji glavi!
Popolnoma ga ne mores zascitit - glede na to da sploh sprasujes, priporocam gostovanje pri resni firmi, pa naj se oni trudijo varovat tvoje podatke. Ti pac upas, da jim bo uspelo:)
Ce pa sprasujes z namenom da bi se kaj naucil, je pa to seveda nekaj popolnoma drugega in popolnoma podpiram tvoje zanimanje!
Popolnoma ga ne mores zascitit - glede na to da sploh sprasujes, priporocam gostovanje pri resni firmi, pa naj se oni trudijo varovat tvoje podatke. Ti pac upas, da jim bo uspelo:)
Ce pa sprasujes z namenom da bi se kaj naucil, je pa to seveda nekaj popolnoma drugega in popolnoma podpiram tvoje zanimanje!
N4m31355 ::
Cisto blank ideja..
Obstaja kak algoritem, ki preverja use requeste, in ce se 3x v 100ms povezes blokira IP za 14 dni? naceloma tudi ce ma attacker 100k bootnet, je to se vedno le 300k requestov.. (ne ponavljajoce)? res pa je da nevem kako bi to delovalo v primeru spoofanja maca ko se za dosanje uporablja dns serverje..
Obstaja kak algoritem, ki preverja use requeste, in ce se 3x v 100ms povezes blokira IP za 14 dni? naceloma tudi ce ma attacker 100k bootnet, je to se vedno le 300k requestov.. (ne ponavljajoce)? res pa je da nevem kako bi to delovalo v primeru spoofanja maca ko se za dosanje uporablja dns serverje..
terryww ::
Sicer pa tudi mene zanima kako si github inžinerji z +100k plače privoščijo načrtovat arhitekturo, kjer lahko en sub site potegne dol celo firmo.
Pri ddos napadu ti načenjajo vse razpoložljive vire (od mreže do cpuja) in ker vsako programje v tako stresnem okolju ne preživi oz. ni pravilno konfigurirano (e.g. apache spawna nove threade za vsak novo povezavo -> zmanjka rama -> segfault -> kernel ubije apache). Imet kvoto za en route/url je začetek. Ampak zdaj se ti vsi nodi v klastru ukvarjajo s preverjanjem in handlanjem kvote za ta route. Mogoče bi bila rešitev, da se samo en node ukvarja z enim projektom, en node za hot backup in v dockerju, da skaliraš, če je res potrebno. Mogoče bi bilo pametneje rešit problem še preden pride request do app stacka/klastra... Mogoče bi AndrejO, ki ščiti google ravno pred takimi zadevami, znal kaj več o tem povedat.
Pri ddos napadu ti načenjajo vse razpoložljive vire (od mreže do cpuja) in ker vsako programje v tako stresnem okolju ne preživi oz. ni pravilno konfigurirano (e.g. apache spawna nove threade za vsak novo povezavo -> zmanjka rama -> segfault -> kernel ubije apache). Imet kvoto za en route/url je začetek. Ampak zdaj se ti vsi nodi v klastru ukvarjajo s preverjanjem in handlanjem kvote za ta route. Mogoče bi bila rešitev, da se samo en node ukvarja z enim projektom, en node za hot backup in v dockerju, da skaliraš, če je res potrebno. Mogoče bi bilo pametneje rešit problem še preden pride request do app stacka/klastra... Mogoče bi AndrejO, ki ščiti google ravno pred takimi zadevami, znal kaj več o tem povedat.
It is the night. My body's weak.
I'm on the run. No time to sleep.
I'm on the run. No time to sleep.
Senitel ::
Cisto blank ideja..
Obstaja kak algoritem, ki preverja use requeste, in ce se 3x v 100ms povezes blokira IP za 14 dni? naceloma tudi ce ma attacker 100k bootnet, je to se vedno le 300k requestov.. (ne ponavljajoce)? res pa je da nevem kako bi to delovalo v primeru spoofanja maca ko se za dosanje uporablja dns serverje..
Stuff mora še vedno prit do tebe, da ga lahko blokiraš. Pipco do tebe lahko še zmer zabijejo s tem. Lahko zabijejo tudi pipco do tvojega ISP-ja.
In ne spoofa se mac naslovov ampak kar IP. Internet dela na IP-jih ne na mac-ih. :)
misek ::
Seveda to obstaja. In se tudi uporablja. Ampak za zaščito, da nekdo ne poskuša uganiti geslo. V primeru napada je pa težava ta, da je linija popolnoma zasedena in niti legalni uporabniki nimajo več dostopa.
Obstaja kak algoritem, ki preverja use requeste, in ce se 3x v 100ms povezes blokira IP za 14 dni?
stara mama ::
Tud odklop kabla ne pomaga če si te nekdo želi ker si dosti pomemben
Recimo stuxnet ...
Recimo stuxnet ...
ezikielrage ::
Stormfront je ena najbolje zaščitenih strani kar jih poznam. Glede na finančne zmogljivosti njihovi naravnih sovražnikov...
poweroff ::
Cisto blank ideja..
Obstaja kak algoritem, ki preverja use requeste, in ce se 3x v 100ms povezes blokira IP za 14 dni? naceloma tudi ce ma attacker 100k bootnet, je to se vedno le 300k requestov.. (ne ponavljajoce)? res pa je da nevem kako bi to delovalo v primeru spoofanja maca ko se za dosanje uporablja dns serverje..
Ja, to obstaja. fail2ban se imenuje ena aplikacija, ki dela točno to.
Ampak problem je drugje. Če boš na tak način blokiral web requeste, si boš sam odrezal uporabnike, ki prihajajo iz nekega proxya. Razne velike firme, vsi, ki uporabljajo caching, državne uprave.
Zadeve je treba reševati ali z večjo pipico, ali pa- še bolje - s policerji na routerjih.
sudo poweroff
N4m31355 ::
Navadni uporabnik naj nebi poslal 2 requesta v &less 100ms?
ali pac?
Torej ce se nekdo spravi te ugasne ne glede kaj? (napad na spamhouse 600Gb/s)
ali pac?
Torej ce se nekdo spravi te ugasne ne glede kaj? (napad na spamhouse 600Gb/s)
Lonsarg ::
V bistvu obstaja rešitev za tele DDoS napade in sicer sistemska. Napad je uspešen, ker končno stično točko preobremeni, rešitev je torej da se naredi vmesne stične točke, ki imajo informacije o tem, koliko prometa iz katere regije v katero regijo je maksimum. Recimo do Githuba lahko najdemo na prste ene roke prešteti glavne stične točke wholesale ponudnikm worldwide povezav. Če bi Github sporočil tem stičnim točkam, koliko prometa dovoli per region bi avtomatika zrihtala vse.
In to avtomatiko bi se dal komot v protokol kot je BGP dodati, brez da se nov protokol rihta. Vsi večji ponudniki kot je github bi nato preprosto svoj BGP lavfali.
In to avtomatiko bi se dal komot v protokol kot je BGP dodati, brez da se nov protokol rihta. Vsi večji ponudniki kot je github bi nato preprosto svoj BGP lavfali.
c3p0 ::
pegasus ::
Vsi večji ponudniki kot je github bi nato preprosto svoj BGP lavfali.Že slišim krike navdušenja med network admini :D
BGP ima dovolj svojih problemov že sedaj, folk se že krega ali je BGPsec taprava rešitev zanje ... Ne rabi še en spisek ljudi, ki ne vedo nič o njem, da ga začnejo uporabljat ...
M.B. ::
Proti DDOSu lahko zmagaš edino če imaš večjo pipco kot napadalec. Če je napadalec kitajska maš majhen problem.
Citat opisa januarskega kitajskega DDOSa ko so kitajci "po pomoti" zamenjali DNSje torrent trackerjev za naključnimi IPji posledice so DDOS na announce URLje na strežnikih, ki seveda ne obstajajo.
Cisco firewall je poklekno ponekod:
In redkokdo prenese naenkrat 1 Gbit/s.
Zakaj blokada kitajskih IPjev ne reši zadeve:
Glede na nove raziskave švedov in ostalih bi naj menjavanje javascripta prišlo nekje iz Kitajskega Ubicoma kjer je veliki požarni zid.
The number of requests peaked out at 52 Mbps. Let's put that number in perspective: Daring Fireball is notorious for taking down sites by sending them about 500 Kbps of traffic. What we had just experienced was roughly the equivalent of 100 fireballs.
If each of those requests were 500 bytes, that's 13,000 requests per second. *That's about a third of Google's global search traffic.* Look at how much careful planning went into handling Kim Kardashian's butt at 8,000 requests per second.
Citat opisa januarskega kitajskega DDOSa ko so kitajci "po pomoti" zamenjali DNSje torrent trackerjev za naključnimi IPji posledice so DDOS na announce URLje na strežnikih, ki seveda ne obstajajo.
Cisco firewall je poklekno ponekod:
We were the lucky targets of China's DNS poisoning on Monday the 19th. Any requests from clients in China to Edgecast's CDN was instead thrown at our public IP. After deducing what was going on, we ended up blacklisting large (class A in some cases) APNIC address blocks assigned to China.
Interestingly, it wasn't our webservers that were overwhelmed but instead the Cisco firewall that sits in front of them. 25K concurrent connections made it decidedly unhappy.
In redkokdo prenese naenkrat 1 Gbit/s.
Zakaj blokada kitajskih IPjev ne reši zadeve:
Even with packet filtering in place, I still feel vulnerable. Why?
I'm not sure the blocks will withstand another 52 Mbps flood. Remember that up to 65,535 filter rules can be matched by code in the kernel. Your ability to block packets is only as good as the CPU that's running that code. When I hear that dedicated Cisco firewall hardware is failing, it give me no confidence that my box with 6,500 rules getting 13,000 packets per second will be able to keep up. A back of the envelope calculation shows 84.5 million comparisons per second is needed (or one every 11 nanoseconds.)
For this same reason, don't assume that any routers or load balancing schemes upstream from your server will be able to keep up with China. There's no guarantee that your hosting provider will be able to protect your servers or VM instances at rates like we experienced last week.
Still don't believe me? Look at the first comment on this post at the Internet Storm Center:
I had the same problem starting last Friday, the 2nd. Took out a full load balanced cluster of servers.
Glede na nove raziskave švedov in ostalih bi naj menjavanje javascripta prišlo nekje iz Kitajskega Ubicoma kjer je veliki požarni zid.
Everyone started out as a newbie.
Sadly only a handful ever progress past that point.
Sadly only a handful ever progress past that point.
SeMiNeSanja ::
Ena luštna zadeva, ki kahko malo pomaga je tudi Cloudflare.
Še najbolj pa pomaga, da ne gostiš vsebin zaradi katerih bi lahko postal tarča takih napadov.
Seveda obstajajo tudi algoritmi, programi, požarne pregrade, ki te poknejo na črno listo, če si preveč zaporednih requestov ustvaril. Vendar blokiranje za 14 dni je popolnoma nerealno. Če je samo polovica tistih 'napadalcev' na dinamičnih IP naslovih, bi samo ta block lista ubila firewall ali router.
Jaz uporabljam 20 minutno blokado za 'kršitelje', pa jih imam brez DDOS-ov stalno po 20-50 na spisku. Kako bi izgledalo ob DDOS-u, pa si ne znam predstavljat.
Še najbolj pa pomaga, da ne gostiš vsebin zaradi katerih bi lahko postal tarča takih napadov.
Seveda obstajajo tudi algoritmi, programi, požarne pregrade, ki te poknejo na črno listo, če si preveč zaporednih requestov ustvaril. Vendar blokiranje za 14 dni je popolnoma nerealno. Če je samo polovica tistih 'napadalcev' na dinamičnih IP naslovih, bi samo ta block lista ubila firewall ali router.
Jaz uporabljam 20 minutno blokado za 'kršitelje', pa jih imam brez DDOS-ov stalno po 20-50 na spisku. Kako bi izgledalo ob DDOS-u, pa si ne znam predstavljat.
M.B. ::
Cloudflare verjetno že pomaga ampak cena je pa verjetno taka da te na rit vrže. Glede na to da je nimajo niti na strani napisano.
Everyone started out as a newbie.
Sadly only a handful ever progress past that point.
Sadly only a handful ever progress past that point.
dronyx ::
Ali za DDoS napade ne obstaja kakšna inteligentna zaščita pred strežnikom, ki bi blokirala zahtevke za katere ugotovi, da so del napada?
poweroff ::
Ne, ker tega ni mogoče ravno enostavno ugotoviti. Sploh če napadalec uporablja kakšen spoofing.
sudo poweroff
SeMiNeSanja ::
Inteligentnih zadev obstaja cel kup, vendar te zgolj lahko zaščitijo tvoj strežnik pred preobremenitvijo, ne morejo pa zaščititi tvojo linijo do ponudnika.
Ko ti enkrat 'zabašejo' linijo, ti nič ne pomaga, če droppaš vse pakete in tvoj server lokalno še vedno krasno dela, če pa je nedostopen iz interneta.
V primeru kakšnega zares hudega napada pa se lahko v težavah znajde tudi marsikateri ISP.
Rešitve kot npr. Cloudflare pa dejansko tvoj strežnik 'virtualizirajo', tako da uporabniki na različnih koncih sveta v bistvu gledajo keširane strani, ki jih ti ponudniki servirajo preko geografsko razpršenih IP naslovov. Tako zgolj manjši del napada dejansko doseže tvoj strežnik.
Zadeva precej pomaga tudi da ne postaneš kolateralna žrtev, ko napadajo neko drugo web stran, ki se jo gostuje na istem strežniku kot tvoje strani - ko strežnik zaradi napada ne bo več dosegljiv, bodo tvoje strani še vedno na voljo preko Cloudflare 'oblaka'.
Sam se že kar nekaj časa pripravljam, da bi si uštimal tisto brezplačno Cloudflare varianto. Samo vrag, ko vedno nekje zmanjka tistih 'par minut', da bi zadevo poštimal.
Ko ti enkrat 'zabašejo' linijo, ti nič ne pomaga, če droppaš vse pakete in tvoj server lokalno še vedno krasno dela, če pa je nedostopen iz interneta.
V primeru kakšnega zares hudega napada pa se lahko v težavah znajde tudi marsikateri ISP.
Rešitve kot npr. Cloudflare pa dejansko tvoj strežnik 'virtualizirajo', tako da uporabniki na različnih koncih sveta v bistvu gledajo keširane strani, ki jih ti ponudniki servirajo preko geografsko razpršenih IP naslovov. Tako zgolj manjši del napada dejansko doseže tvoj strežnik.
Zadeva precej pomaga tudi da ne postaneš kolateralna žrtev, ko napadajo neko drugo web stran, ki se jo gostuje na istem strežniku kot tvoje strani - ko strežnik zaradi napada ne bo več dosegljiv, bodo tvoje strani še vedno na voljo preko Cloudflare 'oblaka'.
Sam se že kar nekaj časa pripravljam, da bi si uštimal tisto brezplačno Cloudflare varianto. Samo vrag, ko vedno nekje zmanjka tistih 'par minut', da bi zadevo poštimal.
Vredno ogleda ...
Tema | Ogledi | Zadnje sporočilo | |
---|---|---|---|
Tema | Ogledi | Zadnje sporočilo | |
» | Domenca gostovanjeOddelek: Izdelava spletišč | 3908 (3394) | c3p0 |
» | Brian Krebs žrtev največjega napada DDoS v zgodoviniOddelek: Novice / Varnost | 9669 (6248) | OK.d |
» | DDos-anjeOddelek: Informacijska varnost | 2480 (2253) | DeeCoy |
» | Potek operacije Povračilo (strani: 1 2 )Oddelek: Novice / Omrežja / internet | 24325 (21106) | Jupito |