Pereiti prie turinio

Apsauga nuo Doss ataku


Rekomenduojami pranešimai

Sveiki,

 

Norėčiau išgirsti jūsų visu nuomones apie doss ataku apsaugas!

 

Saugaus web serverio kurimas CentOS 5.0 aplinkoje (Pirma dalis) Man kilo klausimas dėl mod_evasive modulio apache ar jis tikrai apsaugo nuo Doss ataku ir ar užtikrina 100% apsauga ar nieko nėra 100%? Ką galimet patarti, kad doss atakos galėtu nepakenkti svetainės veiklai?

 

Ir jei įmanoma kad būtų galimybė sužinoti kada ir ar išviso buvo leidžiama Doss ataka?

 

Dar norėčiau patikslinti, kad pagalba reikalinga web serveriui apsaugoti :) vis laukiu jūsų patirties, kai susidurėti ką darėt ir kaip susitvarkėt ir ką galėtumet patart šiuo klausimu gal aš jau šektiek jau ir pasikartojau :)

 

Dėkui iš anksto :)

Redagavo dromey
Nuoroda į pranešimą
Dalintis kituose puslapiuose

neseniai gavau ataka i mano administruojama game serveri. po ddos ataku vos ijungus serveris CPU paimdavo 100% resursu. galiausiai radau beda, kad per ddosa wordpress TVS kiekviena apsilankyma irasinejo informacija ir galiausiai uzkimso tiek duombaze, kad CPU iskart kibdavo. Tai dabar isirasiau mod_dosevasive22 (windows aplinkai). apsauga labai primityvi, bet duombaze kazkiek apsaugo. o siaip reiktu saugotis su firewallais arba cloudfare, hyperfilter ir pan.

Nuoroda į pranešimą
Dalintis kituose puslapiuose

dos atakos buna siunciant kazkoki flooda nuo kurio pradeda streikuoti aptarnaujantis serveris ( pvz web serveris ), nuo tokiu ataku apsisaugoti nesudetinga.

 

ddos atakomis bandoma uzkimsti visa linija, todel pacio serverio konfiguracija gali nieko nepadeti jeigu bus linija uzkimsta iki serverio

Redagavo vpsnetlt
Nuoroda į pranešimą
Dalintis kituose puslapiuose

o kaip jie apsaugo serveri nuo ddos ataku? su routeriu?

 

Jie stato ne vieną routerį:) ir tikrai ne už 1000lt, ten stovi pvz Juniper'iai kurių kainos siekia nuo kelesdiašimt tūkstančių eurų. Todėl nemokamai tokio dalyko niekas neduoda, vidutiniškai šis malonumas papildomai kas mėn kainuoja ~25-30eur, čia jau kaip susitarsi su tiekėjais:)

Redagavo HOST321
Nuoroda į pranešimą
Dalintis kituose puslapiuose

Noriu priminti, kad aš norių pats apsaugoti savo serveri nuo Doss. Bei kiek pats galiu padaryt ir ką specelistai gali padaryt bent žinot kokie sprendimai yra.., sakykim kodėl Doss niekad nenulaužė kokio facebook'o? :D turėjo senai kažkaip.., jie apsisaugojo o kaip man? :D

Nuoroda į pranešimą
Dalintis kituose puslapiuose

Noriu priminti, kad aš norių pats apsaugoti savo serveri nuo Doss. Bei kiek pats galiu padaryt ir ką specelistai gali padaryt bent žinot kokie sprendimai yra.., sakykim kodėl Doss niekad nenulaužė kokio facebook'o? :D turėjo senai kažkaip.., jie apsisaugojo o kaip man? :D

 

Neapsisaugosi, viską ką gali daryti, tai pvz GEOLOKACIJĄ daryti kad tik priimtu vartotojus iš Lietuvos, Gali su iptables uždrausti visus įmanomus prisijungimus etc, palik tik httpd portą atidarą (nelabai padės iš tikro). O dėl linijos DDOS tai tu nieko nepadarysi visiškai.

Nuoroda į pranešimą
Dalintis kituose puslapiuose

Jie stato ne vieną routerį:) ir tikrai ne už 1000lt, ten stovi pvz Juniper'iai kurių kainos siekia nuo kelesdiašimt tūkstančių eurų. Todėl nemokamai tokio dalyko niekas neduoda, vidutiniškai šis malonumas papildomai kas mėn kainuoja ~25-30eur, čia jau kaip susitarsi su tiekėjais:)

Net nebučiau pagalvojas kad tiek galėtu kainuot tokie rauteriai :o na bet 25-30euru nepagailėčiau mėn už apsauga 100% jei ji galimet tokia pavadinti :)

 

Tai kiek suprantu iš man pajėgiu dalyku tai galiu daryti tik mod_evasive sukonfiguruoti ir ideti iptable's bei koki firewall'a ir daugiau nieko, teisingai? :)

Nuoroda į pranešimą
Dalintis kituose puslapiuose

Net nebučiau pagalvojas kad tiek galėtu kainuot tokie rauteriai :o na bet 25-30euru nepagailėčiau mėn už apsauga 100% jei ji galimet tokia pavadinti :)

 

Tai kiek suprantu iš man pajėgiu dalyku tai galiu daryti tik mod_evasive sukonfiguruoti ir ideti iptable's bei koki firewall'a ir daugiau nieko, teisingai? :)

 

 

http://www.securehq.com/item.wml&prodid=112436&sessionid=201272210115910899 - čia yra tuščia dėžė, į ją reikia įkišti 10GE tinklo kortą kuri kainuoja ~12k eur, maitinbloki ir t.t.t. bendra kaina gaunasi ~25k eur. Bet šis modelis yra mažam ofisui skirtas:)

Nuoroda į pranešimą
Dalintis kituose puslapiuose

Straipstio autorius čia.

 

Dėja, bet straipsnis pasenęs. Jeigu nori apsisaugoti nuo DDoS atakos, tam reikia pasiruošti ir turėti recovery planą(-us). Temoje paminėti Juniper routeriai netinka filtravimui, taip pat ir Cisco ASA. Aš turiu kelis cisco ASA routerius, tačiau naudos iš jų jokios, tai įranga skirta firmoms(enterprise), kurie turi VPN tinklus ir kelis serverius, kurie nėra mission-critical.

 

Linkas su Juniper routeriu - telco hardware'as, ne ddos firewall'as.

 

Pagrinde didžiausia tavo problema yra interneto srautas ir firewall'as.

 

Jeigu turi interneto kanalą, tau reikės tik gerų tinklo kortų ir didelio "conntrack table size" (states), priklausomai nuo atakos dydžio, gerai sukonfiguruota 'commodity hardware' sugebės filtruoti nuo 100 iki 500 tūkst. prisijungimų vienu metu.

Nuoroda į pranešimą
Dalintis kituose puslapiuose

Straipstio autorius čia.

 

Dėja, bet straipsnis pasenęs. Jeigu nori apsisaugoti nuo DDoS atakos, tam reikia pasiruošti ir turėti recovery planą(-us). Temoje paminėti Juniper routeriai netinka filtravimui, taip pat ir Cisco ASA. Aš turiu kelis cisco ASA routerius, tačiau naudos iš jų jokios, tai įranga skirta firmoms(enterprise), kurie turi VPN tinklus ir kelis serverius, kurie nėra mission-critical.

 

Linkas su Juniper routeriu - telco hardware'as, ne ddos firewall'as.

 

Pagrinde didžiausia tavo problema yra interneto srautas ir firewall'as.

 

Jeigu turi interneto kanalą, tau reikės tik gerų tinklo kortų ir didelio "conntrack table size" (states), priklausomai nuo atakos dydžio, gerai sukonfiguruota 'commodity hardware' sugebės filtruoti nuo 100 iki 500 tūkst. prisijungimų vienu metu.

 

 

http://www.juniper.net/us/en/products-services/security/srx-series/srx5800/

 

Firewall

Network attack detection: Yes

DoS and DDoS protection: Yes

TCP reassembly for fragmented packet protection: Yes

Brute force attack mitigation: Yes

SYN cookie protection: Yes

Zone-based IP spoofing: Yes

Malformed packet protection: Yes

GPRS stateful inspection: Yes

 

Labai aiškiai pas kūrėjus parašyta, kad yra DoS ir DDoS apsauga, tiesiog ne visi modeliai turi tai. Pas mus stovi keletas būtent SRX modelių ir tikrai DDoS apsauga sukonfiguruota ir ji pasiteisina...:)

 

Pagal Jus gaunasi taip, kad kūrėjai yra nemokšos kurie parduoda N tūkstančių vertės aparatūrą, kur i yra pripažinta viena iš geriausių (jei ne geriausia, nes stipriai vietos keičiasi su CISCO) pasaulyje?:)

 

NET ir pateiktame wikipedijos nuorodoje apie stateful firewall apačioje yra parašyta nuorodos, kad reiktų pasiskaityti apie JUNIPER networkingą...manau pakankamai daug argumentų pateikiau, kad įrodyčiau jog JUNIPER'iai visgi skirti ir gerai funkcionuoja DDoS apsaugoms...

Redagavo HOST321
Nuoroda į pranešimą
Dalintis kituose puslapiuose

http://www.juniper.net/us/en/products-services/security/srx-series/srx5800/

 

Firewall

Network attack detection: Yes

DoS and DDoS protection: Yes

TCP reassembly for fragmented packet protection: Yes

Brute force attack mitigation: Yes

SYN cookie protection: Yes

Zone-based IP spoofing: Yes

Malformed packet protection: Yes

GPRS stateful inspection: Yes

 

Labai aiškiai pas kūrėjus parašyta, kad yra DoS ir DDoS apsauga, tiesiog ne visi modeliai turi tai. Pas mus stovi keletas būtent SRX modelių ir tikrai DDoS apsauga sukonfiguruota ir ji pasiteisina...:)

 

Pagal Jus gaunasi taip, kad kūrėjai yra nemokšos kurie parduoda N tūkstančių vertės aparatūrą, kur i yra pripažinta viena iš geriausių (jei ne geriausia, nes stipriai vietos keičiasi su CISCO) pasaulyje?:)

 

NET ir pateiktame wikipedijos nuorodoje apie stateful firewall apačioje yra parašyta nuorodos, kad reiktų pasiskaityti apie JUNIPER networkingą...manau pakankamai daug argumentų pateikiau, kad įrodyčiau jog JUNIPER'iai visgi skirti ir gerai funkcionuoja DDoS apsaugoms...

 

Tu lygini apelsinus su obuoliais. Filtravimas application layeryje bus greitesnis ir pigesnis, paskutinis dalykas ką tu norėtum daryti savo duomenų centre, tai filtruoti states su savo routeriu. Tinklalapyje aiškiai padarytą 350k states. Taip kad argumentas atmestas.

Nuoroda į pranešimą
Dalintis kituose puslapiuose

Tu lygini apelsinus su obuoliais. Filtravimas application layeryje bus greitesnis ir pigesnis, paskutinis dalykas ką tu norėtum daryti savo duomenų centre, tai filtruoti states su savo routeriu. Tinklalapyje aiškiai padarytą 350k states. Taip kad argumentas atmestas.

 

Jei tai būtų kliento prašymų - žinoma niekas tai nedarytų, bet jei teiki kaip papildomą tokią paslaugą - tai tikrai ir filtruosi pilnai savo routeryje kuris bus tam skirtas...

Nuoroda į pranešimą
Dalintis kituose puslapiuose

Jei tai būtų kliento prašymų - žinoma niekas tai nedarytų, bet jei teiki kaip papildomą tokią paslaugą - tai tikrai ir filtruosi pilnai savo routeryje kuris bus tam skirtas...

 

Tam tikra prasme, tiap pritariu.

 

Temos autoriui :

http://www.openbsd.org/faq/pf/

http://www.freebsd.org/doc/en_US.ISO8859-1/books/handbook/firewalls-ipf.html

http://www.freebsd.org/doc/en_US.ISO8859-1/books/handbook/firewalls-ipfw.html

http://www.freebsd.org/doc/handbook/firewalls-pf.html

Nuoroda į pranešimą
Dalintis kituose puslapiuose

Prisijunkite prie diskusijos

Jūs galite rašyti dabar, o registruotis vėliau. Jeigu turite paskyrą, prisijunkite dabar, kad rašytumėte iš savo paskyros.

Svečias
Parašykite atsakymą...

×   Įdėta kaip raiškusis tekstas.   Atkurti formatavimą

  Only 75 emoji are allowed.

×   Nuorodos turinys įdėtas automatiškai.   Rodyti kaip įprastą nuorodą

×   Jūsų anksčiau įrašytas turinys buvo atkurtas.   Išvalyti redaktorių

×   You cannot paste images directly. Upload or insert images from URL.

Įkraunama...
  • Dabar naršo   0 narių

    Nei vienas registruotas narys šiuo metu nežiūri šio puslapio.

  • Prisijunk prie bendruomenės dabar!

    Uždarbis.lt nariai domisi verslo, IT ir asmeninio tobulėjimo temomis, kartu sprendžia problemas, dalinasi žiniomis ir idėjomis, sutinka būsimus verslo partnerius ir dalyvauja gyvuose susitikimuose.

    Užsiregistruok dabar ir galėsi:

    ✔️ Dalyvauti diskusijose;

    ✔️ Kurti naujas temas;

    ✔️ Rašyti atsakymus;

    ✔️ Vertinti kitų žmonių pranešimus;

    ✔️ Susisiekti su bet kuriuo nariu asmeniškai;

    ✔️ Naudotis tamsia dizaino versija;

    ir dar daugiau.

    Registracija trunka ~30 sek. ir yra visiškai nemokama.

  • Naujausios temos

  • Karštos temos

×
×
  • Sukurti naują...