Hosting a DDOS útoky

Ahoj, provozuji web www.Photopea.com , je tam za den asi 90 000 otevření stránky, traffic asi 4 TB měsíčně, vše pouze statický obsah (HTML, CSS, JS soubory, žádné PHP nebo MySQL).

Mám hosting u HostingSolutions.cz za cca 1200 Kč ročně. Posledních 24 hodin zažívají nějaký DDOS útok a za těch 24 hodin jsem dostal cca 30 zpráv ze zahraničí, že někomu nejde otevřít moje stránka (mně v Česku jde bez problémů a podle statistik je víc lidí, kterým to jde, než těch, kterým to nejde).

Má smysl přejít na jiný hosting, třeba na wedos.cz ? Je možné, že jiný hosting bude umět lépe se vypořádat s DDOS útoky? Nebo to hrozí každému a nejde s tím nic moc dělat?

Ještě je tu dlouhodobý problém, že se mi v Česku stránka načte za 3 sekundy, ale v zahraničí to je třeba i přes 7 sekund.

Pokud je služba jen HTML+JS, tak za cenu řádově jednotek dolarů můžete službu hostovat u AWS s CDN s nejlepší možnou dostupností a odezvou po celém světě. Vykašlete se na všchny webosy apod., není to na to stavěné.

Hele Wedos asi ne. Sice mají nejlepší hardware, takže umí odfiltrovat nerelevatní traffic, ale zabíjejí to množstvím webu na jednom serveru. Prostě low cost řešení. Tvůj nástroj je fakt super a docela i ve světě známej tak se DDOS dají čekat vždy. Celkem se divím, že dávno nejsi na nějakém virtuálu či dedikáči. Nevím kolik máš platících uživatelů, ale každopádně pokud to jde doporučuji někoho kvalitního jako VShosting, Master, Spolehlive-servery atd... Ikdyž nejsem tvůj zákazník, fandím ti a jen tak dál. Obdivuji všechny našince co dokazují světu že nejsme jen švejci :-)

wedos není dobrá volba na vysokonavštěvovaný web.

Podle popisu může být s zahraniční linkou od hostingu, která se může daleko rychleji ucpávat než ta česká v nixu. Chtělo by to lepší čísla. Nemusí se vůbec jednat o nějaký útok, jen je třeba nějaká trasa, kudy tečou data ucpaná někým jiným a proto ti to nejde.

Docela se osvědčuje použití globálních cdn typu cloudflare či cdh77. U nás v ČR na takovéhle projekty není třeba špatný superhosting.cz (ač je osobně nemám rád, slouží na tohle dobře).

Teď jsem zkoušel z pár zahraničních serverů a několikrát mi vytimoutoval dns dotaz, např. "dig @dns2.hostingsolutions.cz +short A photopea.com" nedoběhl, na podruhé již ale ano. Zkusil bych se při řešení také podívat na nameservery (případně se zeptat hostingu, jestli neevidují nějaké problémy).

Jinak stahování obsahu z webu jede dostatečně rychle na všech možných místech, které jsem zkoušel. Podle grafů peeringu nevypadá, že jsou některé trasy vytížené a v současné době nevidím žádné divné chování kromě výše zmíněného dns.

Mirek Novotny: on už u Master v podstatě je, HostingSolutions.cz jede přes ně :)

Píši, že je to DDOS, jelikož mi z HostingSolutions.cz potvrdili, že pozorují DDOS. Včera večer mi web nešel dokonce ani tady v Česku.

Peníze pro mě nejsou problém. Mám tam i PHP, které je pro Wordpress blog (cca 1000 otevření denně). Spíš se mi nechce učit nové ovládací prostředí. Navíc AWS vypadá dost složitě. Už jsem si zvykl na své přesouvání JS souborů myší do FileZilly, která to nahraje přes FTP :)

Pomohlo by s DDOS a s rychlostí načítání třeba CDN od CloudFlare? Kdysi jsem na některých webech vídával něco jako "Loading CloudFlare ..." než se načetla stránka, tak mě to dost odradilo, že to nejspíš jen prodlužuje dobu načítání.

U AWS to funguje stejně jako přetáhnutí souborů myší na FTP. Jde jen o to, to nastavit. Cloudflare vyzkoušejte. "Loading .." se ukazuje jen když na vás míří ddos, jinak je to zcela transparentní, bez zpomalení.

hostingy poslední dobou říkají DDOS ledasčemu přestože se nemusí jednat o žádný útok, měl bys to v tom případě spíše řesit s nimi. DDOS jsou masivní distribuované, zpravidla to jde vidět na lince dost výrazně.

CDN tomu může hodně pomoci, Cloudflare svoji loading page zobrazuje nejen v případě útoku, ale kdykoliv, když backend (tvůj hosting) nestíhá ač je už důvod jakýkoliv, třeba nestíhá běžnou/špičkovou zátěž nebo vyhazuje chyby. Velkou spoustu útoků a pokusů ale hodně efektivně odstíní a návštěvník o ničem neví.

U aws může být problém, že platíš za trafik, bez CDN tě to může při 4 TB měsíčně vyjít na stovky eur měsíčně.

Původně odeslal TomášX

Docela se osvědčuje použití globálních cdn typu cloudflare či cdh77. U nás v ČR na takovéhle projekty není třeba špatný superhosting.cz (ač je osobně nemám rád, slouží na tohle dobře).

Jen FYI: CDN77 = SuperHosting

Podle správce hostingu jde o útok na DNS servery v řádech Gbps. DNS servery tak nezvládají odpovídat na množství dotazů.

Doporučili byste mi nějaký nástroj na zjištění míry DDOS útoku? Jaké je procento lidí, kterým nefunguje stránka, případně z jakých zemí jsou.

Nástroj, který by třeba zkusil otevřít moji stránku z deseti různých míst planety, v každém místě desetkrát s rozestupem deset sekund. Je něco takového? Momentálně vůbec nevím, zda útok ještě trvá nebo ne.

Zkusil jsem https://www.uptrends.com/tools/uptime , všude píše, že web je přístupný.

Naopak tento nástroj https://www.uptimia.com/website-availability-test říká, že web nefunguje v Tokyu a v Sydney. Ale to samé říká i pro Google.com, takže je to asi chyba u nich.

Spíše než nástroj, kde to nejde ti opravdu pomůže změna hostera. Dnes je nabídka již velká a dnešní situace ti aspoň budiž na ponaučení, že na takto velké projekty to chce někoho robustního. Možná menší hosting má výhodu v osobním přístupu, na druhou stranu pokud se jedná o něco takového tak prostě nemají na to dimenzovaný HW.

koukal jsem na grafy vytížení peeringových linek u Master Internetu, tam jsem žádný velký peek a ani drop neviděl, z toho usuzuji, že DDOS nebyl velký a měl ho poskytovatel/hosting dobře zvládnout. Výhodá cloudflare, akamai, ovh a dalších bran je jejich obrovská kapacita na filtrování, běžný hosting to nikdy nedokáže pokrýt.

Pokud něco takovéhoto řeším, vezmu si více serverů, spustím traceroute na cílový web, podívám se na uzly, jejich počet a odezvu, zjistím si jejich AS a přes bgpmon.net se mrknu přes co a jak peeruje, jestli tam není slepá trasa nebo nebyly v posledních hodinách výrazné změny, které ukazují na problémy s konektivitu či přetížení tras. Porovnání s grafy využití linek v peering centrech se dá doodvodit, kde a jestli je problém s DDOS, tj. masivním útokem nebo jen s DOS (dobným útokem), který ale může výrazně vytěžovat konkrétní službu (dns, web server či třeba registrační formulář). V tvém případě jsem žádné divnosti neviděl.

Problémy s DNS jsem také zaznamenal, nameservery mi včera neodpovídaly. Tok několik GB/s nejde tolik vidět, ale dns to položí. Pak je i složité říct kdo je opravdu cílem, mají jeden společný a rozhodně neplatí, že dotazy na určitý web z něbo dělají cíl.

Změna hostingu nic nevyřeší, pokud se to bude opakovat, měl bys změnit nameservery (dns) a přejít k většímu poskytovateli, klidně i k samotnému master Internet, s jeho dns mám dobré zkušenosti, stejně tak trěba s digital ocean, ti mají solidní kapacitu na dns.

Služby, které jsou tady zmíněné dobře fungují na monitoring z více regionů, nedá se tím ale moc detekovat takovéhle útoky na dns, jsou totiž dost nepředvídatelné a chovají se nesouměrně, většina dns provozu je odbavena reverzními dns servery (google 8.8.8.8, cloudflare 1.1.1.1 či ty u O2, upc atd.), ty si jednou odpověď zacachují a pak si jí nechají dlouho u sebe (podle TTL, ty máš myslím 600s, klidně to můžeš prodloužit). Tohle se prostě blbě detekuje, nevíš jaky resolver používají tvý zákazníci (zpravidla mají nějaký od svého ips) a případná monitoring služba používá úplně jiný, takže testuje něco jiného.

Moje první reakce přesně v tomhle případě by byla hodit si 5 min ceon, který bude posílat dns dotaz na tvůj web na největší veřejné dns resolvery a tím držet tvůj web v jejich cache, tím snížíš aspoň trochu situaci, kdy tvůj web v cache nebude a bude kuset letět dotaz na přetížené servery od hostingu.

Migrovat dns není těžké a lze to bez jediného výpadku. Je také možnost jeden odebrat a přidat dva další nezávislé, které by pokryli riziko podobných nedostupností, vůbec nemusíš mít dns servery pouze od jednoho provozovatele, běžně jich na projekty dáváme více a měníme je v případě problémů.

Dnes nastaly nejspíše nějaké další DDOS útoky na DNS, chvílemi mi nešlo FTP.

Zkusil jsem dnes přejít na CDN CloudFlare. Když ale testuji dostupnost www.Photopea.com přes https://www.uptrends.com/tools/uptime , vidím stále několik lokací červeně. Měl by CDN tyto problémy vyřešit? Je možné, že se v tom testu používají staré DNS záznamy?

vidím, že proti minulosti došlo ke změně Nameserverů, ale ještě nejsou plně propagovány.

Google a Cloudflare vidí tyhle dva:

Kód:

dig @1.1.1.1 +short NS photopea.com
ns1.hostingsolutions.cz.
czns2.aziendeitalia.com.

Jinde ale už vidím nové přes cloudflare CDN:

Kód:

abby.ns.cloudflare.com.
greg.ns.cloudflare.com.

Máš tam ale strašně vysoké TTL na NS (21573s), tj. cca 6 hodin. Může trvat i dva dny než se to zpropaguje všude, u většiny to ale bude trvat do těch šesti hodin. Na uptrends nejspíš ještě vidí staré NS a proto to občas nefunguje, vydrž a zkus někdy v noci, mohlo by se to zlepšit. Bohužel propagace DNS změn není možné příliš urychlit a také se to hůře kontroluje, stará cache mohla zůstat jen u nějakého lokálního poskytovatele internetu a pár lidem to nefunguje. Už to ale vše vypadá na dobré cestě.

Pokud zkouším ten aziendeitalia.com z různých lokalit, dostávám timeout:

Kód:

dig @czns2.aziendeitalia.com +short photopea.com
;; connection timed out; no servers could be reached

To je buď tvůj experiment nebo hostingu, či to je zrovna část, která je pod útokem a je přetížená.

Z mých serverů co mám k dispozici je photopea.com v pořádku dostupná a rychlost reakce je v pořádků (jak dns, tak i soubory). Na uptrends jsem na první pokus dostal chybu u Soulu, na druhý už bylo vše zelené.

Já jsem to CDN nakonec vypnul kvůli nějaké chybě s certifikáty: https://stackoverflow.com/questions/...d-certificates . Takže teď zas čekám, až se zpropaguje aziendeitalia + hostingsolutions :D Zároveň jsem na CloudFlare CDN dal "pauzu" - dotazy se přímo přesměrují na DNS hostingu.

Znáte tady někdo CloudFlare? Teoreticky mohu nechat adresy jejich DNS a takto to pauzovat kdykoli, a projeví se to okamžitě, že?

Trochu lituji, že jsem se tím nezabýval dřív. Teď mě každá minuta nefunkčnosti znamená desítky naštvaných uživatelů.

Popravde to nie je chyba len sa ešte nespropagoval certifikat. Pauza u CF nepresmeruje DNS ale len vypne CDN. DNS stale propaguju oni.

O tom som ale už pisal v sprave tak snáď si poradíte svojpomocne.

a jak máš nastavení TLS/SSL ve Crypto sekci administrace? Měl bys tam mít full, zároveň je nutné počkat cca den než vygenerují vlastní certifikát nebo jim tam nahrát ten tvůj současný (ten má ale omezenou platnost a je nutné ho pak ručně obnovovat a nahrávat nový).

DNS klidně nech u nich, CloudFlare má slušnou kapacitu a dostupnost jejich name serverů a u některých projektů je rád doporučuji. Neprojeví se to vždy okamžitě, DNS záznamy si na cestě může kdokoliv cachovat, doba cachování je určena nastavením TTL u samotných záznamů (v sekundách), teď ho máš hodně vysoký, takže propagace změny trvá značnou dobu. Sniž TTL (minimální hodnota je 60) a pak můžeš relativně rychle přepínat přímo v administraci.

To se bohužel stává, dokud nejsou problémy, málokdy na problémy myslí a ošetřuje si je dopředu, teď jsi poučený, máš poměrně jednoduchý backend (jen vrací soubory jak koukám), takže přechod či změny se ti dělají o poznání lépe než, když je potřeba migrovat velké databáze. Máš krásnou možnost si do zálohy vzít klidně ještě jiný hosting/cloud, tam mít druhou kopii a v případě podobných dlouhých a kritických problémů na primárním hostingu přepnout DNS na záložní hosting a jet z něho. DNS bych nechal u CloudFlare, budeš se daleko méně setkávat s výpadky nebo nestíháním, přeci to je jen znatelně větší hráč a pro tvůj projekt je asi vhodnější mít globální podporu.

V nastavení svého hostingu (hostingsolutions) jsem snížil TTL z 24 hodin na 4 hodiny. Přepnul jsem photopea.com zpátky na CloudFlare DNS, ale mám to stále "pauznuté" (vypnutá CDN). Počkám den, až se to zpropaguje. Pak by se pauznutí/odpauznutí CDN mělo projevit okamžitě všem, protože s DNS se už nebude hýbat. Rozumím tomu správně?

CloudFlare Crypto mám na "Full". CloudFlare CDN tedy potřebuje mít vlastní verzi certifikátu? Znamená to, že když bych provozoval jejich CDN a na hostingu se změnil certifikát, tak stránky pokaždé přestanou na den fungovat (v prohlížeči hláška o neplatnému certifikátu), než si CloudFlare vygeneruje certifikát?

zapnutích CloudFlare CDN pro tvůj web prakticky znamená změnu A záznamů v DNS na CloudFlare adresy, tím se veškerý provoz na web přesměruje přes jejich infrastrukturu a zajistí cachování statického obsahu (obrázky, css, js). S DNS A záznamy se bude hýbat pokaždé, když jejich CDN zapneš/vypneš. To můžeš buď dělat manuálně na svém Name serveru (u tvého hostingu) nebo automaticky, pokud zároveň používáš CloudFlare DNS, což teď používáš.

Takhle nějak vypadá schéma zapojení CloudFlare CDN proti původním:

Kód:

+-------------------------+                   +--------------------+
|                         | Lets encrypt      |                    | CloudFlare certificate
|    hostingsolutions     | certificate       |   CloudFlare CDN   | or own Lets encrypt
| (original photopea.com) |  <-------------+  | (new photopea.com) |  <---------------------------+   Visitor
|                         | [A]               |                    |  [B]                             (cdn active)
+-------------------------+                   +--------------------+


+-------------------------+
|                         |
|    hostingsolutions     |
| (original photopea.com) |  <--------------------------------------------------------------------+   Visitor
|                         |  [A]                                                                      (original)
+-------------------------+

Certifikát pro https musíš mít na dvou místech, na původním hostingu [A] (proto musíš u CloudFlare volit režim full, CloudFlare totiž na pozadí načítá obsah z tvého webu také pod https) a nově na CloudFlare CDN [B], aby také návštěvník měů šifrovaný web. Do CloudFlare můžeš buď nahrát tvůj současný certifikát a privátní klíč ručně nebo si nechat vygenerovat zdarma od CloudFlare (trvá cca těch 24h). Ano, dokud nemá vlastní, vrací nějaký erární, proto prohlížeč křičí.

Pokud tomu tedy rozumím, tak CloudFlare CDN nemůžu použít, jelikož nechci mít nefunkční web 24 hodin při změně certifikátu, zároveň jsem líný tam pokaždé nahrávat certifikát ručně (asi bude záležet na přesném času nahrání, musel bych vstávat uprostřed noci atd.).

Má nějaký smyls provozovat CloudFlare CDN v pauznutém módu? Pomůže to, kdyby probíhal DDoS útok na DNS na HostingSolutions?

těch 24h trvá jen při prvním zapnutí než si CloudFlare vystaví certifikát pro tebe a zároveň ručně ověří tvůj web, lze to obejít dočasně právě nahráním vlastního. Poté již CloudFlare funguje v pořádku. Lze si také u nich za cca stovku měsíčně zaplatit vlastní certifikát, který vystaví pouze pro tebe.

Za mě má smysl provozovat CloudFlare DNS, jak to máš teď, výrazně snížíš riziko, že ti to nějaký DDoS na DNS položí, jejich kapacita a technické schopnosti jsou obrovské. Přepnout to můžeš v závislosti na velikosti TTL. CloudFlare CDN je naopak zase ochrana tvého webového serveru, přeci jen má také omezenou kapacitu a může ho útok položit, jsou to dvě různé služby.

CloudFlare CDN si určitě zprovozni a vyzkoušej si jak ti funguje, předpokládám, že máš nějakou testovací nebo beta subdoménu, můžeš experimentovat na ní a pak přepnout ostrý web s jistotou. Určitě si nachystej záložní řešení, nikdy nevíš co se kde rozbije, máš-li na to svůj čas, investice se ti vrátí.

Jaky pouzivas na serveru SSL? Nejaky zakoupeny nebo bezplatby Let's Encrypt?

Pokud chces pouzivat certifikat vyhradne CF, tak musis v sekci Crypto - Cloudflare mit nastaven Flexible. Pak v sekci Page Rules mit vytvorene pravidlo: *photopea.com/* v nastaveni SSL > Flexible.

Na hostingu svuj certifikat LE SSL vypni.

Pokud na svem webu pouzivas vsude SSL, pouzij v sekci Crypto:
Always Use HTTPS | ON
HTTP Strict Transport Security (HSTS) tady optimalni nastaveni bude nasledujici:
Status: On
Max-Age: 6 months (Recommended)
Include subdomains: Off
Preload: Off

Authenticated Origin Pulls | ON
Minimum TLS Version | 1.2
Opportunistic Encryption | ON
Onion Routing | ON
TLS 1.3 | Enabled + 0RTT

Pozor na sekci Speed, pokud pouzivas hodne kritickych JS muze ti to web znefunkcnit, kazdopadne, kazdou zmenu kterou tam udelas, tak pak jdi do sekce Caching a pokazde dej Purge Everything, to abys pripadne mohl rychle vycistit cache pri spatnem nastaveni cachovani.


Jinak, nejakou chvili trva, nez CF prevezme DNS, pak si to muzes pauznout jak chces, ale nedelej pauzu v prubehu presmerovani, oddelas si to fakt na den az dva.

Jeste pak zkontroluj jake NS zaznamy pujdou pres CF a ktere ne, pokud pouzivas DKIM, DMARc, SPF, google-site-verification a ja nevim jake dalsi zaznamy tam mas, tak to cele pridej do DNS, obcas CF z nejakeho duvody tyto zaznamy neziska automaticky.

Pres Cloudflare by ti meli jit jen A zaznam, pripadne AAAA, CNAME. Zaznamy jako FTP, IMAP, SMTP apod, nech na automatu, aby nesmerovaly pres CF.

Používám na serveru Let's Encrypt.

Pokut tedy správně chápu, nyní se používá CloudFlare jako hlavní DNS mojí stránky, avšak bez CDN (data se vždy stahují přímo z mého hostingu).

Tady https://www.uptrends.com/tools/uptime vidím dost krátké časy. Je to díky rychlému DNS u CloudFlare? Nebo se pletu?

Pokud pro tebe nejsou penize problem tak si najmi nekoho kdo ti navrhne a realizuje odpovidajici reseni. Bastlit hosting pro globani projekt z free CDN a levneho ceskeho hostingu se ti nevyplati.

Opět mi nejde www.Photopea.com (a ani žádný jiný web na hostingu), prohlížeč hlásí ERR_CONNECTION_REFUSED .

Nevíte, podle čeho si mám vybrat nový hosting? Zatím mi všechny komentáře přijdou ve stylu "když to bude dražší, tak to určitě musí být lepší". Mě spíš zajímá, o kolik dražší mám vyhledávat (abych nepřijal něco, co bude jinde 3x levněji). Je možné sehnat hosting např. s nějakou zárukou, že třeba za každou minutu offline by mi zaplatili pokutu?

Platit pokutu za offline hosting, to pobavilo :D to bych byl milionář..

:D

Původně odeslal Ivan90

Opět mi nejde www.Photopea.com (a ani žádný jiný web na hostingu), prohlížeč hlásí ERR_CONNECTION_REFUSED .

Nevíte, podle čeho si mám vybrat nový hosting? Zatím mi všechny komentáře přijdou ve stylu "když to bude dražší, tak to určitě musí být lepší". Mě spíš zajímá, o kolik dražší mám vyhledávat (abych nepřijal něco, co bude jinde 3x levněji). Je možné sehnat hosting např. s nějakou zárukou, že třeba za každou minutu offline by mi zaplatili pokutu?

Better Cloud VPS

Původně odeslal Ivan90

Opět mi nejde www.Photopea.com (a ani žádný jiný web na hostingu), prohlížeč hlásí ERR_CONNECTION_REFUSED .

Nevíte, podle čeho si mám vybrat nový hosting? Zatím mi všechny komentáře přijdou ve stylu "když to bude dražší, tak to určitě musí být lepší". Mě spíš zajímá, o kolik dražší mám vyhledávat (abych nepřijal něco, co bude jinde 3x levněji). Je možné sehnat hosting např. s nějakou zárukou, že třeba za každou minutu offline by mi zaplatili pokutu?

Jelikož máš celkem oblíbený projekt tak bych šel cestou minimálně VPS, v tvém případě radši Managed VPS. Dál bych popřemýšlel o používání placené CDN. Já třeba používám BunnyCDN, dost lidí by ti asi i doporučilo CDN77 a nebál bych se i nějakého lepšího tarifu u CloudFlare. Něž bych se rozhodl kam jít, určitě bych si udělal analýzu zákazníků odkud jsou. Hlavně ti platící. Jestliže máš většinu zákazníků z US, přemýšlel bych o VPS tam. Lecos ti samozřejmě ošetří správně nastavena CDN, ale není důvod být od platících zákazníků dál než je nutné. Určitě vybírej někoho většího. U oneman show, budeš mít možná inviduální přístup, ale jakmile odejde nějaký HW tak to obvykle nevymění tak rychle jako větší společnost.

Původně odeslal Ivan90

Opět mi nejde www.Photopea.com (a ani žádný jiný web na hostingu), prohlížeč hlásí ERR_CONNECTION_REFUSED .

Nevíte, podle čeho si mám vybrat nový hosting? Zatím mi všechny komentáře přijdou ve stylu "když to bude dražší, tak to určitě musí být lepší". Mě spíš zajímá, o kolik dražší mám vyhledávat (abych nepřijal něco, co bude jinde 3x levněji). Je možné sehnat hosting např. s nějakou zárukou, že třeba za každou minutu offline by mi zaplatili pokutu?

A zprovoznil jsi alespon ten Cloudflare?