Hosting a DDOS útoky

Ahoj, provozuji web www.Photopea.com , je tam za den asi 90 000 otevření stránky, traffic asi 4 TB měsíčně, vše pouze statický obsah (HTML, CSS, JS soubory, žádné PHP nebo MySQL).Mám hosting u HostingSolutions.cz za cca 1200 Kč ročně. Posledních 24 hodin zažívají nějaký DDOS útok a za těch 24 hodin jsem dostal cca 30 zpráv ze zahraničí, že někomu nejde otevřít moje stránka (mně v Česku jde bez problémů a podle statistik je víc lidí, kterým to jde, než těch, kterým to nejde).Má smysl přejít na jiný hosting, třeba na wedos.cz ? Je možné, že jiný hosting bude umět lépe se vypořádat s DDOS útoky? Nebo to hrozí každému a nejde s tím nic moc dělat?Ještě je tu dlouhodobý problém, že se mi v Česku stránka načte za 3 sekundy, ale v zahraničí to je třeba i přes 7 sekund.

Pokud je služba jen HTML+JS, tak za cenu řádově jednotek dolarů můžete službu hostovat u AWS s CDN s nejlepší možnou dostupností a odezvou po celém světě. Vykašlete se na všchny webosy apod., není to na to stavěné.

Hele Wedos asi ne. Sice mají nejlepší hardware, takže umí odfiltrovat nerelevatní traffic, ale zabíjejí to množstvím webu na jednom serveru. Prostě low cost řešení. Tvůj nástroj je fakt super a docela i ve světě známej tak se DDOS dají čekat vždy. Celkem se divím, že dávno nejsi na nějakém virtuálu či dedikáči. Nevím kolik máš platících uživatelů, ale každopádně pokud to jde doporučuji někoho kvalitního jako VShosting, Master, Spolehlive-servery atd... Ikdyž nejsem tvůj zákazník, fandím ti a jen tak dál. Obdivuji všechny našince co dokazují světu že nejsme jen švejci :-)

wedos není dobrá volba na vysokonavštěvovaný web.Podle popisu může být s zahraniční linkou od hostingu, která se může daleko rychleji ucpávat než ta česká v nixu. Chtělo by to lepší čísla. Nemusí se vůbec jednat o nějaký útok, jen je třeba nějaká trasa, kudy tečou data ucpaná někým jiným a proto ti to nejde.Docela se osvědčuje použití globálních cdn typu cloudflare či cdh77. U nás v ČR na takovéhle projekty není třeba špatný superhosting.cz (ač je osobně nemám rád, slouží na tohle dobře).Teď jsem zkoušel z pár zahraničních serverů a několikrát mi vytimoutoval dns dotaz, např. "dig @dns2.hostingsolutions.cz +short A photopea.com" nedoběhl, na podruhé již ale ano. Zkusil bych se při řešení také podívat na nameservery (případně se zeptat hostingu, jestli neevidují nějaké problémy).Jinak stahování obsahu z webu jede dostatečně rychle na všech možných místech, které jsem zkoušel. Podle grafů peeringu nevypadá, že jsou některé trasy vytížené a v současné době nevidím žádné divné chování kromě výše zmíněného dns.

Mirek Novotny: on už u Master v podstatě je, HostingSolutions.cz jede přes ně :)

Píši, že je to DDOS, jelikož mi z HostingSolutions.cz potvrdili, že pozorují DDOS. Včera večer mi web nešel dokonce ani tady v Česku.Peníze pro mě nejsou problém. Mám tam i PHP, které je pro Wordpress blog (cca 1000 otevření denně). Spíš se mi nechce učit nové ovládací prostředí. Navíc AWS vypadá dost složitě. Už jsem si zvykl na své přesouvání JS souborů myší do FileZilly, která to nahraje přes FTP :)Pomohlo by s DDOS a s rychlostí načítání třeba CDN od CloudFlare? Kdysi jsem na některých webech vídával něco jako "Loading CloudFlare ..." než se načetla stránka, tak mě to dost odradilo, že to nejspíš jen prodlužuje dobu načítání.

U AWS to funguje stejně jako přetáhnutí souborů myší na FTP. Jde jen o to, to nastavit. Cloudflare vyzkoušejte. "Loading .." se ukazuje jen když na vás míří ddos, jinak je to zcela transparentní, bez zpomalení.

hostingy poslední dobou říkají DDOS ledasčemu přestože se nemusí jednat o žádný útok, měl bys to v tom případě spíše řesit s nimi. DDOS jsou masivní distribuované, zpravidla to jde vidět na lince dost výrazně.CDN tomu může hodně pomoci, Cloudflare svoji loading page zobrazuje nejen v případě útoku, ale kdykoliv, když backend (tvůj hosting) nestíhá ač je už důvod jakýkoliv, třeba nestíhá běžnou/špičkovou zátěž nebo vyhazuje chyby. Velkou spoustu útoků a pokusů ale hodně efektivně odstíní a návštěvník o ničem neví.U aws může být problém, že platíš za trafik, bez CDN tě to může při 4 TB měsíčně vyjít na stovky eur měsíčně.

Napsal TomášX;1522841

Docela se osvědčuje použití globálních cdn typu cloudflare či cdh77. U nás v ČR na takovéhle projekty není třeba špatný superhosting.cz (ač je osobně nemám rád, slouží na tohle dobře).

Jen FYI: CDN77 = SuperHosting

Podle správce hostingu jde o útok na DNS servery v řádech Gbps. DNS servery tak nezvládají odpovídat na množství dotazů.Doporučili byste mi nějaký nástroj na zjištění míry DDOS útoku? Jaké je procento lidí, kterým nefunguje stránka, případně z jakých zemí jsou. Nástroj, který by třeba zkusil otevřít moji stránku z deseti různých míst planety, v každém místě desetkrát s rozestupem deset sekund. Je něco takového? Momentálně vůbec nevím, zda útok ještě trvá nebo ne.Zkusil jsem https://www.uptrends.com/tools/uptime , všude píše, že web je přístupný.Naopak tento nástroj https://www.uptimia.com/website-availability-test říká, že web nefunguje v Tokyu a v Sydney. Ale to samé říká i pro Google.com, takže je to asi chyba u nich.

Spíše než nástroj, kde to nejde ti opravdu pomůže změna hostera. Dnes je nabídka již velká a dnešní situace ti aspoň budiž na ponaučení, že na takto velké projekty to chce někoho robustního. Možná menší hosting má výhodu v osobním přístupu, na druhou stranu pokud se jedná o něco takového tak prostě nemají na to dimenzovaný HW.

koukal jsem na grafy vytížení peeringových linek u Master Internetu, tam jsem žádný velký peek a ani drop neviděl, z toho usuzuji, že DDOS nebyl velký a měl ho poskytovatel/hosting dobře zvládnout. Výhodá cloudflare, akamai, ovh a dalších bran je jejich obrovská kapacita na filtrování, běžný hosting to nikdy nedokáže pokrýt.Pokud něco takovéhoto řeším, vezmu si více serverů, spustím traceroute na cílový web, podívám se na uzly, jejich počet a odezvu, zjistím si jejich AS a přes bgpmon.net se mrknu přes co a jak peeruje, jestli tam není slepá trasa nebo nebyly v posledních hodinách výrazné změny, které ukazují na problémy s konektivitu či přetížení tras. Porovnání s grafy využití linek v peering centrech se dá doodvodit, kde a jestli je problém s DDOS, tj. masivním útokem nebo jen s DOS (dobným útokem), který ale může výrazně vytěžovat konkrétní službu (dns, web server či třeba registrační formulář). V tvém případě jsem žádné divnosti neviděl.Problémy s DNS jsem také zaznamenal, nameservery mi včera neodpovídaly. Tok několik GB/s nejde tolik vidět, ale dns to položí. Pak je i složité říct kdo je opravdu cílem, mají jeden společný a rozhodně neplatí, že dotazy na určitý web z něbo dělají cíl.Změna hostingu nic nevyřeší, pokud se to bude opakovat, měl bys změnit nameservery (dns) a přejít k většímu poskytovateli, klidně i k samotnému master Internet, s jeho dns mám dobré zkušenosti, stejně tak trěba s digital ocean, ti mají solidní kapacitu na dns.Služby, které jsou tady zmíněné dobře fungují na monitoring z více regionů, nedá se tím ale moc detekovat takovéhle útoky na dns, jsou totiž dost nepředvídatelné a chovají se nesouměrně, většina dns provozu je odbavena reverzními dns servery (google 8.8.8.8, cloudflare 1.1.1.1 či ty u O2, upc atd.), ty si jednou odpověď zacachují a pak si jí nechají dlouho u sebe (podle TTL, ty máš myslím 600s, klidně to můžeš prodloužit). Tohle se prostě blbě detekuje, nevíš jaky resolver používají tvý zákazníci (zpravidla mají nějaký od svého ips) a případná monitoring služba používá úplně jiný, takže testuje něco jiného.Moje první reakce přesně v tomhle případě by byla hodit si 5 min ceon, který bude posílat dns dotaz na tvůj web na největší veřejné dns resolvery a tím držet tvůj web v jejich cache, tím snížíš aspoň trochu situaci, kdy tvůj web v cache nebude a bude kuset letět dotaz na přetížené servery od hostingu.Migrovat dns není těžké a lze to bez jediného výpadku. Je také možnost jeden odebrat a přidat dva další nezávislé, které by pokryli riziko podobných nedostupností, vůbec nemusíš mít dns servery pouze od jednoho provozovatele, běžně jich na projekty dáváme více a měníme je v případě problémů.

Dnes nastaly nejspíše nějaké další DDOS útoky na DNS, chvílemi mi nešlo FTP.Zkusil jsem dnes přejít na CDN CloudFlare. Když ale testuji dostupnost www.Photopea.com přes https://www.uptrends.com/tools/uptime , vidím stále několik lokací červeně. Měl by CDN tyto problémy vyřešit? Je možné, že se v tom testu používají staré DNS záznamy?

vidím, že proti minulosti došlo ke změně Nameserverů, ale ještě nejsou plně propagovány.Google a Cloudflare vidí tyhle dva:dig @1.1.1.1 +short NS photopea.comns1.hostingsolutions.cz.czns2.aziendeitalia.com.Jinde ale už vidím nové přes cloudflare CDN:abby.ns.cloudflare.com.greg.ns.cloudflare.com.Máš tam ale strašně vysoké TTL na NS (21573s), tj. cca 6 hodin. Může trvat i dva dny než se to zpropaguje všude, u většiny to ale bude trvat do těch šesti hodin. Na uptrends nejspíš ještě vidí staré NS a proto to občas nefunguje, vydrž a zkus někdy v noci, mohlo by se to zlepšit. Bohužel propagace DNS změn není možné příliš urychlit a také se to hůře kontroluje, stará cache mohla zůstat jen u nějakého lokálního poskytovatele internetu a pár lidem to nefunguje. Už to ale vše vypadá na dobré cestě.Pokud zkouším ten aziendeitalia.com z různých lokalit, dostávám timeout:dig @czns2.aziendeitalia.com +short photopea.com;; connection timed out; no servers could be reachedTo je buď tvůj experiment nebo hostingu, či to je zrovna část, která je pod útokem a je přetížená.Z mých serverů co mám k dispozici je photopea.com v pořádku dostupná a rychlost reakce je v pořádků (jak dns, tak i soubory). Na uptrends jsem na první pokus dostal chybu u Soulu, na druhý už bylo vše zelené.

Já jsem to CDN nakonec vypnul kvůli nějaké chybě s certifikáty: https://stackoverflow.com/questions/55853948/cloudflare-cdn-and-certificates . Takže teď zas čekám, až se zpropaguje aziendeitalia + hostingsolutions :D Zároveň jsem na CloudFlare CDN dal "pauzu" - dotazy se přímo přesměrují na DNS hostingu.Znáte tady někdo CloudFlare? Teoreticky mohu nechat adresy jejich DNS a takto to pauzovat kdykoli, a projeví se to okamžitě, že?Trochu lituji, že jsem se tím nezabýval dřív. Teď mě každá minuta nefunkčnosti znamená desítky naštvaných uživatelů.