Hosting a DDOS útoky

25. 4. 2019 19:45:19

Popravde to nie je chyba len sa ešte nespropagoval certifikat. Pauza u CF nepresmeruje DNS ale len vypne CDN. DNS stale propaguju oni.

O tom som ale už pisal v sprave tak snáď si poradíte svojpomocne.

25. 4. 2019 19:45:19

https://webtrh.cz/diskuse/hosting-a-ddos-utoky/strana/2#reply1397837

TomasX

(4 hodnocení)

26. 4. 2019 10:48:38

a jak máš nastavení TLS/SSL ve Crypto sekci administrace? Měl bys tam mít full, zároveň je nutné počkat cca den než vygenerují vlastní certifikát nebo jim tam nahrát ten tvůj současný (ten má ale omezenou platnost a je nutné ho pak ručně obnovovat a nahrávat nový).

DNS klidně nech u nich, CloudFlare má slušnou kapacitu a dostupnost jejich name serverů a u některých projektů je rád doporučuji. Neprojeví se to vždy okamžitě, DNS záznamy si na cestě může kdokoliv cachovat, doba cachování je určena nastavením TTL u samotných záznamů (v sekundách), teď ho máš hodně vysoký, takže propagace změny trvá značnou dobu. Sniž TTL (minimální hodnota je 60) a pak můžeš relativně rychle přepínat přímo v administraci.

To se bohužel stává, dokud nejsou problémy, málokdy na problémy myslí a ošetřuje si je dopředu, teď jsi poučený, máš poměrně jednoduchý backend (jen vrací soubory jak koukám), takže přechod či změny se ti dělají o poznání lépe než, když je potřeba migrovat velké databáze. Máš krásnou možnost si do zálohy vzít klidně ještě jiný hosting/cloud, tam mít druhou kopii a v případě podobných dlouhých a kritických problémů na primárním hostingu přepnout DNS na záložní hosting a jet z něho. DNS bych nechal u CloudFlare, budeš se daleko méně setkávat s výpadky nebo nestíháním, přeci to je jen znatelně větší hráč a pro tvůj projekt je asi vhodnější mít globální podporu.

26. 4. 2019 10:48:38

https://webtrh.cz/diskuse/hosting-a-ddos-utoky/strana/2#reply1397836

Ivan90

26. 4. 2019 11:30:51

V nastavení svého hostingu (hostingsolutions) jsem snížil TTL z 24 hodin na 4 hodiny. Přepnul jsem photopea.com zpátky na CloudFlare DNS, ale mám to stále "pauznuté" (vypnutá CDN). Počkám den, až se to zpropaguje. Pak by se pauznutí/odpauznutí CDN mělo projevit okamžitě všem, protože s DNS se už nebude hýbat. Rozumím tomu správně?

CloudFlare Crypto mám na "Full". CloudFlare CDN tedy potřebuje mít vlastní verzi certifikátu? Znamená to, že když bych provozoval jejich CDN a na hostingu se změnil certifikát, tak stránky pokaždé přestanou na den fungovat (v prohlížeči hláška o neplatnému certifikátu), než si CloudFlare vygeneruje certifikát?

26. 4. 2019 11:30:51

https://webtrh.cz/diskuse/hosting-a-ddos-utoky/strana/2#reply1397835

TomasX

(4 hodnocení)

26. 4. 2019 12:22:18

zapnutích CloudFlare CDN pro tvůj web prakticky znamená změnu A záznamů v DNS na CloudFlare adresy, tím se veškerý provoz na web přesměruje přes jejich infrastrukturu a zajistí cachování statického obsahu (obrázky, css, js). S DNS A záznamy se bude hýbat pokaždé, když jejich CDN zapneš/vypneš. To můžeš buď dělat manuálně na svém Name serveru (u tvého hostingu) nebo automaticky, pokud zároveň používáš CloudFlare DNS, což teď používáš.

Takhle nějak vypadá schéma zapojení CloudFlare CDN proti původním:

Certifikát pro https musíš mít na dvou místech, na původním hostingu (proto musíš u CloudFlare volit režim full, CloudFlare totiž na pozadí načítá obsah z tvého webu také pod https) a nově na CloudFlare CDN , aby také návštěvník měů šifrovaný web. Do CloudFlare můžeš buď nahrát tvůj současný certifikát a privátní klíč ručně nebo si nechat vygenerovat zdarma od CloudFlare (trvá cca těch 24h). Ano, dokud nemá vlastní, vrací nějaký erární, proto prohlížeč křičí.

26. 4. 2019 12:22:18

https://webtrh.cz/diskuse/hosting-a-ddos-utoky/strana/2#reply1397834

Ivan90

26. 4. 2019 12:46:40

Pokud tomu tedy rozumím, tak CloudFlare CDN nemůžu použít, jelikož nechci mít nefunkční web 24 hodin při změně certifikátu, zároveň jsem líný tam pokaždé nahrávat certifikát ručně (asi bude záležet na přesném času nahrání, musel bych vstávat uprostřed noci atd.).

Má nějaký smyls provozovat CloudFlare CDN v pauznutém módu? Pomůže to, kdyby probíhal DDoS útok na DNS na HostingSolutions?

26. 4. 2019 12:46:40

https://webtrh.cz/diskuse/hosting-a-ddos-utoky/strana/2#reply1397833

TomasX

(4 hodnocení)

26. 4. 2019 13:04:16

těch 24h trvá jen při prvním zapnutí než si CloudFlare vystaví certifikát pro tebe a zároveň ručně ověří tvůj web, lze to obejít dočasně právě nahráním vlastního. Poté již CloudFlare funguje v pořádku. Lze si také u nich za cca stovku měsíčně zaplatit vlastní certifikát, který vystaví pouze pro tebe.

Za mě má smysl provozovat CloudFlare DNS, jak to máš teď, výrazně snížíš riziko, že ti to nějaký DDoS na DNS položí, jejich kapacita a technické schopnosti jsou obrovské. Přepnout to můžeš v závislosti na velikosti TTL. CloudFlare CDN je naopak zase ochrana tvého webového serveru, přeci jen má také omezenou kapacitu a může ho útok položit, jsou to dvě různé služby.

CloudFlare CDN si určitě zprovozni a vyzkoušej si jak ti funguje, předpokládám, že máš nějakou testovací nebo beta subdoménu, můžeš experimentovat na ní a pak přepnout ostrý web s jistotou. Určitě si nachystej záložní řešení, nikdy nevíš co se kde rozbije, máš-li na to svůj čas, investice se ti vrátí.

26. 4. 2019 13:04:16

https://webtrh.cz/diskuse/hosting-a-ddos-utoky/strana/2#reply1397832

Oleg

(53 hodnocení)

26. 4. 2019 13:25:55

Jaky pouzivas na serveru SSL? Nejaky zakoupeny nebo bezplatby Let's Encrypt?

Pokud chces pouzivat certifikat vyhradne CF, tak musis v sekci Crypto - Cloudflare mit nastaven Flexible. Pak v sekci Page Rules mit vytvorene pravidlo: *photopea.com/* v nastaveni SSL > Flexible.

Na hostingu svuj certifikat LE SSL vypni.

Pokud na svem webu pouzivas vsude SSL, pouzij v sekci Crypto:

Always Use HTTPS | ON

HTTP Strict Transport Security (HSTS) tady optimalni nastaveni bude nasledujici:

Status: On

Max-Age: 6 months (Recommended)

Include subdomains: Off

Preload: Off

Authenticated Origin Pulls | ON

Minimum TLS Version | 1.2

Opportunistic Encryption | ON

Onion Routing | ON

TLS 1.3 | Enabled + 0RTT

Pozor na sekci Speed, pokud pouzivas hodne kritickych JS muze ti to web znefunkcnit, kazdopadne, kazdou zmenu kterou tam udelas, tak pak jdi do sekce Caching a pokazde dej Purge Everything, to abys pripadne mohl rychle vycistit cache pri spatnem nastaveni cachovani.

Jinak, nejakou chvili trva, nez CF prevezme DNS, pak si to muzes pauznout jak chces, ale nedelej pauzu v prubehu presmerovani, oddelas si to fakt na den az dva.

Jeste pak zkontroluj jake NS zaznamy pujdou pres CF a ktere ne, pokud pouzivas DKIM, DMARc, SPF, google-site-verification a ja nevim jake dalsi zaznamy tam mas, tak to cele pridej do DNS, obcas CF z nejakeho duvody tyto zaznamy neziska automaticky.

Pres Cloudflare by ti meli jit jen A zaznam, pripadne AAAA, CNAME. Zaznamy jako FTP, IMAP, SMTP apod, nech na automatu, aby nesmerovaly pres CF.

26. 4. 2019 13:25:55

https://webtrh.cz/diskuse/hosting-a-ddos-utoky/strana/2#reply1397831

Ivan90

2. 5. 2019 10:17:33

Používám na serveru Let's Encrypt.

Pokut tedy správně chápu, nyní se používá CloudFlare jako hlavní DNS mojí stránky, avšak bez CDN (data se vždy stahují přímo z mého hostingu).

Tady https://www.uptrends.com/tools/uptime vidím dost krátké časy. Je to díky rychlému DNS u CloudFlare? Nebo se pletu?

2. 5. 2019 10:17:33

https://webtrh.cz/diskuse/hosting-a-ddos-utoky/strana/2#reply1397830

Samgarr

(8 hodnocení)

2. 5. 2019 11:24:02

Pokud pro tebe nejsou penize problem tak si najmi nekoho kdo ti navrhne a realizuje odpovidajici reseni. Bastlit hosting pro globani projekt z free CDN a levneho ceskeho hostingu se ti nevyplati.

2. 5. 2019 11:24:02

https://webtrh.cz/diskuse/hosting-a-ddos-utoky/strana/2#reply1397829

Ivan90

8. 5. 2019 21:20:37

Opět mi nejde www.Photopea.com (a ani žádný jiný web na hostingu), prohlížeč hlásí ERR_CONNECTION_REFUSED .

Nevíte, podle čeho si mám vybrat nový hosting? Zatím mi všechny komentáře přijdou ve stylu "když to bude dražší, tak to určitě musí být lepší". Mě spíš zajímá, o kolik dražší mám vyhledávat (abych nepřijal něco, co bude jinde 3x levněji). Je možné sehnat hosting např. s nějakou zárukou, že třeba za každou minutu offline by mi zaplatili pokutu?

8. 5. 2019 21:20:37

https://webtrh.cz/diskuse/hosting-a-ddos-utoky/strana/2#reply1397828

Vladimír Pilný

(62 hodnocení)

8. 5. 2019 22:32:23

Platit pokutu za offline hosting, to pobavilo :D to bych byl milionář..

8. 5. 2019 22:32:23

https://webtrh.cz/diskuse/hosting-a-ddos-utoky/strana/2#reply1397827

Bogdan

(1 hodnocení)

8. 5. 2019 23:05:56

https://webtrh.cz/diskuse/hosting-a-ddos-utoky/strana/2#reply1397826

Jindrich Radic

8. 5. 2019 23:44:25

Napsal Ivan90;1526094
Opět mi nejde www.Photopea.com (a ani žádný jiný web na hostingu), prohlížeč hlásí ERR_CONNECTION_REFUSED .
Nevíte, podle čeho si mám vybrat nový hosting? Zatím mi všechny komentáře přijdou ve stylu "když to bude dražší, tak to určitě musí být lepší". Mě spíš zajímá, o kolik dražší mám vyhledávat (abych nepřijal něco, co bude jinde 3x levněji). Je možné sehnat hosting např. s nějakou zárukou, že třeba za každou minutu offline by mi zaplatili pokutu?

Better Cloud VPS

8. 5. 2019 23:44:25

https://webtrh.cz/diskuse/hosting-a-ddos-utoky/strana/2#reply1397825

Mirek

(61 hodnocení)

9. 5. 2019 15:04:37

Napsal Ivan90;1526094
Opět mi nejde www.Photopea.com (a ani žádný jiný web na hostingu), prohlížeč hlásí ERR_CONNECTION_REFUSED .
Nevíte, podle čeho si mám vybrat nový hosting? Zatím mi všechny komentáře přijdou ve stylu "když to bude dražší, tak to určitě musí být lepší". Mě spíš zajímá, o kolik dražší mám vyhledávat (abych nepřijal něco, co bude jinde 3x levněji). Je možné sehnat hosting např. s nějakou zárukou, že třeba za každou minutu offline by mi zaplatili pokutu?

Jelikož máš celkem oblíbený projekt tak bych šel cestou minimálně VPS, v tvém případě radši Managed VPS. Dál bych popřemýšlel o používání placené CDN. Já třeba používám BunnyCDN, dost lidí by ti asi i doporučilo CDN77 a nebál bych se i nějakého lepšího tarifu u CloudFlare. Něž bych se rozhodl kam jít, určitě bych si udělal analýzu zákazníků odkud jsou. Hlavně ti platící. Jestliže máš většinu zákazníků z US, přemýšlel bych o VPS tam. Lecos ti samozřejmě ošetří správně nastavena CDN, ale není důvod být od platících zákazníků dál než je nutné. Určitě vybírej někoho většího. U oneman show, budeš mít možná inviduální přístup, ale jakmile odejde nějaký HW tak to obvykle nevymění tak rychle jako větší společnost.

9. 5. 2019 15:04:37

https://webtrh.cz/diskuse/hosting-a-ddos-utoky/strana/2#reply1397824

Oleg

(53 hodnocení)

9. 5. 2019 16:20:13

Napsal Ivan90;1526094
Opět mi nejde www.Photopea.com (a ani žádný jiný web na hostingu), prohlížeč hlásí ERR_CONNECTION_REFUSED .
Nevíte, podle čeho si mám vybrat nový hosting? Zatím mi všechny komentáře přijdou ve stylu "když to bude dražší, tak to určitě musí být lepší". Mě spíš zajímá, o kolik dražší mám vyhledávat (abych nepřijal něco, co bude jinde 3x levněji). Je možné sehnat hosting např. s nějakou zárukou, že třeba za každou minutu offline by mi zaplatili pokutu?

A zprovoznil jsi alespon ten Cloudflare?

9. 5. 2019 16:20:13

https://webtrh.cz/diskuse/hosting-a-ddos-utoky/strana/2#reply1397823