Menší ale časté DDOS útoky na http – jak často je řešíte?

13. 6. 2017 08:20:28

Zdravím, jak často se vám stáva, že vám na web utočí někdo přes ddos?

Mě s pravidelností cca 1 do měsíce. Naposled včera během dvou minut cca 170 blokovaných IP adres z různých subnetů. Celkově 17-27 tisíc požadavků na dynamicky generovaný obsah během minuty. Mám sice své řešení na automatické blokování které zahrnuje použití memcache a následně při detekci utoku i firewall ale i tak to v případě zvyšování počtu IP adres zapojených do útoku nebude stačit.

Žádný vyděračský email mě nepřišel, tak nevím jaký k tomu má kdo důvod.

13. 6. 2017 08:20:28

https://webtrh.cz/diskuse/mensi-ale-caste-ddos-utoky-na-http-jak-casto-je-resite#reply1284505

Václav Dušek

(77 hodnocení)

13. 6. 2017 08:29:05

Co hosting? Zazamanal nejaky takovy provoz jeho firewall? Maji nejakou ochranu?

13. 6. 2017 08:29:05

https://webtrh.cz/diskuse/mensi-ale-caste-ddos-utoky-na-http-jak-casto-je-resite#reply1284504

weby

(2 hodnocení)

13. 6. 2017 08:34:02

Hostuji si pres 10 let sám na svém železu :) ale není to můj hlavní obor.

Oni to jsou v zásadě jen opakováne requesty na http stránky, či stránku jak jen rychle to síť dovolí. Na jiných vrstvách jsem si ničeho nevšiml, a http by ani nikdo jiny po cestě moc neřešil.

13. 6. 2017 08:34:02

https://webtrh.cz/diskuse/mensi-ale-caste-ddos-utoky-na-http-jak-casto-je-resite#reply1284503

Václav Dušek

(77 hodnocení)

13. 6. 2017 08:49:24

1/ urcite mas sveho poskytovatele spojeni, ktery se stara o konektivitu a melo by byt v jeho zajmu minimalne monitorovat to, co prodava

2/ pokud to je jen HTTP, tak CDN nebo alespon predradit vlastni reverzni proxy cache, at se to do Apache ani nedostane

3/ To Apache nehlasi 503 chybu nebo neco podobneho?

13. 6. 2017 08:49:24

https://webtrh.cz/diskuse/mensi-ale-caste-ddos-utoky-na-http-jak-casto-je-resite#reply1284502

weby

(2 hodnocení)

13. 6. 2017 08:57:44

1/ nevim o tom, že by serverhousing co poskytuje pronájem racku mel povinnost filtrovat provoz, to neni jeho sluzba, obzvlast kdyz je utok veden pres bezne HTTP requesty, ktere by poznal spise jen kdyby provoz filtrovat pomoci sve proxy, takto to muze vypadat jako bezny provoz bez keepalive

2/ CDN je mozna motiv, jediny co me napada

3/ 503 posila server, tem co pretezuji prostredky

13. 6. 2017 08:57:44

https://webtrh.cz/diskuse/mensi-ale-caste-ddos-utoky-na-http-jak-casto-je-resite#reply1284501

Václav Dušek

(77 hodnocení)

13. 6. 2017 09:03:13

ad 1/ nema povinnost, ale byva to dobrym zvykem u serioznich hostingu

ad 2/ CDN nebo reverzi proxy odlehci HTTP serveru. Requst je zpracovan z vetsi casti drive nez v cilovem HTTP serveru

ad 3/ je potreba resit celou cestu zpracovani pozadavku. 503 z ciloveho serveru je to posledni misto

13. 6. 2017 09:03:13

https://webtrh.cz/diskuse/mensi-ale-caste-ddos-utoky-na-http-jak-casto-je-resite#reply1284500

weby

(2 hodnocení)

13. 6. 2017 09:12:57

1/ pochybuji, ale nejedna se o hosting ale serverhousing a ten by resil maximalne tak utoky na jine vrstve ne proste HTTP

2/ ano, jak jsem psal, jediny motiv co menapada propagace tech par nejznamejsich CDN :)

3/ to ano, pokud je to neco co se nejevi jako standartni provoz

13. 6. 2017 09:12:57

https://webtrh.cz/diskuse/mensi-ale-caste-ddos-utoky-na-http-jak-casto-je-resite#reply1284499

BeTriCH

13. 6. 2017 10:12:31

ad 1) Také pochybuji, že by to nějaký poskytovatel serverhousingu dělal. Vždyť ani nemůže rozpoznat, co je útok na HTTP a co není, protože on prakticky neví, jestli na hostovaném serveru běží web, kam chodí denně 10 lidí nebo 1 000 000 lidí. Samozřejmě standardně odfiltruje různé UDP útoky, SYN útoky apod. , ale aby někde na routerech ještě "zkoumal" HTTP komunikaci a určoval, zda je regulérní nebo ne, o tom dost pochybuji. Pokud útok vyloženě neucpává linku k serveru, tak se samotné filtrování řeší až na cílovém serveru.

13. 6. 2017 10:12:31

https://webtrh.cz/diskuse/mensi-ale-caste-ddos-utoky-na-http-jak-casto-je-resite#reply1284498

Václav Dušek

(77 hodnocení)

13. 6. 2017 10:30:25

A nekteri to delaji, napr. https://www.soyoustart.com/cz/anti-ddos.xml

13. 6. 2017 10:30:25

https://webtrh.cz/diskuse/mensi-ale-caste-ddos-utoky-na-http-jak-casto-je-resite#reply1284497

BeTriCH

13. 6. 2017 11:25:25

Z toho popisu neni teda vůbec zřejmý, že by to fungovalo i při regulérních HTTP dotazech na web server. Já se obávám, že ne, ale těžko říct. Moc bych tomu nevěřil.

13. 6. 2017 11:25:25

https://webtrh.cz/diskuse/mensi-ale-caste-ddos-utoky-na-http-jak-casto-je-resite#reply1284496

(20 hodnocení)

13. 6. 2017 11:28:33

a proc by nemelo? poznat takovy utok je snadne, protoze normalni provoz nevytvari z jedne ip neomezene mnozstvi stejnych ci minimalne dost podobnych pozadavku...

13. 6. 2017 11:28:33

https://webtrh.cz/diskuse/mensi-ale-caste-ddos-utoky-na-http-jak-casto-je-resite#reply1284495

BeTriCH

13. 6. 2017 11:35:03

Tady se ale bavíme o DDOS útoku, nikoliv o jednoduchém DOS útoku. Tedy mnoho IP adres posílá požadavky na náročné skripty (např. /xmlrpc.php), kdy se na cílovém serveru vyčerpávají prostředky a webový server vrací chybu 503. Linka k serveru nevykazuje žádné problémy, protože to není DDOS na zahlcení linky.

Už jen když se nad tím logicky zamyslím, jak by mohl poskytovatel serverhousingu vůbec poznat, že to není regulérní provoz na server? Vždyť on přece vůbec netuší, co na serveru provozuju a jestli ty tisíce požadavků jsou normální návštěvníci nebo nějaký botnet.

13. 6. 2017 11:35:03

https://webtrh.cz/diskuse/mensi-ale-caste-ddos-utoky-na-http-jak-casto-je-resite#reply1284494

(20 hodnocení)

13. 6. 2017 11:42:52

i narocne DDOS mivaji spousty znaku podle kterych to jde identifikovat jako nebezny provoz (ne treba hned, ale po chvili sbirani udaju), ale konkretni algoritmy si vsechny firmy chrani, prave proto, ze to zas tak jednoduche neni a vyhodu ma ten komu to funguje :)

13. 6. 2017 11:42:52

https://webtrh.cz/diskuse/mensi-ale-caste-ddos-utoky-na-http-jak-casto-je-resite#reply1284493

BeTriCH

13. 6. 2017 15:20:21

Jasně, určitě to je řešitelné, ale pořád se mi nechce věřit, že to běžně nabízí poskytovatelé serverhousingu, jak naznačoval vdusek. To se mi nezdá, že bych si umístil někam server a když na ten server přijde z ničeho nic 15 tisíc HTTP požadavků, že to poskytovatel bude řešit a filtrovat. Na tom serveru může fungovat klidně web, pro který je 15 tisíc HTTP požadavků úplné nic nebo to může být nějaká nárazová návštěvnost z reklamní kampaně, kterou server bez problémů zvládne.

Ale to jsme už zbytečně offtopic a zakladateli vlákna nijak nepomůže :-)

13. 6. 2017 15:20:21

https://webtrh.cz/diskuse/mensi-ale-caste-ddos-utoky-na-http-jak-casto-je-resite#reply1284492

weby

(2 hodnocení)

13. 6. 2017 16:45:50

Pokud by web bežel pod https tak by tento běžný typ ddos poskytovatel housingu určitě neměl jak poznat. Na http snad, ale to by musel analyzovat provoz což je nákladné.

O OVH si nedělám iluze, ale tvrdit že něco na sto procent odhalí je reklamní bullshit, který samozřejme není pravdivý = "že odstraňuje všechny nelegitimní IP pakety, zatímco legitimní nechává projít"

13. 6. 2017 16:45:50

https://webtrh.cz/diskuse/mensi-ale-caste-ddos-utoky-na-http-jak-casto-je-resite#reply1284491