DDOS uzbrukumi serverim

[lambo]

Tātad situācija sekojoša pirms 3 dienām no datucentra atnāca vēstule, ka manis izvietotajam serverim ir veikts uzbrukums 2 nedēļu laikā 3x.
Pēdējā reizē viņiem pašiem tur viss sāka bremzēt utt un mani palūdza serveri savākt. Tagad serveri izvietoju nopietnākā datucentrā un pec 1 dienas, atkal man zvana un saka, ka ir veikts uzbrukums un viņi arī lauž līgumu ar mani un prasa serveri savākt, kantoris itkā nopietns 60 EUR mēnesi jāmaksā par 1U serveri.

P.S 1 datucentrā serveris stāvēja 6 gadus un nekādas problēmas nekad bija bijušas.

 

Nezinu ko iesākt, sanāk ka jebkuru projektu šitā var nodosēt līdz vnk viņu izmet ārā no datucentra??

Edited January 10, 2015 by lambo

[e-remit]

Sauc Datu centrus vārdos, lai kāds zina, ko ieteikt!

[lambo]

Nav problēmu 1. esteria.lv 2.login.lv (balticom ISP)

Bet varbūt kāds ieteiks ko darīt manā situācijā?

[briedis]

Serveris ir kaut kāds monstrs? Kāpēc nelieto virtuālo? Pa 60 eur, man liekas, var diezgan zolīdu konfigurāciju dabūt. Varbūt arī pasaulē populāri vhosti nebūs tādi ņuņņas kā vietējie kantori :)

[spainis]

cloudflare.com

[Džei]

cloudflare aizsargā tikai 80, 8080, u.c. ar http servisu saistītos portus. 

[Kavacky]

A ko tad tev vēl vajag?

[lambo]

Serveris ir kaut kāds monstrs? Kāpēc nelieto virtuālo? Pa 60 eur, man liekas, var diezgan zolīdu konfigurāciju dabūt. Varbūt arī pasaulē populāri vhosti nebūs tādi ņuņņas kā vietējie kantori :)

Nē, manuprāt, nav nekāds monstrs

RAM: (2x Kingston 2 GB 800MHz DDR2 ECC CL5 DIMM 2GB) :

CPU (Intel Xeon Quad Core X3350 LGA775 2.66GHz/12M/1333)

PLATFORM (Intel SR1530SH 1U)

HDD (2x Western Digital Raptor WD1500ADFD 150 GB 10k RPM 10000)

 

Man ir svarīgs ātrums tieši latvijas lietotājiem tāpēc interesē izvietototies Latvijā.

[Kemito]

Kavacky, šim vajag vēl 27015 :D

[Roze]

Bet varbūt kāds ieteiks ko darīt manā situācijā?

Svarīgi ir kāds tas DDOS ir bijis, proti, vai tas ir kaut kas specifiski vērsts pret kādu aplikāciju (piemēram webserveri) vai vienkārši naturāls floods ar mērķi aizsist servera/provaidera trubu (arī vai tam ir gadījuma raksturs vai mērķtiecīgi tēmēts (kādam ir kāds kreņķis pret Tevi)).

 

Pēdējā variantā visplašāk izplatītais ir tā saucamais UDP floods, kur izmantojot botnetus un/vai dažādas ievienojamības serveru programmatūrā (piemēram ntp vai dns), tiek vienkārši gāzti liela apjoma dati un nav pat svarīgi vai uz servera vai provaiderim ir kaut kādi firewalli, jo trafika apjoms ir tik liels (mērāmi pārdesmit līdz pārsimt gigabitos sekundē), ka normāli pārstāj strādāt datucentra iekārtas. Maziem ISP / datucentra pakalpojumu sniedzējiem nav īsti mehānismu kā ar to cīnīties (ka vienā vai otrā veidā izraujot kabeli (mainot klienta IP utt)).

 

Viens no variantiem būtu apskatīt kādas iespējas (protams, atkarīgs no finansēm) ir izvietot savu serveri kādā no lielākajiem datucentra pakalpojumu sniedzējiem (piem Lattelecom, Telia, Deac) - tas protams neizslēgs DDOS, bet nerezultēsies ar to, ka klients tiek mests laukā no datucentra, kas principā ir (būtu jābūt) datucentra viens no pamatpakalpojumiem, goda un cieņas jautājumiem.

ISP/DC pakalpojumu sniedzējiem, kam ir savas starptautiskās trubas (vai piemēram, kā Telia kurai mātes uzņēmums vispār ir starptautisks carriers) ir iespējas vai nu pašiem vai ar savu peeringa partneru palīdzību risināt šos uzbrukumus augstākā līmenī (bloķēt upstreamus utt).

 

No tehniskā viedokļa (ja ir iespēja aprunāties vēl ar esošajiem DC speciālistiem) tā kā Tu mini, ka serveris principā domāts ir Latvijas auditorijai, tad kā variantu DDOS "apiešanai" var viņiem minēt un izmantot tā saucamo BGP Black Hole routingu provaidera AS/router iekārtā - proti, tā kā Latvijas internets LIX ir principā "atdalīts" no starptautiskā tīkla (izmanto citus kanālus), tad šāds piegājiens pilnībā nogriež piekļuvi/trafiku no ārzemēm.

 

 

 

Nezinu ko iesākt, sanāk ka jebkuru projektu šitā var nodosēt 

 

Principā var jā, mūsdienās pat ir cilvēki, kas pa pāris (pārdesmit) dolāriem tirgo tīkla kapacitāti šādiem mērķiem ( http://top10booters.com).

[Plutons]

Roze, Autors jau nekur nav minējis vai tas DDOS nav ar Latvijas trafiku :)

[Roze]

Roze, Autors jau nekur nav minējis vai tas DDOS nav ar Latvijas trafiku :)

Latvijas trafiku ISPi/DC parasti spēj "apkarot" t.i. pāris zvani un kaitnieciskā iekārta/avots tiek iznīdēti  .. Dieva zīmes un roku plātīšana (arī dažādos citos kiberpārkāpumos) sākas brīdī kad IP ir ne-Latvijas.

[lambo]

Kad paprasīju login.lv sys adminam sīkāku informāciju par uzbrukumu dēļ kura mani palūdza savākt serveri man atbildēja:
 

Labdien,

Diemžēl mūsu upstrimam ne palika log failu no ta gadījuma. Jā tas atkārtosies viņš atsūtīs mums informāciju.

Bet kopumā es apmēram nojaušu kurš cilvēks tas varētu būt, jo vel nesen viens cītīgi DOSOJA, toreiz gan viņam nekas nesanāca, tad nu laikam paguglējis un caur šiem stress testing servisiem panāca vēlamo effektu. Sanāk jebkurš low var panākt ka datucentrs paprasa projekta īpašnieku izņemt serveri. Dīvaini.

[lambo]

p.s un ko jūs teiktu par šo te: http://lattelecom.lv/biznesam/izvele-un-cenas/mazs/tirdznieciba/mazumtridznieciba, ja šādu internetu paņem sev offisā uz viņu būtu reāli turēt serveri??

[Plutons]

Bet ko darīsi ja pazūdīs elektrība, vai LTC kas noklāsies ? DC par to visu parasti tiek padomāts

Edited January 10, 2015 by Plutons