Pull to refresh

Comments 27

По поводу блэкхола (т.е. анонса вашего адреса в блэкхол комьюнити на пиров) нужно понимать, что это по сути единственный способ защиты всех сервисов, работающих у хостера, если емкость атаки приближается к емкости входящих каналов. Как бы успешно вы ни "боролись" с DDoS дропом прилетающих к вам пакетов, эти пакеты еще надо через что-то передавать. И если физический канал подгрузят в полку - лучше если перестанет работать один атакуемый сервис, чем пострадают все.

Одной из рекомендаций DO было добавить всех валидных клиентов на их cloud firewall. Но это невозможно для нашего кейса (онлайн игра) Т.е. я полагаю канал у них достаточный, а отрубило в первый раз на атаке 500Mb/s. Это кхм кхм, очень низкий показатель для DDOS. Я бы сказал лучше если бы не пострадал никто ) И я очень надеялся что таким гигантам как DO подобные вещи не страшны, потому и выбрал их первоначально как хостинг

Канал у них достаточный, но зачем им терпеть если они могут заблекхолить адрес и не беспокоиться об атаке? Атака может увеличиться, может поплохеть серверу с виртуалками или какому-то коммутатору и прочее-прочее.

Это нормальная практика у хостинг-провайдеров. Если они не предоставляют услугу защиты от ддос и на ваш сайт/виртуалку прилетает атака, то ваш адрес блекхолится для защиты остальных клиентов от атаки.
Вам точно так же не хочется теперть потери пакетов, лаги и ошибки из-за того, что вашего соседа по серверу ддосят. Вы платите деньги за бесперебойную работу сервиса и хотите получать эту бесперебойную услугу не думая о соседях. Если вам нужна защита, то подключайте защиту.

Раз хостер такое позволяет, значит это плохой хостер с проблемной инфраструктурой.

Допустим DO плохой хостер с проблемной инфраструктурой.
Приведите примеры хороших хостеров с хорошей инфраструктурой, которые БЕЗ услуги защиты от DDoS будут терпеть атаку на виртуалку/сайт и не будут ничего предпринимать по ограничению доступа к виртуалке/сайту.

Hetzner например, у них нет такой услуги, зато есть защита от ддос на уровне инфраструктуры. Когда пару раз нас ддосили, они вежливо присылали об этом уведомления. Но никаких ограничений на сервера не накладывали.

я знаю одного хостера, который при небольшой атаке, которая не влияет на работу сервера или всех их мощностей только отсылает уведомление. когда атака начинает мешать, то тогда предпринимают меры.

возможно, в вашем кейсе подобная ситуация. мы же не знаем какая на вас была атака и какие атаки Hetzner может переживать без проблем, а какие уже с проблемами и начнёт защищаться.

вы же понимаете, что если прилетает в хостера условные 40Гбит/с udp-flood, то никто это терпеть и ничего не делать не будет? и что защита не может быть бесплатной, значит она включена в стоимость услуги.

Спасибо за кейс с DO и трехчасовым баном.

Единственное, хотел уточнить: только IP был отправлен в blackhole (ведь его можно сменить?) или были другие ограничения по аккаунту/droplet?

В общем случае можно:
1. Восстановить droplet из резервной копии
2. Назначить новый IP
3. Завести под Firewall от DO (если нужно -- под Load Balancer)
4. Выставить небольшой TTL для DNS
5. Завести домен под Cloudflare

Отключен был дроплет полностью от сети, доступ только из консоли DO, можно сделать все что вы перечислили, но

п. 3. Дроплет и так был под cloud firewall, но ведь порт открыт? весь трафик проходит

п. 5 Cloudflare предоставляет бесплатную защиту от DDOS для HTTP/S трафика, от UDP Flood у них есть платный инструмент, стоимость которого исчисляется в тысячах $.

ничего не мешает злоумышленнику направить трафик на новый IP адрес и также увести его в черную дыру

Некоторые хостеры прямо в правилах пишут, что будут отрубать сервер в случае DDoS-атаки. Я при покупке VPS у литовцев в правилах такое читал. Может и у Digital Ocean где-нибудь про это написано.

Где-нибудь далеко мелким шрифтом, вероятно, написано. Но я был в шоке, не ожидал что такое поведение вообще допустимо по отношению к клиентам )

Ничего удивительного. В первую очередь хостер хочет защитить себя.

Если вас атакуют по доменному имени

Какая причина делать это по имени? Всегда считал, что надо делать по IP, что бы не тратить время на бесполезные запросы.

Если хост начинает переезжать на другой IP, то добавить его в ботнет намного быстрее и дешевле, чем хосту переехать.

Не пользовался услугами "стресс тестов", поэтому не могу знать, возможно ошибка злоумышленника, возможно так конфигурируется услуга которую он покупал. В моей ситуации было именно так, случайно заметил что замена A записи в Cloudflare увела атаку на старый тестовый сервер, манипуляции с A записью позволяли мне некоторое время играться с трафиком ) Затем злоумышленник заметил это (зашел в дискорд и начал ругаться что мы от него бегаем) и настроил атаку на IP адрес.

Похоже, что он просто школьник. Тогда повезло с таким злоумышленником и я рад, что получилось это заметить и использовать.

Спасибо за эту информацию. У меня самого есть дроплеты на DO. Я даже и не подозревал, что с DDOS-ом там так плохо. Есть над чем задуматься.

Во-первых, как бы странно это не звучало, большое спасибо злоумышленникам, за то что заставили нас столкнуться с проблемой DDOS атак на раннем этапе нашего проекта.  /

был у меня клиент, владелец винного магазина в Мюнхене, и он так искренне радовался, когда прилетал DDoS - "ну значит у мне дела лучше, чем у тех, кто меня атакует"

UFO just landed and posted this here

Cloudflare предоставляет бесплатную защиту от DDOS для HTTP/S трафика, от UDP Flood у них есть платный инструмент, стоимость которого исчисляется в тысячах $.

Для полноты картины было бы любопытно, как вы вычисляли ip для ipset в вашем конкретном случае?

использовал утилиту iftop

iftop -nNPt -L 5000 -s 1 1> iftop-log.txt 2>/dev/null
cat iftop-log.txt | grep ":22005" -A 1 | awk '{ print $1 }' | grep -x '[0-9\.\:]\{9,25\}' | grep -Eo "[0-9]+\.[0-9]+\.[0-9]+\.[0-9]+"

далее обрабатывал список ip адресов, убирая валидных игроков

grep -Fvxf players.txt dump.txt | uniq > possible-ddos-ip-address-list.txt

Не совсем про DDoS и не совсем это вам подойдёт (так как у вас игры и UDP), но если вдруг необходимо проверить нагрузку на веб-сервисы (сайт/API), то рекомендую попробовать https://github.com/yandex/yandex-tank (мы его используем) или https://k6.io/ (чуть проще, но есть минусы в виде отсутствия точной настройки)

На этом ребята не остановились, подключились к нашему дискорду и начали угрожать администрации DDOS атаками

И всю дорогу у Вас не было "концов", чтобы подать заявление в полицию и прекратить DDoS "административными мерами"?

У нас было 3 IP адреса злоумышленников из Белорусии, если знаете порядок действий для решения такой проблемы административными мерами, поделитесь )

Сами Вы, я так понимаю, не из? Тогда сложнее, хотя в принципе межведомственное взаимодействие между полиционерами разных стран существует.

Верно, из России, к сожалению, а может и к счастью, нет пока опыта обращения в подобные структуры. Но даже при обращении, я не представляю как полиция будет устанавливать связь между ботнетом в 10000 индийско/китайских компов и белорусскими IP адресами

Я вижу тут два пути: подачу заявления в российскую полицию и белорусскую милицию (кто сказал, что заявления от иностранцев не принимаются - они тоже могут быть потерпевшими). И в обоих случаях с приложением всего массива данных по подозреваемому: вот его IP и прочая инфа как игрока, вот все то же самое по форумным угрозам, вот... что там еще. Платежная информация (если он донатил) и т.п. Ну и, конечно, раз пошла такая пьянка на форуме, стоило "прокачать" его чтоб разговорился и сболтнул побольше, но после драки яйцами не машут ;)

Перпективы обоих заявлений оценить затрудняюсь.

Sign up to leave a comment.

Articles