"Антиддос от Cloudflare. Рекомендации" или как "Бороться с ДДОС"

[izicash]

ДДОС как средство нечестной конкуренции. 

Недавно столкнулся с явлением конкурентного ДДОС в сфере обмена электронных денег. 

Звонит друг и говорит, что из суппорта хостинга написали , что его ддосят. 
Начали разбираться. 
Оказалось, человек технически никак не прикрыл свои «тылы»:
1. Видно ЙП;
2. Видно NS записи.
Все Мы понимаем, что домен не скроешь, но по нему ддос остановить гораздо проще, чем по йп адресу. Скажем честно, по йп адресу ддос и дешевле, и проще. 
Начали искать решения:
1. Скрыли Йп - https://www.cloudflare.com (еще и https шифрование в подарок получите).
Попросили у хостера его сменить, однако через некоторое время атаки возобновились. Оказалось, его внутренний скрипт отправляет письма не через сторонние почтовые системы (типа Яндекс и пр.), а Сам - при этом тоже виден йп, даже скрытый cloudflare. 
2. Настроили отправку почты по smtp и доверили это Яндексу. 
3. Опять сменили ЙП.
После этого атаки по йп адресу на него прекратились, но начались Атаки по доменному имени. Конкретно в нашем случае было куплено VPS (популярное),  чтобы выдержать ~ 650 000 запросов к странице в сутки, это тот самый ДДОС по домену, но как оказалось, самое важное то, что почти 70-80% этого удара взял на себя cloudflare, честно отдавая КЕШ(вопрос кэширования отдельный). То есть сам хостинг принял на себя около ~100 000 запросов всего. 
Какие действия Я могу Вам порекомендовать в данной ситуации:
1. Помните, что все записи о Вашем домене и его настройках хранятся в истории сети. Можете проверить тут https://securitytrails.com/ Вам может только показаться, что записи о вас скрыты , но сеть все помнит, так что после того как «закрываетесь» через https://www.cloudflare.com , меняйте йп и больше никогда его нигде не светите. 
2. Как только поняли, где Вы светите свой йп , принимайте меры. Наш пример на тот момент Я описал выше. 
3. Если у Вас хостинг под деловые задачи, выбирайте платформу для его размещения внимательно, Я вообще научился для этого поднимать надежный хост на кухне и сейчас работаю над «синхронизацией» основного и дочернего (куханного). Да,скажете, смешно, но у многих сейчас из таких как Мы стоят фермы, которые лопатят 24/7/365. Если основное железо нормальное, а у многих стоит средние процессоры по 4 ядра и оперативки по 4-8, этого оказывается достаточно для такой хост системы как VESTACP. 
p.s Все выше описанное - это мой скромный опыт, который Я и мои друзья получили, столкнувшийся с нечестными попытками конкурировать. Сейчас наблюдаются скачки трафика, еще не анализировали этот феномен, но отказов у хоста больше не было. Конечно , были еще атаки , но их заказали Мы сами, чтобы проверить надежность решения. Следующая атака пришлась по ssl сертификату. Успешная. Но на это Мы повлиять не можем, зато наш хостер набрался опыта. 

Рад  если оказался  скромно полезен.

Edited 13 Sep 2018, 12:47 by izicash

[kursexpert]

Клауд решает большинство проблем на тарифе 20 дол, но все равно лучше иметь под рукой системного администратора. 

[izicash]

@kursexpert  Согласен.  Для ресурса с оборотом от 500 000 р. в сутки,  это просто необходимо. Пусть даже удаленного. Не лишним заказывать,  "контролируемые" атаки и взломы. В нашем случае  дыра вылезла уже у  провайдера в плане SSL   сертификата. Тут свой админ уже не помог бы. Только рекомендациями. На самом деле обменники в полуавтоматическом режиме не требуют особых ресурсов,  это и притупляет иногда понимание к чему может привести экономия. 

[kursexpert]

@izicash Кстати, тему лучше как-то переименовать в "Антиддос от Cloudflare. Рекомендации" или как "Бороться с ДДОС". Так люди будут понимать, что тут именно советы. Вообще полезную тему начали. 

[izicash]

@kursexpert Благодарю за замечание,  принято.

[Knot]

Слегка бредятины нагнали, вы никак не скроете айпишник, если вы предоставляете какой-то сервис в сети интернет, вы светите свой айпи адрес, иначе как до вас достучатся клиенты? Менять его бесполезно. Ещё не работал с клаудфлэйром, но подозреваю, что ваш сервак просто спрятали за грамотно настроенным натом. Хороший системный администратор решил бы все эти проблемы, в том числе и с ssl.

[izicash]

6 минут назад, Knot сказал:

Слегка бредятины нагнали, вы никак не скроете айпишник, если вы предоставляете какой-то сервис в сети интернет, вы светите свой айпи адрес, иначе как до вас достучатся клиенты? Менять его бесполезно. Ещё не работал с клаудфлэйром, но подозреваю, что ваш сервак просто спрятали за грамотно настроенным натом. Хороший системный администратор решил бы все эти проблемы, в том числе и с ssl.

 

Ну по  первому замечанию, Я считаю  Вам нужно изучить принципы работы cloudflare. Я предлагаю Вам назвать мой реальный ip  izi.cash  как подтверждение слов что его скрыть не возможно, cloudflar  единственный кто  знает мой йп.

 

Про ssl  ,  если Мы говорим о  хранении сертификатов на индивидуальном сервере,  то Вы правы,  там разбираться будет свой системный администратор ,  тут именно  выделенный хостинг,  то есть  предварительно настроенный провайдером. 

[kursexpert]

@Knot при подключении к клауд обязательно меняются НС на клаудовские и трафик весь через них идет, они как CDN работают. Смена ip сайта нужна чтобы новые ip не были известны ддосерам. На счет администратора я где-то согласен, но он должен быть постоянно онлайн и, к сожалению, на полноценное отражение атак просто админом часто нужно значительное время. 

[izicash]

@kursexpert  Что  бы отразить  реальную(дорогую) ДДОС  атаку средствами одного системного администратора не обойдешься, нужны комплексные решения,  и выбор  стратегии влияет на цену.  У того же cloudflare  есть прайс по решению таких  задач. Я просто  понимаю  что подходит  Админ и говорит ,  Нас ддосят,  тип Ддоса такой то ,  протянем  ноль времени,  а все уже лежим :))) Знаю  решение,  стоит столько то .... 

Моя история про  ддос от "сына маминой подруги"  вылазишь ты в рынок,  а какой то очень  "ревностный" к этому событию  "игрок" ,  решает  тебе подсолить,  Вдруг  ты в курс эксперте на первые места хорошим курсом лезишь :))),  статья для решения таких  вот Дддосеров :))

Edited 13 Sep 2018, 14:04 by izicash

[kursexpert]

@izicash ну да, или пока админ будет разбираться ДДОСить просто перестанут из-за дороговизны ?

[izicash]

@kursexpert Вот вот :)))) с ssl   как раз  дело админа,  текущие уязвимости ,  обновления скрипта ,  ядра  ,  и прочего,  закрыть  порты от  "друзей"   ограничить любознательный китай от скана (кстати cloudflare прям красавец в этом.) Все это и еще немного,  выпить все кофе в офисе , :))). 

У Меня друг  системный админ у крупного провайдера,  так он глобал в КС ГО :))) и его имя забывают иногда ? (шутка ,  но похожая на правду) ,  как показатель хорошего админа ?

А реальный ддос,  это вопрос уже железа и софта,  дорогого железа и дорогого софта.

[Knot]

А клаудфлейр как по-вашему вопросы решает?? Там сидит такой же сисадмин, максимум-команда админов, которые делают работу за вас, вот и всё. Клаудфлейр-это CDN-as-service, я не сомневаюсь в их возможностях и инфраструктуре, но на "статью" это не тянет, максимум-восторженный отзыв довольного пользователя клаудфлейра. Ваш айпи спрятать не получится, это: 104.24.111.3 и 104.24.110.3 То, что ваш айпи обслуживает клаудфлейр не делает его "не вашим", я прекрасно понимаю, что реальный сервак может находиться очень далеко, но поверьте, если кто-то захочет положить вас, он положит, просто с клаудфлейром ему потребуется на это больше денег и времени.

[Desconect]

@izicash Вот честно если вы хотите рассказать тонкости расскажите. 

Я думаю это будет интересно. но пока я вот думаю это реклама  Cloudflare .

 

Технические тонкости и моменты. в смысле я имел ввиду.

Edited 13 Sep 2018, 15:43 by Desconect

[kursexpert]

12 минут назад, Desconect сказал:

Вот честно если вы хотите рассказать тонкости расскажите.

Человек написал что нужно сделать в самую первую очередь, это особенно полезно начинающим владельцам обменников или других сервисов, потому что ложат на раз, требуют денег и те, кстати, иногда бывает даже и платят. 

[izicash]

36 минут назад, Knot сказал:

А клаудфлейр как по-вашему вопросы решает?? Там сидит такой же сисадмин, максимум-команда админов, которые делают работу за вас, вот и всё. Клаудфлейр-это CDN-as-service, я не сомневаюсь в их возможностях и инфраструктуре, но на "статью" это не тянет, максимум-восторженный отзыв довольного пользователя клаудфлейра. Ваш айпи спрятать не получится, это: 104.24.111.3 и 104.24.110.3 То, что ваш айпи обслуживает клаудфлейр не делает его "не вашим", я прекрасно понимаю, что реальный сервак может находиться очень далеко, но поверьте, если кто-то захочет положить вас, он положит, просто с клаудфлейром ему потребуется на это больше денег и времени.

 

Чуть больше денег окажется решающим фактором,  потому как  тратить на Вас больше денег, чем упущенные выгоды, ни кто не станет. Вы же не будете превращаться в безумца ,  который слил  бюджет ,  даже суточный своего обменника,  что бы  не дать спокойно жить  другому обменнику. То есть сами не заработали  и ему не особо помешали,  хоть и помешали... Завтра такой подход  пустит  Вас по миру...

Ну а представить себе что Ты новичок в рынке и на тебя обрушили свой необоснованный  ддос гнев киты рынка,  ну это как минимум нужно  спать  с женой хозяина обменника ;))).

В остальном рассуждения для другой темы. И Я понимаю  о чем Вы.

1. IP  которые вы указали принадлежат  cloudflare  запрос к моему ресурсу по йп не предусмотрен. Можете проверить  что Вам выдаст  запрос по типу https://104.24.111.3/  и https://104.24.110.3/ ,  все это теперь головная боль  клоуд флер.

2. Запросы  https://izi.cash  принемаемые,  а) частично отдаются и кеша клоудафлер(при правильном подходе большая часть) b) Я могу их  уже ограничивать  средствами клоудфлер.(от полного до  проверки скриптом)

3. От меня зависит  железо,  если все запросы честные! И железо(сервер или ...)  уже не способно их  обработать. 

4. При дорогой Ддос Атаке. Я слягу. Факт. Но при правильном использовании API  клоуда и  хитрозадому подходу,  который Я сейчас готовлю. Я просто распределю  нагрузку  за копейки. Но это уже другая статья. Если конечно у меня все это выйдет.

Edited 13 Sep 2018, 16:18 by izicash

[TimeSale]

Спасибо за информацию,полезная статья.Опыт всегда пригодится.Почему то мало участников в обсуждении,хотелось бы услышать практики других людей.

[maincrafter]

научились как то обходить CF поэтому новый вопрос, какие способы защититься от ддоса нового поколения?

[Metronome]

В 25.11.2022 в 01:03, maincrafter сказал:

научились как то обходить CF поэтому новый вопрос, какие способы защититься от ддоса нового поколения?

А какие настройки CloudFlare? Например, включена ли защита на максимальный уровень?