Suggerimenti anti-ddos

[Snunziata]

Salve a tutti, innanzitutto mi presento, mi chiamo Alessandro e sono un nuovo cliente di OVH.
Colgo l'occasione per ringraziare lo staff di OVH per la velocità dell'attivazione del server (pagato Domenica sera a mezzanotte e pronto e configurato 17 ore dopo ).

Comunque andiamo al dunque:
Purtroppo negli ultimi 14 giorni il mio server è stato bombardato da attacchi DDOS, così sono stato obbligato a cambiare farm ed ho scelto appunto ovh.

Ho preso un server con 10Gbps di banda contro i 100Mbps del precedente proprio a causa di questi attacchi, ovviamente sto prendendo tutte le precauzioni del caso per evitare ulteriori problemi, leggendo tutte le guide possibili, etc.. ma siccome le precauzioni non sono mai troppe e molte teste sono meglio di una sola volevo chiedere: Voi come configurereste il server? cosa fareste al mio posto? Per ora il server è ancora offline quindi è il momento giusto per tutelarsi giocando di anticipo..
Aggiungo che purtroppo non ho fondi infiniti e per il momento non ho preso il firewall fisico.

Vi do più info a riguardo:
-Il server preso è questo http://www.ovh.it/server_dedicati/mg_hybrid.xml
-L'ho configurato mettendoci Debian 6.0
-Il server dovrà ospitare un server game e un forum/sito Vbulletin Aggiornato alla versione 4.1.10
-Gli attacchi inizialmente erano da 70Mb/s ma poi è passato ad attacchi da 1 - 1.5 Gb/s con più di 300 pacchetti al secondo


Ringrazio anticipatamente delle vostre eventuali risposte

[alex88]

Quote:

Originally Posted by Snunziata

Salve a tutti, innanzitutto mi presento, mi chiamo Alessandro e sono un nuovo cliente di OVH.
Colgo l'occasione per ringraziare lo staff di OVH per la velocità dell'attivazione del server (pagato Domenica sera a mezzanotte e pronto e configurato 17 ore dopo ).

Comunque andiamo al dunque:
Purtroppo negli ultimi 14 giorni il mio server è stato bombardato da attacchi DDOS, così sono stato obbligato a cambiare farm ed ho scelto appunto ovh.

Ho preso un server con 10Gbps di banda contro i 100Mbps del precedente proprio a causa di questi attacchi, ovviamente sto prendendo tutte le precauzioni del caso per evitare ulteriori problemi, leggendo tutte le guide possibili, etc.. ma siccome le precauzioni non sono mai troppe e molte teste sono meglio di una sola volevo chiedere: Voi come configurereste il server? cosa fareste al mio posto? Per ora il server è ancora offline quindi è il momento giusto per tutelarsi giocando di anticipo..
Aggiungo che purtroppo non ho fondi infiniti e per il momento non ho preso il firewall fisico.

Vi do più info a riguardo:
-Il server preso è questo http://www.ovh.it/server_dedicati/mg_hybrid.xml
-L'ho configurato mettendoci Debian 6.0
-Il server dovrà ospitare un server game e un forum/sito Vbulletin Aggiornato alla versione 4.1.10
-Gli attacchi inizialmente erano da 70Mb/s ma poi è passato ad attacchi da 1 - 1.5 Gb/s con più di 300 pacchetti al secondo


Ringrazio anticipatamente delle vostre eventuali risposte

Io come firewall ho sempre usato csf che praticamente è il migliore fw gratuito in circolazione, protegge da portscan, ddos ecc e ha numerose feature interessanti
Se il gioco è via browser potresti far passare tutto tramite cloudflare in modo da nascondere l'ip del tuo server e cloudflare ti protegge dal traffico ddos. O comunque mettere il server game su un ip failover nel caso prendano di mira il tuo forum

[MnEm0nIc]

contro i dDoS vige il principio che - normalmente - bisogna avere piu' banda dell'attaccante.
i firewall software direttamente sul server fanno poco e mitigano gli attacchi piu' blandi, come pure i firewall hardware che sfruttano la stessa banda del server.

certo, con 10gbit probabilmente avrai piu' banda rispetto alla media degli attacchi che hai avuto fin'ora, ma potrebbe non essere sufficiente.

la soluzione ideale sarebbe quella di avere dei filtri a monte in webfarm, in modo che arrivi traffico per quanto possibile pulito.

chiaramente queste soluzioni si riflettono in maniera sensibile sui costi mensili all'utente finale.

forse gia' te ne han parlato, ma ti cito alcuni provider specializzati in soluzioni contro gli attacchi dDoS:

• Staminus
• BlackLotus
• GigeNet

ciao

[pierino]

Ciao senza un adeguato firewall hardware non fai nulla anche se hai una porta da 10GB reale? dubito moltissimo dato la mia lunga esperienza nel settore si un firewall softwar ti potrebbe aiutare un pochino
ma quello che aiuta molto sono i log, ma molte persone non lo capiscono.
Allora ogni ddos che ricevete lo dovete loggare prendere gli ip e farli mettere nel null router o li banni con il firewall poi inizi a inviare mail ai gestori
di questi server bucati che ti attaccano ci mandi una mail con il log
dicendo che se non sospendono immediatamente il loro attacco ddos verso di te ti rivolgi alla polizia e al tribunale per richiedere i danni per il tuo fermo server dipende dall'azienda che risponde dopo poco vedi che quel server smette di funzionare spiega anche che molto probabilmente il loro server e bucato e vedrai piano piano che il ddos si abbassa -)
invece diventa critico se devi bloccare un attacco di pc zombi
io o fatto tutto da iptables e csf oltre che da APF/BFD
Comunque quoto l'amico che suggerisce la locazione in usa ci sono moltissimi fornitori che ti filtrano il ddos gratuitamente nei limiti , se eccedi paghi un filtraggio superiore ma sei sicuro che il server non cade con un 30 Mbps di ddos come succede qua in ovh buona fortuna e occhio hai log .
denunciare denunciare

Quote:

Originally Posted by Snunziata

Salve a tutti, innanzitutto mi presento, mi chiamo Alessandro e sono un nuovo cliente di OVH.
Colgo l'occasione per ringraziare lo staff di OVH per la velocità dell'attivazione del server (pagato Domenica sera a mezzanotte e pronto e configurato 17 ore dopo ).

Comunque andiamo al dunque:
Purtroppo negli ultimi 14 giorni il mio server è stato bombardato da attacchi DDOS, così sono stato obbligato a cambiare farm ed ho scelto appunto ovh.

Ho preso un server con 10Gbps di banda contro i 100Mbps del precedente proprio a causa di questi attacchi, ovviamente sto prendendo tutte le precauzioni del caso per evitare ulteriori problemi, leggendo tutte le guide possibili, etc.. ma siccome le precauzioni non sono mai troppe e molte teste sono meglio di una sola volevo chiedere: Voi come configurereste il server? cosa fareste al mio posto? Per ora il server è ancora offline quindi è il momento giusto per tutelarsi giocando di anticipo..
Aggiungo che purtroppo non ho fondi infiniti e per il momento non ho preso il firewall fisico.

Vi do più info a riguardo:
-Il server preso è questo http://www.ovh.it/server_dedicati/mg_hybrid.xml
-L'ho configurato mettendoci Debian 6.0
-Il server dovrà ospitare un server game e un forum/sito Vbulletin Aggiornato alla versione 4.1.10
-Gli attacchi inizialmente erano da 70Mb/s ma poi è passato ad attacchi da 1 - 1.5 Gb/s con più di 300 pacchetti al secondo


Ringrazio anticipatamente delle vostre eventuali risposte

[MnEm0nIc]

Quote:

Originally Posted by pierino

Ciao senza un adeguato firewall hardware non fai nulla anche se hai una porta da 10GB reale? dubito moltissimo dato la mia lunga esperienza nel settore si un firewall softwar ti potrebbe aiutare un pochino
ma quello che aiuta molto sono i log, ma molte persone non lo capiscono.

se chi attacca ha piu' di 10Gbit (e non e' una cosa poi cosi' fuori dal normale) di banda, il tuo server va a terra perche' non e' in grado di gestire la mole di dati. e su questo c'e' poco da fare.

Quote:

Allora ogni ddos che ricevete lo dovete loggare prendere gli ip e farli mettere nel null router o li banni con il firewall poi inizi a inviare mail ai gestori
di questi server bucati che ti attaccano ci mandi una mail con il log
dicendo che se non sospendono immediatamente il loro attacco ddos verso di te ti rivolgi alla polizia e al tribunale per richiedere i danni per il tuo fermo server dipende dall'azienda che risponde dopo poco vedi che quel server smette di funzionare spiega anche che molto probabilmente il loro server e bucato e vedrai piano piano che il ddos si abbassa -)
invece diventa critico se devi bloccare un attacco di pc zombi
io o fatto tutto da iptables e csf oltre che da APF/BFD

questa pratica dovrebbe essere abbastanza comune, ma molto spesso non porta ai risultati sperati sopratutto se poi si tratta di server locati all'estero, dove legislazioni differenti rendono molto complessa la questione.

Quote:

Comunque quoto l'amico che suggerisce la locazione in usa ci sono moltissimi fornitori che ti filtrano il ddos gratuitamente nei limiti , se eccedi paghi un filtraggio superiore ma sei sicuro che il server non cade con un 30 Mbps di ddos come succede qua in ovh buona fortuna e occhio hai log .
denunciare denunciare

la soluzione, come gia' detto nel post precedente, e' filtrare a monte e far arrivare traffico pulito ai server, ma questa cosa ha un costo certamente piu' elevato delle soluzioni che trovi in ovh.