1. ¡OFERTA! con cupón "DIRVPS": hosting por $0,01 y también VPS Linux y Windows por $0,01 el primer mes por Interserver ← publi
    Descartar aviso
Descartar aviso
Al usar este sitio web, aceptas que nosotros y nuestros socios podamos establecer cookies para fines tales como personalizar el contenido y la publicidad. Más información.

DDOS 60 mil paquetes por segundo entrantes.

Tema en 'Tutoriales Asuntos Técnicos' iniciado por Skamasle, 24 Sep 2013.

  1. jmginer

    jmginer Usuario activo

    Bueno, el ataque no te llega igual, porque lo que haces es dejar de anunciar la IP, la IP atacada deja de existir en Internet, por tanto, el servicio del cliente también deja de existir... es decir, el hacker atacante ha ganado!
     
  2. Skamasle

    Skamasle Usuario activo

    El tráfico venia de navegadores infectados con un plugin o eso supusimos.

    Por otro lado yo hago lo que el cliente me dice, yo le digo lo que es mejor y el ve si invertir o no, hay clientes que ganan mucho y quieren pagar poco o como funciona bien durante 7 u 8 meses no quieren invertir en poner otro servidor y un balanceador o pagar 200 usd extra por un firewall por que toda la vida han estado igual y nunca falla luego les atacan y ya no hay tiempo, mientras montas el sistema, compras los servidores haces de todo pasa minimo 1 dia o dos y puede que el ataque ya no este o siemplemente no se tan fuerte para afectar.

    Hay clientes y clientes, algunos con sistemas complicadisimos que no necesitan y otros con un solo servidor para una web con 500/600 mil visitantes diarios que es muy propensa a ataques por la competencia que tiene, así que a la larga si el sysadmin lo puede resolver por arte de magia o reconfigurando el servidor 20 veces les da igual.

    Este DDOS fue uno de los más complicados, no por tamaño si no por la fuente de donde venian las visitas, no fue de esos de bloqueo la fuente y tengo el 75% del trabajo hecho, por eso dije que el web server se lo tuvo que tragrar si o si atendiendo las peticiones, y básicamente por eso se gasto tanto ancho de banda 950 mbits/sec y una transferencia de varios tb :(

    Como la mayoría (supongo) refiero atender ataques en los que se de donde viene el tráfico exactamente o que tengan un patron exacto como esos de ?0.003231 que un filtro se pasan y listo no llegan al servidor web :cool:
     
  3. Datacenter1

    Datacenter1 Usuario activo

    Personalmente he configurado firewalls vyatta con nic Intel y superan con comodidad 200.000 pps con un uso de CPU bastante moderado, por ese se que no hay tal límite a nivel de las nic
     
  4. cincinnati

    cincinnati Usuario activo

    Pregunta (con trampa).

    En un ataque DDOS grande, con vuestras soluciones perimetrales se mitiga y el objeto del ataque (pongamos un cliente que tiene un VPS) sigue disfrutando de su VPS tranquilamente.

    O dicho de otra forma: el proveedor absorve el coste del ataque que , vamos a simplificar, se traduce en soportar el ancho de banda necesario y comerse ese coste con patatas.

    Y la pregunta ¿El cliente está dispuesto a pagar ese coste? ¿Debe asumirlo el proveedor al coste que sea o sólo para los clientes importantes?

    Pues mi opinión es que si lo que paga el cliente es menor que el coste que supone ese ataque, nullroute, blackhole y a correr.
     
    A nonamef191118 le gusta esto.
  5. Datacenter1

    Datacenter1 Usuario activo

    Yo no tengo soluciones perimetrales, subcontratamos con blacklotus para la protección de los clientes que pagan extra por ella ($99.00/mes x protección para ataques de hasta 2MMpps) pero igual intento responder la parte referente a los costos:

    La mayoría de los que tiene sus propios dispositivos, sus contratos con sus proveedores upstream son normalmente basados en facturación 95% o en líneas dedicadas, ejemplo 10Gbps por lo que un ataque de corta duración no incide en el costo del ancho de banda para el proveedor.
     
  6. Andaina.net

    Andaina.net Usuario activo

    Yo a veces lo "flipo" cuando viene el cliente o la gente habla de los sysadmins como si fueran personas mágicas que pueden arreglarlo todo. Arreglar arreglan pero hasta cierto punto.

    Por tráfico no es problema, el problema reside en la cantidad de paquetes entonces si tu maquina no es capaz de bloquear/mitigar el ataque no te quedará otra que poner un firewall físico dando por hecho que toda la infraestructura anterior soporta el ataque.

    Respecto a una empresa que te pueda ayudar, debido a que esta cuenta con gran infraestructura y tiene MUCHA experiencia en ataques porque ha tenido clientes que han sido atacados constantemente al igual que nosotros por tener directamente o indirectamente clientes de gaming, pues te diría Comvive que esta por aquí su gerente Daniel pero estoy seguro que todo tiene un precio, y si es tan importante la web entonces deberá de invertir tu cliente en una empresa donde os ofrezcan un servicio a la altura de vuestras necesidades.
     
    A nonamef191118 le gusta esto.
  7. Que gran verdad José. Y encima te dicen que quieren ahorrar costes pero que quieren protección ddos.

    Joder que si 600 euros trimestrales son mucho quiero más barato. Y el dedicado va a tener protección para ataques ddos?

    Eso yo lo he oído cuando recomende un dedicado a un conocido.

    Mi respuesta si cambias a uno más barato no te puedo garantizar la misma disponibilidad que con el proveedor que estás ahora.

    Y si quieres más barato menos aun tendrás protección ddos.

    La gente lo flipa.
     
    Última edición por un moderador: 24 Sep 2013
  8. comvive

    comvive Usuario activo

    actualmente funcionamos muy bien con el blackhole por operadores.

    Hacer un blackhole no significa que desaparezcas de toda la red, solo de ese operador, nosotros tenemos diferentes operadores para españa o para fuera de españa.

    por lo que podemos banear el trafico de fuera de españa (Asia por ejemplo) y dejar el de españa funcionando.

    Es la gran variedad de tener muchos operadores contratados y de gran capacidad.

    un saludo.
     
    A nonamef191118 le gusta esto.
  9. comvive

    comvive Usuario activo

    por cierto, hablando de las soluciones anti-ddos ?

    ¿cuantas notifican a las ips de origen que estan haciendo el ataque ?

    Nosotros con nuestra herramienta notificamos a la ip de origen que su ip esta haciendo un ataque, por lo que aparte de trabajar para pararlo hacemos un tema para futuro ya que vamos anulando maquinas de las bots net que usan contra nosotros.

    y te aseguro que enviamos mas de 200 correos al dia con ips que estan pringadas.

    un saludo.
     
    Última edición: 25 Sep 2013
  10. Andaina.net

    Andaina.net Usuario activo

    Yo por esa razón recomiendo que contraten y ataquen a Comvive, para no tener que enviar "mas de 200 correos al dia con ips que estan pringadas" [Es broma]
     
    A comvive le gusta esto.
  11. jmginer

    jmginer Usuario activo

    Pero si las IPs están spoofeadas... ¿?¿?
    Es posible averiguar el host que realmente hace el ataque? Tengo entendido que no.

    Es decir, si yo soy un atacante, que me impide modificar mis tramas y decir que soy una IP de Asia? Tu bloqueas la IP de Asia pero mi host que pertenece a la botnet es una IP de Movistar, puedo seguir atacando sin problemas ya que estas bloqueando a cualquier pobre inocente...
     
  12. Datacenter1

    Datacenter1 Usuario activo

    Comparto este link, in (en ingles, acerca de los ddos y proveedores de hosting, incluye un white paper de Arbor Networks "How to calculate the ROI from a DDoS Defense Solution" (requiere dar datos, correo, dirección, etc) si alguien quiere que se lo reenvía, enviar un privado o correo

    http://www.datacenterknowledge.com/...ng-the-business-value-behind-ddos-protection/

    Un buen material analizando DDoS desde el punto de vista del impacto financiero
     
  13. jrodriguez

    jrodriguez Usuario activo

    Bueno,

    yo voy a opinar un poco en este tema, la verdad es que no es la mejor solución y toca mucho la moral realizarlo pero...

    Ese ataque yo también lo sufro, es por navegador y carga iframes a la web.. en el momento de ideas chapuzas se me ocurrio esto:

    Primero contratamos varios vps pequeños, y hacemos un Round Robin DNS (balanceando por dns)

    luego, aunque no me guste, en esos pequeños vps configuramos varnish para que solamente cache la web del servidor principal.
     
  14. ideasmultiples

    ideasmultiples Usuario activo

    Lo más práctico, contrata con un data entre serio que te ofrezca el servicio con soluciones perímetrales, paga lo que cuesta y dormirás tranquilo, tu y tus clientes...

    Las diferencias de precio entre centros de datos no son porque si...

    :cool:
     
  15. Skamasle

    Skamasle Usuario activo

    Sería lo ideal pero a mi la gente me contrata cuando ya tiene el problema, yo no contrato servidores, solo recomiendo si el cliente quiere contratar en OVH, hetzner, leaseweb etc contrata ahí aunque yo le diga, contrata en softlayer, algunos lo hacen otros dicen que no, que quieren algo barato que no les importan los problemas que pagan una vez extra para resolver el problema que todos los meses 4 veces más el coste del server.

    Además de que esta el otro punto, que recurren a mi cuando ya tienen el problema y pasa a hacer cliente nuevo y ya viene el DDOS incluido o el disco duro roto :golpe:

    No se les puede obligar a contratar en el mejor proveedor, si quieren estar en uno regular pues sequedan en uno regular, por mi parte siempre explico riesgos y diferencias, hay gente que por ahorrarse unos dolares se van a un proveedor que ni raid1 tiene :eek: pero ya me encargo de explicarles que si se jode el disco, que si el IO wait etc pero les da igual aunque la mayoría en 3 meses me pregunta a donde migrar :aprueba:
     
  16. ranman

    ranman Usuario activo

    Mas opiniones

    Hola:
    Aqui esta lo que opino al respecto.
    - Si tienes un ataque solo hay algo que se pueda hacer y funcione que es tener mas ancho de banda, por mucho antiddos que se ponga por delante poco hay que se pueda hacer.
    - La solucion mas efectiva y ni mucho menos una chapuza como se dice aqui es un router de blackhole, una vez anuncias la ruta en la community del blackhole no te tragas el trafico ni mucho menos, el unico problema es que el cliente se queda sin servicio claro pero poco se puede hacer mas.
    Suerte.
     
  17. CircuitoX

    CircuitoX Usuario activo

    Hola Skamasle , talvez es pedir mucho pero quisiera saber como quedo este tema, como se soluciono ?

    Importante: En el caso que tu registrador de dominios sufra un ataque ddos y sus dns esten aderidos en tu servidor no puedes hacer nada, solo esperar a que lo solucionen.
     
    Última edición: 30 Nov 2013
  18. Skamasle

    Skamasle Usuario activo

    No se hizo nada, la web estuvo online normalmente, se redujo el impacto con varnish + nginx + iptables.

    - Peticiones a diferentes enlaces se cachearon. -> varnish.
    - Peticiones con diferentes cadenas se denegaron. -> iptables
    - Otras peticiones externas provenientes de plugins de navegadores infectados se denegaron con error 503. -> nginx


    Básicamente eso, la web se mantuvo online como siempre con su tráfico normal ( al dia 400 mil visitas ) puede que se viera afectado un poco de tráfico con el 503 de nginx pero se hizo un script de redirección, o sea para prevenir perdida de visitas, si la visita era falsa o real veía un mensaje pidiendo autentificar y luego de eso navegaba normal, casi lo mismo que hace cloudflare con su anti ddos, sale un mensaje y blablabla, aunque era algo más improvisado :lol: se hizo todo en menos de 2 horas :/


    PD este problema lo resolvimos 2 meses antes de publicarlo en este foro, ya lo había publicado en otro foro antes, solo que se me olvido pasar a dar la solución. ;)
     
    Última edición: 30 Nov 2013
    A CircuitoX le gusta esto.
  19. CircuitoX

    CircuitoX Usuario activo

    Gracias por la explicación , sobre el otro foro seguro es forobeta.
     
    A Skamasle le gusta esto.


Alojamiento web, Hosting Reseller, Servidores Dedicados - All in Hosting


    
    
    
    
Blog · Sitios amigos: GuiaHosting · Unidominios · Interalta ·