1. ¡OFERTA! con cupón "DIRVPS": hosting por $0,01 y también VPS Linux y Windows por $0,01 el primer mes por Interserver ← publi
    Descartar aviso
Descartar aviso
Al usar este sitio web, aceptas que nosotros y nuestros socios podamos establecer cookies para fines tales como personalizar el contenido y la publicidad. Más información.

DDOS 60 mil paquetes por segundo entrantes.

Tema en 'Tutoriales Asuntos Técnicos' iniciado por Skamasle, 24 Sep 2013.

  1. Skamasle

    Skamasle Usuario activo

    Como harían para amortiguar semejante tráfico en un servidor dedicado normal, xeon e3 con 8 gigas de ram.

    [​IMG]

    Cosas que pasan:

    1- centro de datos pasa olímpicamente del tema.
    2- La web tiene que esta online por que es bastante importante y cada minuto off es perdida de dinero ( todos los clientes dicen eso pero en este caso tiene bastante trafico, aunque el consumo de ancho de banda normal no pasa los 70 mbits)
    3- Sistema complicado, migrar el servidor a otro centro de datos que haga caso no se puede por que se tardaría bastante tiempo en tener listo el servidor y montar todo el sistema y la web.
    4- Si la web esta online el ataque se lo traga el servidor si o si.

    Bueno supongo que esto lo han visto alguna vez ;) pero quisiera opiniones del tema ya que hay muchas empresas de hosting aquí y de administración y me gustaría leerlos. :)
     
  2.  
  3. hoster

    hoster Usuario activo

    Skamasle, pense que te dedicabas a la administración de servidores.. :golpe:

    Respecto al problema...
    Me imagino que tienes instalado algun firewall, no? APF? iptables? csf?
    Detectaste cuales son las IPs y a que puerto estan atacando exactamente? Analizaste el tráfico?
    Tu proveedor que dice al respecto?

    Saludos
     
  4. comvive

    comvive Usuario activo

    En este caso, que no parece haber trafico UDP sino que es todo TCP miraria una solucion con fail2ban.

    Siempre y cuando tengas canuto suficiente en la tarjeta de red, sino te da igual lo que pongas.

    un saludo
     
  5. infranetworking

    infranetworking Usuario activo

    Hola,

    Si no puedes detener el ataque a nivel de software, es decir, con CSF, bloqueando IPs, etc., pregunta a tu datacenter si te pueden brindar un firewall físico. Si por alguna razón no pueden, mira los servicios especializados de compañías como ArborNetworks. En algunos casos CloudFlare también te puede llegar a servir.

    Saludos,
     
    A nonamef191118 le gusta esto.
  6. Daniel, fail2ban es para proteger contra diccionarios de ataque no para detener ddos. Que yo sepa.

    Salu2,
     
  7. hoster

    hoster Usuario activo

    Ferrán, Daniel tiene razón, fail2ban es una buena opción en este caso, y funciona de maravillas con iptables. :-D

    fail2ban "monitorea" varios registros de log del sistema (y los que uno configure). Cuando detecta un comportamiento sospechoso proveniente de un visitante (o varios) en alguno de los servicios que monitorea, puede denegar el acceso a las IPs atacantes, bloquearlas en puertos específicos, entre otras tantas funciones..

    Recomiendo que veas: http://www.fail2ban.org/
     
    Última edición: 24 Sep 2013
    A nonamef191118 le gusta esto.
  8. Hola Julián,

    Tenía entendido que era solo para evitar los los ataques de diccionarios.

    Pero si con fail2ban no funciona lo más seguro que tenga que tirar de algún servicio como arbor networks.

    Salu2,
     
    Última edición por un moderador: 24 Sep 2013
  9. hostigal

    hostigal Usuario activo

    Lo que sigo sin entender, es porque cuando se hace una inversión y se contrata un servicio, no se tiene en cuenta el rendimiento, y nos acordamos de decir esto, una vez el servicio está caido "La web tiene que esta online por que es bastante importante y cada minuto off es perdida de dinero..." y sin embargo no lo tenemos en cuenta antes.
    saludos.
     
  10. jmginer

    jmginer Usuario activo

    Por mi experiencia, una tarjeta Gigabit intel soporta entre 60.000 y 80.000 pps, ese ataque ronda ese límite... complicado de solucionar sin un firewall perimetral.
     
  11. jmginer

    jmginer Usuario activo

    El límite teórico son exactamente: 81.273 pps

    Y esta una gráfica del límite que nosotros experimentamos hace unos días:
    [​IMG]

    Como veis, un limite a 65.000 pps.

    Vamos, que ese ataque, o pones un firewall delante o haces un bonding con otra NIC para aumentar esa capacidad o te va a seguir bloqueando la red.
     
  12. Skamasle

    Skamasle Usuario activo

    Claro soy administrador de servidores, solo habro este tema para escuchar opiniones en que harían en un caso como este, el ataque tuve que atenderlo yo, fue amortiguado con puro software y la web estuvo online las más de 36 horas que duro, aunque la intencidad fue bajando luego de unas 12 hora,s tal vez un poco antes, se gastaron varios tb de transferencia cuando eso. :golpe:


    No se pueden banear las IPs son 2 millones de accesos en cada media hora, sería una locura, si hasta pense en desactivar el firewall para evitar el consumo de recursos :omgh

    El tráfico era al puerto 80, eran peticiones a la WEB, viendo los logs parecien peticiones normales no se repetian las ips muy seguido por eso lo de bloquear no venia al caso.

    Y lo cierto es que el webserver se lo a tragado todo y fue suerte por que en el datacenter en el que estaba el server un ataque udp te lo suspenden de una vez por horas y horas al tpc no le hacen caso.

    Hay veces que es mejor no pensar en como bloquear ese tráfico, mientras no se sature la red y sea accesible el servidor la web puede estar online, pero eran muchas IPS para intentar contenerlo.

    Si llevagaba a saturar la red las dos opciones eran null route por que ya no había nada que hacer o balancer el tráfico entre 2 servidores más, pero te puedes morir esperando a que los den.

    Pero espero seguir escuchando opiniones del asunto y gracias a todos por comentar ;)
     
    Última edición: 24 Sep 2013
  13. comvive

    comvive Usuario activo


    por la grafica de trafico se veia que eran peticiones web, por eso te comente el fail2ban, es mas, me ha pasado muchas veces que todas vienen de un referer igual y con una simple regla de mod_rewrite se soluciona el ataque :)

    por otro lado volvemos a lo de siempre.

    Si es una web tan importante, no la tienes redundada ? o si pierde tanto dinero deberia de invertir mas en seguridad (firewall perimetral, servidor mayor, mejor conectividad....) que de este tipo de clientes me he encontrado muchos.


    un saludo.
     
    A hoster le gusta esto.
  14. comvive

    comvive Usuario activo


    tu ataque es totalmente diferente, es por udp, contra eso por software poco puedes hacer porque como bien dices te saturan por paquetes mas que por trafico.

    en estos casos lo mejor es hacer un blackhole de tu ip en una parte de la red para reducir el numero de paquetes que se recibe.

    nosotros por ejemplo podemos hacer blackhole en todos los operadores o solo en los internacionales por ejemplo :)

    un saludo.
     
  15. Datacenter1

    Datacenter1 Usuario activo

    @jmginer de donde sacas este supuesto límite teórico? seguramente es algún tipo de límite impuesto por el SO pero dudo que exista un límite tan bajo en tarjetas intel de 1Gbps, tomando en cuenta que por 1 Gbps pueden pasar 2 millones de paquetes por segundo (paquetes de 64 bytes) seguramente el SO no los resista, pero no creo que el cuello de botella sea la NIC, te importa aclarar eso o compartir la fuente de esa información?

    Puede ser también un límite del puerto del switch
     
    A cincinnati le gusta esto.
  16. jmginer

    jmginer Usuario activo

    Hola Daniel!

    no tenéis pensado implementar alguna solución Anti-DDoS?

    Ejemplos:

    http://www.huanetwork.com/huawei-symantec-firewalls-price_c47?pagesize=48

    http://www.huawei.com/es/products/d...curity/Anti-DDoSSystem/Anti-DDoSSPU/index.htm

    http://www.riorey.com/

    El blackhole no es una solución que sea de agrado del cliente, a fin de cuentas el servicio sigue sin funcionar hasta que aplicas una nueva IP al servicio y no te garantiza que no vayan a atacar la nueva IP.

    El blackhole es una solución para el proveedor (no te consume ancho de banda y no te tumban la red en el peor de los casos), pero para el cliente final no es una solución a su problema para mantener su servicio activo.

    Los DDoS están a la orden del día y los proveedores de servidores dedicados deben proporcionar sistemas de mitigación.

    http://news.techworld.com/security/...-time/?cmpid=TD1N2&no1x1&olo=daily newsletter

    Del mismo modo, opino que deberían ser los carriers quien proporcionen este tipo de soluciones, pero claro, si tu recibes ataques, ellos te venden más tráfico, con lo cual, al carrier le viene bien que tus clientes reciban ataques. Poco ético cuanto menos, pero si, pienso que ellos son los que deberían bloquear el trafico spoofeado.

    Si haces blackhole, el hacker ha ganado! ha conseguido la baja del servicio en cuestión.

    Un saludo
     
    Última edición: 24 Sep 2013
    A nonamef191118 le gusta esto.
  17. Datacenter1

    Datacenter1 Usuario activo

    [EDITADO] olvida el comentario anterior, viendo la gráfica lo que estás midiendo son conexiones establecidas UDP no paquetes por segundo, el límite de 65K es establecido por el SO[/EDITADO]
     
  18. En Sered tienen una appliance de huawei para frenar los DDoS distribuidos y según tengo entendido por el momento les funciona.

    Yo optaria por la appliance de Arbor Networks Pravail o la de Huawei.

    Lo del blackhole jmginer está en lo cierto hacer un blackhole es hacer una chapuza por que el ataque te sigue llegando igual.

    Salu2,
     
  19. jmginer

    jmginer Usuario activo

    Efectivamente, depende del tipo de tramas, pero existe ese limite y no es a nivel de sistema operativo.

    Aquí está documentado:
    http://wiki.networksecuritytoolkit....mum_Rates,_Generation,_Capturing_&_Monitoring

     
  20. jmginer

    jmginer Usuario activo

    Si, nosotros estamos detrás de su Huawei y la verdad es que nos paran bastante bien los ataques, a día de hoy no ha habido necesidad de hacernos un blackhole.
     
    A nonamef191118 le gusta esto.


Alojamiento web, Hosting Reseller, Servidores Dedicados - All in Hosting


    
    
    
    
Blog · Sitios amigos: GuiaHosting · Unidominios · Interalta · Sobre Devandhost · Anna Telecom