Strona 1 z 3 123 OstatniOstatni
Pokaż wyniki 1 do 10 z 29

Temat: Zabezpieczenie serwera www przed DDOS

  1. #1
    Zarejestrowany
    Nov 2009
    Postów
    30

    Domyślnie Zabezpieczenie serwera www przed DDOS

    Witam,
    jestem w trakcie pisania strony internetowej w php.
    W jednym z modulow uzywam funkcji fsock do sprawdzania czy jedna z uslug localhostowych jest otwarta.

    Ostatnio mialem okazje zobaczyc jak latwo ktos moze zDOSowac moj serwer i niebardzo wiem jak sie przed tym bronic.
    Serwer www zostal sparalizowany i nie moglem wejsc na strone nawet przez localhost.

    Czy wina lezy po stronie skryptow np tego wykorzystujacego fsock, konfiguracji Apache czy czegos innego?

    Ruch do serwera mam przekierowany na routerze jedynie na port 80. Router (TPLINK WR543G) ma wbudowany jakis filtr DDOS ale czytajac kilka artykulow w sieci na temat tego typu atakach, watpie w jego skutecznosc.

    Jest jakas dobra, prosta metoda aby sie przed tym bronic?
    Jakimi programami/metodami moglbym potem w razie czego przetestowac rozwiazania sam siebie atakujac?

    Z gory dziekuje za odpowiedz

  2. #2
    Zarejestrowany
    Jun 2006
    Skąd
    rand(.eu)
    Postów
    8,748

    Domyślnie

    Pytanie czy ktos zapchal lacze czy zatkal serwer mala iloscia requestow ale takich ktore trwaja dosc dlugo?
    Jaki masz serwer WWW, jak skonfigurowany (php, moduly, dispatcher), jaki OS, czy kod PHP uzywa baz danych, jakie bylo obciazenie systemu w momencie gdy atak byl w toku (CPU i RAM w procentach na przyklad)?

    Na podstawie tego co napisales nie mozna nic zasugerowac bo nic nie wiadomo...
    ctrl-alt-del.cc - soft reset site for IT admins and other staff :-)

  3. #3
    Zarejestrowany
    Jan 2009
    Postów
    230

    Domyślnie

    1. sprawdzanie ilości wywołań z danego zakresu ip w aplikacjach webowych.

    2. modyfikacje webserwera np:

    Using mod_evasive for Blocking HTTP DoS Attacks - IT & Security Portal

    3. dobre reguły firewalla maszyny, upuszczanie wszystko co tylko możliwe co nie wchodzi w zakres usług danej maszyny.

    Preventing Distributed Denial of Service Attacks - O'Reilly Media

    4. optymalizacje wywołań sql do baz danych, stosowanie weryfikacji wykonywanych akcji np poprzez captche.

    5. dobry kontakt z dostawcą łącza sieciowego który potrafi upuszczać całe podsieci przed swoimi klientami.


  4. #4
    Zarejestrowany
    Jun 2006
    Skąd
    rand(.eu)
    Postów
    8,748

    Domyślnie

    #2 - fajny link ale sa ataki na ktore mod_evasive nie poradzi i do tego przejda ladnie przez firewall, trafia serwer, pozamiataja :-(
    #3 - forward portu 80 - inne ustawienia firewalla na hoscie maja ograniczony sens delikatnie mowiac bo i tak tylko 80 dziala, reszte routerek bierze na siebie... link nie ma wielkiego sensu (jego zawartosc) bo dotyczy sytuacji gdy host ma proste wpiecie w siec a nie port forwarding
    #5 - to nie w sytuacji gdy uzywasz takich routerkow... bo uzywajac takich routerkow nie jestes jakims duzym firmowym klientem wiec nie dostaniesz wiele wsparcia od ISP :-(

    ja sadze ze to nie problem z laczem ale czysto z aplikacja i trafieniem w czuly punkt serwera (autor napisal ze strona nie odpowiadala nawet na localhost) wiec poczekajmy na wypowiedz autora - serwer, OS, konfiguracja, itd - inaczej robimy zgadywanke
    ctrl-alt-del.cc - soft reset site for IT admins and other staff :-)

  5. #5
    Zarejestrowany
    Nov 2009
    Postów
    30

    Domyślnie

    Konfiguracja:
    Windows XP
    MSSQL SERVER 2000
    XAMPP SERVER (Apache, PHP)
    Jezeli to ma wieksze znaczenie, to dodam ze to komunikacji z baza uzywam PHP Data Objects (PDO)

    Firewalla na komputerze serwerowym brak - posluzylem sie routerem i samym przekierowaniem portu 80

    z gory mowie ze musi to byc windows

    Windows XP podaje ogolnikowo, poniewaz problemy wystepowaly tak samo na roznych wersjach.
    Najwieksze zapytania do bazy to wyciaganie 100 z okolo 1000 rekordow, ale problemy wystepowaly, gdy bylo lacznie w sumie ok 200 rekordow, wiec wydaje mi sie ze nie tutaj tkwi problem.

    Podejrzewam, ze nie chodzi o konkretny atak DDOS, poniewaz ten z tego co czytalem wymaga jakiegos tam doswiadczenia, a osoba, ktora atakowala (powiedzmy niezbyt wylewny znajomy, znajomego) odpalil jakiegos zwyklego nukera (znajomy mowil ze wpisuje ip, port i start).

    Kontakt z providerem odpada - jest to niezbyt rozgarniete UPC.
    Ostatnio edytowane przez rakoo : 04-12-2010 - 21:11

  6. #6
    Zarejestrowany
    Apr 2010
    Postów
    8

    Domyślnie

    mysql jest na apachu ? limity polaczen sql mogą cie uciąc bardziej niz sam ddos, jesli routerek wykrył httpddos to ktoś cie floodził nagłówkami http, czyli udawał browsera, napsz skrypt do sprawdzania tak jak google czy zbyt dużo nagłówków w zbyt krótkim czasie nie leci z 1 ip , jesli tak to je wycinaj na firewallu i bedzie z główy, przed ddosem sie nie zabezpieczyz 100 %, każdy ma własne pomysły i metody na zabezpieczenie się ale żadna puki co nie zdała skutków, tak od siebie powiem że przy ddosie z 20 maszyn onet kładzie się odrazu. (syn flood + ack z kaitenów)

  7. #7
    Zarejestrowany
    Jun 2006
    Skąd
    rand(.eu)
    Postów
    8,748

    Domyślnie

    Z tego co widze w google to XAMPP uzywa mpm-worker, ktory dziala na watkach... a apache watkowy jest podatny na pewien bardzo prosty i cholernie skuteczny atak... zmien w konfiguracji serwera na mpm-prefork i bedzie po sprawie :]
    Niestety zespol Apache stwierdzil ze to poprawne zachowanie i nie planuje poprawy implementacji wiec watkowy apache jest dla samobojcow jedynie
    ctrl-alt-del.cc - soft reset site for IT admins and other staff :-)

  8. #8
    Zarejestrowany
    Nov 2009
    Postów
    30

    Domyślnie

    fubu:
    uzywam MSSQL a nie MySQL

    TQM:
    sprobuje

  9. #9
    Zarejestrowany
    Nov 2009
    Postów
    643

    Domyślnie

    Cytat Napisał TQM Zobacz post
    #5 - to nie w sytuacji gdy uzywasz takich routerkow... bo uzywajac takich routerkow nie jestes jakims duzym firmowym klientem wiec nie dostaniesz wiele wsparcia od ISP :-(
    To taki dostawca powinien iśc do pudła razem z gościami co przeprowadzili te ataki.
    Nie może być tak, że jak nie masz dużo pieniedzy to zostajesz sam z problemem bycia ofiarą jakiegoś przestępstwa czy to w sieci czy gdziekolwiek indziej.
    Nie można iść z tymi popaprańcami (atakującymi) na pokazaywanie kto ma większe muskuły

    Bez kompleksowej wiedzy nie będziesz w stanie zabezpieczyć swojej infrastruktury, aby stworzyć zabezpieczenie, musisz przemyśleć każdy możliwy wektor ataku (a raczej każdy o którym nie zapomnisz, potem jednym z nich dostaniesz haka, ale to inna hisotira )


    W zależności od intencji Twojego pytania:
    - chcesz sam wykonac takie zabezpiecznei i posiadasz już jakąś wiedzę
    - nie masz wiedzy i tylko tak sobie pytasz, chcesz sie poduczyc
    - masz kase i chcesz zlecić wykonanie i wdrożenie zabezpieczeń

    Odpowiedanio:
    - powodzenia
    - powodzenia
    - zapraszam do działu giełda


    Pozdowienia
    Ostatnio edytowane przez lame : 04-15-2010 - 01:51
    światło mądrości oświetla drogę z nikąd do nikąd

  10. #10
    Zarejestrowany
    Jun 2006
    Skąd
    rand(.eu)
    Postów
    8,748

    Domyślnie

    Cytat Napisał lame Zobacz post
    To taki dostawca powinien iśc do pudła razem z gościami co przeprowadzili te ataki.
    Nie może być tak, że jak nie masz dużo pieniedzy to zostajesz sam z problemem bycia ofiarą jakiegoś przestępstwa czy to w sieci czy gdziekolwiek indziej.
    Chodzi mi o to, ze ile placisz, tyle dostajesz. Jesli masz lacze firmowe (za cene dla firm) to mozesz na cos liczyc, jak masz lacze 'domowe' i odpowiednio dopasowana cene 'dla domu' to to przeklada sie na to co dostajesz.

    Cytat Napisał lame Zobacz post
    Nie można iść z tymi popaprańcami (atakującymi) na pokazaywanie kto ma większe muskuły
    Oczywiscie, to nie ma sensu bo jak ktos sie przylozy to i tak zatka...

    Problem w tym ze mozesz miec DDoS dokopujacy aplikacji a nie zatykajacy lacza... jednak serwer przestaje odpowiadac. ISP nie widzi nic praktycznie i implementacja jakiegos filtrowania po stronie ISP to ogromny koszt. Jesli masz lacze 'domowe' i stawiasz tam serwer... to w pierwszej kolejnosci mozesz uslyszec ze powinienes miec do tego inne lacze a jak chcesz na domowym to musisz sobie radzic sam i tutaj sie zgodze. Jak stawiasz cos powazniejszego to juz nie rob jaj i wykup sobie jakis hosting...

    Drugi rodzaj DDoSu to zatkanie lacza (syn-flood, http-flood, itp). Nie zdziw sie ale ISP tez moze powiedzec ze nic nie widzi... Ja mialem nie tak dawno DDoS okolo 200mbit/sek i to samych pakietow SYN, nie mowiac juz o niczym wiecej... wygenerowanie 200mbit/sek pakietow SYN to jednak troche jest, choc i tak niewiele (widzialem DDoSy wielkosci 40gbit/sek), wiec zadzwonilem do ISP i mowie ze dostajemy 200mbit pakietow SYN i czy moze to odfiltrowac jakos...

    ... w odpowiedzi uslyszalem 'Sorry, Wasze 200mbit jest u mnie na poziomie szumu ktorego nie jestem w stanie odfiltrowac. Gdybyscie mieli okolo 1-2gbit to moglibysmy rozmawiac'.

    Badzmy wiec realistami - DDoS to cholerstwo ktore bardzo ciezko zatrzymac, obrona slono kosztuje albo wymaga ogromnej wiedzy i doswiadczenia.

    P.S.
    Sa firmy ktore robia obrone przed DDoS'ami - nie podaje nazw bo nie o to chodzi - ale ceny ktore maja powalaja na kolana... Zakladajac ze odfiltrowany ruch bedzie max 2mbit/sek (nie wazne ile DDoS na wejsciu ma) za ustawienie filtra w ciagu 24h zaplacisz &#163;22.5tys, jesli odpowiada Ci ustawienie filtra w ciagu 24-48h to zaplacisz cos kolo &#163;9.5tys i oczywiscie dalej placisz za usluge... &#163;8.3k za kazdy miesiac z ruchem <2mbit/sek. Ceny oczywiscie netto. POWODZENIA :]
    ctrl-alt-del.cc - soft reset site for IT admins and other staff :-)

Strona 1 z 3 123 OstatniOstatni

Zasady Postowania

  • Nie możesz zakładać nowych tematów
  • Nie możesz pisać wiadomości
  • Nie możesz dodawać załączników
  • Nie możesz edytować swoich postów
  •  
Subskrybuj