[vpsFree.cz: community-list] Ochrana proti neustalym odchozim DoS z VPS
Pavel Snajdr
snajpa at snajpa.net
Tue Aug 19 10:39:47 CEST 2014
Zatim to eliminuje presne 100% problemu, co jsem tim chtel pokryt, tzn. zazdeni linky zdrojem zevnitr nasi site. Nevidim tam moc prostoru vubec nejak sahnout na sit z VPS tak, aby ji to ovlivnilo - i maximalni moznej pocet packetu za sekundu, co predstavuje 300Mbit, v pohode uroutujem.
Jedinou slabinou je ted pocet spojeni pres router, ktery je limitovany linuxovou implementaci conntracku. Nicmene conntrack na tech routerech neni nutnost, na NATovany provoz se daji koupit v pripade nutnosti dva slabsi Tilera based tiky, tyhlety multicores, to vali :)
snajpa
Sent from your iPad
> On 19 Aug 2014, at 09:43, Stanislav Petr <glux at glux.org> wrote:
>
> To je dle mejch zkušenosti ale řešením jen půlky problému. Ne kazdej DoS je vedeném velkejma paketama, takže je potřeba limitovat nejen datovej tok, ale i množství paketu (ve vpsadminu je vidět graf toku, ale ne paketu. Nicméně už jsem viděl DoSy na malejch pamětech, kde linka losila a na grafu provozu nebylo nic moc vidět). Prostě řešit nejen forwarding capacity, ale i switching capacity... Všechno musí bejt někde omezený, protože neomezenej HW ještě nemáme.
>
> Dalším zajímavým DoSem (ktery snad v prostředí VF nehrozí) bylo to ze útočník objednal několik VPS u stejného poskytovatele jako byl cíl útoku a útočil "lokálně".
>
> --
> Stanislav Petr
>
> Dne 18. 8. 2014 22:03 Pavel Snajdr <snajpa at snajpa.net> napsal(a):
>>
>> -----BEGIN PGP SIGNED MESSAGE-----
>> Hash: SHA256
>>
>> Ahojte,
>>
>> jak jsem tu zminoval uz nekolikrat, problemy s vyhlcenim linky jedinou
>> VPS se zacaly kupit, typicky jde o situaci, kdy si clen nepohlida
>> zabezpeceni svoji VPS, nejaky automaticky skener ji prolomi a pouziva
>> jako odpalovou plochu pro dalsi utoky.
>>
>> Nejjednodussim a zaroven nejucinnejsim resenim je omezit maximalni
>> sirku pasma, kterou muze jednotliva VPS vyuzit. Vzhledem k tomu, ze
>> aktualni konfigurace nasi linky nam dava 1 Gbit do NIXu, 500 Mbit do
>> SIXu (Slovensko) a 500 Mbit do zbytku sveta, prijde mi jako
>> nejrozumejsi tu hranici stanovit na 300 Mbit up/down per VPS.
>>
>> Technicky je shaper realizovany tc+htb+pfifo, funkcionalita je
>> implementovana primo ve vpsAdminu.
>>
>> Doufam, ze to nikdo nevnima jako "utahovani opasku", urcite neni cilem
>> zacit omezovat prostredky, ktere jsou clenum dostupne. Kdyby se tomu
>> shapingu dalo vyhnout, resili bychom to jinak.
>> Ale v situaci, kdy jsme diky tem problemum meli vypadek linky i
>> trikrat do tydne, mne osobne lepsi a ucinnejsi reseni nenapadlo.
>>
>> S tim, jak budeme postupne navysovat kapacitu linky jak to bude
>> potreba, prijde i moznost tenhle limit zvednout - jelikoz jedinym jeho
>> ucelem je nedovolit jedne konkretni VPS vyhltit celou linku (at uz do
>> Internetu nebo k jednomu hw stroji).
>>
>> Dik za pochopeni.
>>
>> - -snajpa
>> -----BEGIN PGP SIGNATURE-----
>> Version: GnuPG v1
>>
>> iF4EAREIAAYFAlPyXCEACgkQMBKdi9lkZ6plKAD/TAhjmOd8zheoxbPl8Wo73gz5
>> YwDfE2yyDT4Eil8aFcAA/Rc3oBi6B2Vw4HORJpeCprcnGL9iBl2j3Xu+sBznJe/9
>> =t+eF
>> -----END PGP SIGNATURE-----
>> _______________________________________________
>> Community-list mailing list
>> Community-list at lists.vpsfree.cz
>> http://lists.vpsfree.cz/listinfo/community-list
More information about the Community-list
mailing list