DDoS su rete Dimensione

notherealmarco · 2025-04-27T10:42:55+00:00

Buongiorno, Stamattina ho ricevuto un attacco DDoS della durata di circa 5 minuti sulla mia linea Dimensione (tra le 11:30 e le 11:36). Scrivo questo thread...

nicos18

giusgius Per questo fai una verifica con il supporto, ci sono alcuni dispositivi problematici in tal senso

Ma per dispositivi, che intendi? Il router? La CPE?

giusgius

nicos18 Il router dove è presente l'account VoIP.

notherealmarco Perfetto, grazie!

nicos18

giusgius Il router dove è presente l'account VoIP.

Ah, okay.

Ora che ci penso, sembra che i problemi siano partiti poco dopo dal cambio dal TP-link allo ZTE. A questo punto, non vorrei che la mia unità abbia qualche difetto.

attackment

giuse56 vivo all'estero 😉 Deutsche Telekom

cravatta

attackment Deutsche Telekom

hai un signor isp 😃

Ottimo marco speriamo che non ricapitano più!

DerAdler

notherealmarco ho alcuni servizi esposti sull'IP pubblico

Hai le porte 22, 53, 80 e 443 esposte (v. https://www.shodan.io/host/*tuo_IP*); al tuo IP pubblico è pure connesso un dominio (quello .cc); diciamo che è da mettere in conto che prima o poi qualcuno/qualcosa "venga a bussare". Mi chiedo se valga davvero la pena esporre quei servizi/porte (ma avrai i tuoi motivi).

notherealmarco mi aspetterei che subentri una protezione da parte vostra

mah, per cose così mirate (e limitate) non ho visto intervenire alcunché nemmeno su contratti business, figuriamoci su contratti consumer.
Poi giustamente, dopo aver letto questo thread, il buon Giuseppe ha deciso di prendersi in carico la tua segnalazione e quindi in Dimensione faranno i dovuti approfondimenti 😉

notherealmarco

DerAdler Mi chiedo se valga davvero la pena esporre quei servizi/porte

DerAdler 22, 80 e 443

Espongo servizi (come Immich, Nextcloud, Forgejo, OpenWebUI ecc.) che non voglio mettere sotto VPN, siccome sono utilizzati anche da amici, colleghi e parenti.
Metti che vado a fare un trekking sul monte Amaro e voglio condividere le foto con i miei amici, non posso mettermi a dare profili wireguard a gente che wireguard non sa neanche cosa sia...

In generale sono dell'idea che se sai ciò che fai, non è rischioso esporre cose su internet dalla propria rete di casa. Lo diventa però nel momento in cui lo fai senza tenere a mente i rischi che ne conseguono, ad esempio se segui un tutorial su youtube senza sapere bene cosa stai facendo.

DerAdler 53

Qui è esposto il server DNS autoritativo del mio homelab, che è in self-hosting. Ovviamente ha la ricorsione disattivata e ha rate limit per prevenire attacchi di amplification/reflection.

Perché self-hostare i DNS? Perché secondo me un homelab serve proprio a questo: a sperimentare cose che poi, lavorativamente parlando, potranno tornare utili. Mi capita spesso di testare nel mio homelab setup che poi vado a realizzare in università (faccio il sistemista in un laboratorio universitario).

Ma soprattutto... Mi diverto e mi piace il concetto di non essere dipendente da nessun provider cloud.
Per dirti, mi self-hosto anche le e-mail (ma su un VPS per poter impostare i record PTR e avere IP con una buona reputazione).

DerAdler per cose così mirate (e limitate) non ho visto intervenire alcunché nemmeno su contratti business

ti rispondo citando dal sito:
"La nostra rete è protetta. Se il tuo IP viene attaccato, ad esempio durante il gaming, l'attacco verrà filtrato per offrirti le migliori performance."

DerAdler il buon Giuseppe ha deciso di prendersi in carico la tua segnalazione e quindi in Dimensione faranno i dovuti approfondimenti

Giuseppe (che ringrazio) è stato molto professionale, fornendomi ulteriori informazioni sull'incidente (che per ovvi motivi non condividerò qui) e assicurandomi che verranno intraprese misure per evitare che scenari simili si ripetano.

Fraternal3954

notherealmarco Qui è esposto il server DNS autoritativo del mio homelab

Libero a tutti? È una delle prime cose da bloccare

DerAdler porte 22

Non vedo un motivo logico di tenere aperta quella porta, se il report era corretto

lupoarrabbiato gestire diversi attacchi mirati sulle porte esposte all'esterno attraverso regole chiamate black-hole e mi ha fatto anche notare come siano irrisorie per la CPU una volta che entrano in funzione

Se ti colpisce un vero attacco ddos, ti satura la banda e le regole che imposti servono a poco.

lupoarrabbiato Poi io sarei in disaccordo di far girare un'intera rete su un FW hostato su macchina virtuale, preferisco avere ferro dedicato per quello

Ci sono scuole di pensiero opposte, ma anche io la penso come te. Troppi lati negativi. Ho un router VyOS che si occupa solo di una vlan in cui tutto il traffico passa in una vpn, quindi anche io ne uso uno virtuale ma di sicuro non è quello core.

lupoarrabbiato soluzione interessante

Ricorda che in quel modo cloudflare ha la possibilità di leggere il tuo traffico

lupoarrabbiato

notherealmarco Perché secondo me un homelab serve proprio a questo: a sperimentare cose che poi, lavorativamente parlando, potranno tornare utili. Mi capita spesso di testare nel mio homelab setup che poi vado a realizzare in università (faccio il sistemista in un laboratorio universitario).

Ma soprattutto... Mi diverto e mi piace il concetto di non essere dipendente da nessun provider cloud.
Per dirti, mi self-hosto anche le e-mail (ma su un VPS per poter impostare i record PTR e avere IP con una buona reputazione).

sono d'accordo con te e condivido sul mio server molti dei tuoi servizi self-hostati. A mio parere come firewall o comunque come router sarebbe superiore un cisco. A casa mia faccio girare tutta la rete su un ibrido di mikrotik (routing)/ubiquiti (wireless), ma ho circa 3 router cisco da usare come laboratorio piuttosto vecchi (due 1841 e un 2811), li reputo davvero flessibili e hanno regole di NAT impostabili per qualsiasi esigenza. Il mio tutor di PCTO mi ha fatto smanettare un pò e mi ha fatto notare le diverse possibilità di gestire diversi attacchi mirati sulle porte esposte all'esterno attraverso regole chiamate black-hole e mi ha fatto anche notare come siano irrisorie per la CPU una volta che entrano in funzione. Non escludo che ci sia una configurazione tale per OPNSense ma probabilmente o hai progettato male le regole per filtrare il traffico o l'host su cui gira il FW è piuttosto debole. Poi io sarei in disaccordo di far girare un'intera rete su un FW hostato su macchina virtuale, preferisco avere ferro dedicato per quello, se occupa spazio, amen.

datrix

notherealmarco Espongo servizi (come Immich, Nextcloud, Forgejo, OpenWebUI ecc.) che non voglio mettere sotto VPN, siccome sono utilizzati anche da amici, colleghi e parenti.
Metti che vado a fare un trekking sul monte Amaro e voglio condividere le foto con i miei amici, non posso mettermi a dare profili wireguard a gente che wireguard non sa neanche cosa sia...

In generale sono dell'idea che se sai ciò che fai, non è rischioso esporre cose su internet dalla propria rete di casa. Lo diventa però nel momento in cui lo fai senza tenere a mente i rischi che ne conseguono, ad esempio se segui un tutorial su youtube senza sapere bene cosa stai facendo.

Perchè non valuti la possibilità di utilizzare il Tunnel di Cloudflare?
Io ho installato su docker cloudflared e ho settato un reverse proxy affinchè tutti i servizi che espongo su internet vengano nattati dalla rete di cloudflare.
In questo modo posso esporre qualisiasi servizio su qualsiasi porta senza dover aprire nessuna porta su internet.
Su internet viene esposto l'ip di cloudflare e non il mio ip pubblico.

simonebortolin

notherealmarco Perché secondo me un homelab serve proprio a questo: a sperimentare cose che poi, lavorativamente parlando, potranno tornare utili. Mi capita spesso di testare nel mio homelab setup che poi vado a realizzare in università (faccio il sistemista in un laboratorio universitario).

Io non vedo l'ora che anche le unviersità smettano con l'attegiamento hostato in casa è meglio... Il cloud ha un costo maggiore, ma fa sì che i tecnici che si occupino di attività di devops abbiamo più tempo per fare meno attività operative e più attività a valore.

datrix Perchè non valuti la possibilità di utilizzare il Tunnel di Cloudflare?

Concordo, non ha senso dare così il proprio ip privato.

notherealmarco Perché non voglio che un'azienda americana abbia accesso a tutti i miei dati. Uso cloudflare ma solo per alcune cose pubblicamente accessibili, ad es. per il sito personale. Non lo userei mai per servizi come immich.

Ah questo cloudact che fa più paura che altro...

notherealmarco

lupoarrabbiato A mio parere come firewall o comunque come router sarebbe superiore un cisco.

Avessi il budget 🫠
(comunque preferisco altro a cisco)

lupoarrabbiato preferisco avere ferro dedicato per quello

anche io! Ma vedi risposta precedente

lupoarrabbiato l'host su cui gira il FW è piuttosto debole

2 vcore di un 5900X. Potrei valutare di assegnargliene 4

lupoarrabbiato Non escludo che ci sia una configurazione tale per OPNSense

non penso onestamente, ma mi informerò!

datrix Perchè non valuti la possibilità di utilizzare il Tunnel di Cloudflare?

Perché non voglio che un'azienda americana abbia accesso a tutti i miei dati. Uso cloudflare ma solo per alcune cose pubblicamente accessibili, ad es. per il sito personale. Non lo userei mai per servizi come immich.

lupoarrabbiato Noti cali di performance/banda passante verso i servizi inferiore rispetto alla velocità contrattuale disponibile con il tuo operatore?

Dai miei test, su un tunnel cloudflare (piano gratuito) difficilmente fai più di 100-200Mbps.

lupoarrabbiato consumo della CPU alta per l'incapsulazione del traffico

È letteralmente come usare una qualsiasi VPN, un po' impatta ma non molto su CPU moderne.

Fraternal3954 Libero a tutti?

se avessi letto il messaggio, avresti anche notato che ho preso le dovute misure di sicurezza.
Non so cosa intendi con libero però.

Fraternal3954 Non vedo un motivo logico di tenere aperta quella porta

https://git-scm.com/book/en/v2/Git-on-the-Server-The-Protocols

Fraternal3954 Troppi lati negativi.

TBH, l'unico lato negativo per il mio use-case è il fatto di non poter accedere al KVM del server da remoto se dovesse scoppiare l'host (perché scoppierebbe pure la VM). Ma per un homelab in cui non ci gira nulla di mission-critical, va più che bene.

Chiaro che in università, dove abbiamo servizi critici, adottiamo soluzioni differenti sotto questo punto di vista.

lupoarrabbiato io ho come abbonamento giusto il dominio con rinnovo annuale e nient'altro

Io sto valutando di abbandonare del tutto CF e passare a deSEC per la gestione DNS del dominio principale (continuando a usare il mio server in self-hosting per la zona DNS dell'homelab).

lupoarrabbiato

datrix soluzione interessante. Noti cali di performance/banda passante verso i servizi inferiore rispetto alla velocità contrattuale disponibile con il tuo operatore? I tunnel remoti solitamente azzoppano significativamente le prestazioni (es. consumo della CPU alta per l'incapsulazione del traffico). Giusto per mia informazione

datrix

lupoarrabbiato
Assolutamente no, nessun calo di performance sulla rete e nessun consumo anomalo sui core della CPU (ho un server con una CPU con 16 core e 32gb di RAM).
Secondo me è la soluzione perfetta per chi ha un piccolo server casalingo, con anche il vantaggio di poter cambiare router e ISP senza avere nessuna ripercussione sulle configurazioni della rete esposta su internet.

lupoarrabbiato

Fraternal3954 Libero a tutti? È una delle prime cose da bloccare

beh, se lo usa come nameserver associato al dominio, come nel mio caso, la porta 53 dev'essere assolutamente raggiungibile affinché ci possa essere la risoluzione del dominio e dei record DNS

Fraternal3954 Se ti colpisce un vero attacco ddos, ti satura la banda e le regole che imposti servono a poco.

A quanto ho capito non è stato un'attacco così massivo, sicuramente un router con hardware recente non gli fa cadere giù la connessione obbligandolo ad interventi di ripristino manuali

Fraternal3954 Ricorda che in quel modo cloudflare ha la possibilità di leggere il tuo traffico

beh si, io penso che sia molto più appagante mantenere un homelab stabile senza ricorrere a servizi esterni per il corretto funzionamento. io ho come abbonamento giusto il dominio con rinnovo annuale e nient'altro, come protezioni me la cavo con il mio RB3011 che riesce a mantere un carico dellla CPU basso e ogni tanto riceve qualche piccolo scan di porte o handshaking sul server openvpn. Non ho mai avuto un'esperienza così terribile da immobilizzarmi la rete

Fraternal3954

lupoarrabbiato la porta 53 dev'essere assolutamente raggiungibile

Si ma è poco sicuro.

lupoarrabbiato A quanto ho capito non è stato un'attacco così massivo

Si sembra così. Lo era se usava una FTTC 😂

lupoarrabbiato

datrix non mi è chiaro se usi il piano gratuito o hai un'abbonamento avanzato. Credo che per testare quello che dico io dovresti mettere su un server speedtest: tipo openspeedtest su docker (però ha colli di bottiglia per via di docker, o almeno, nel mio caso) oppure librespeed (una libreria github) con php e apache2/nginx se hai un server web esposto; e fare uno speedtest da una rete esterna con stesse caratteristiche o superiore verso il servizio hostato dentro il tuo server che viene incapsulato dentro il tunnel.

Fraternal3954 Si ma è poco sicuro

si ma devi esporre una configurazione talmente debole da poter permettere all'attacante di compromettere le cache DNS (il cosiddetto cache poisioning). Uno dev'essere davvero mona per non riuscire a proteggere bene un server bind 😂

datrix

lupoarrabbiato

Utilizzo il piano gratuito, che per i miei scopi va più che bene.

Posso provare a fare questo tipo di test.
Però all'atto pratico sia sul server web nginx che è collegato a diversi sottodomini del mio dominio principale, che su altri servizi esposti come Immich ad esempio non noto rallentamenti o colli di bottiglia.
Tutti i servizi sono perfettamente utilizzabili senza rallentamenti.

Fraternal3954

lupoarrabbiato Uno dev'essere davvero mona per non riuscire a proteggere bene un server bind

Per te che sai di cosa parli è facile, magari per chi è alle prime armi potrebbe dimenticarsi qualche dettaglio oppure seguire una guida sbagliata 😂

lupoarrabbiato

datrix sei hai voglia e tempo sono ben curioso di sapere gli esiti di questo test! su che linea gira il tutto? non ho letto bei pareri sul piano gratuito proprio relativi a limitazioni di banda. Poi mi preoccuperei se qualcosa andasse in fumo lato cloudflare, ricordati che sono servizi gratuiti senza tempi di ripristino garantiti ed è il tuo single point of failure, anche se perdendo per qualche giorno Immich non cadrebbe il mondo.

datrix

lupoarrabbiato

quando ho un attimo di tempo faccio delle prove.
Stiamo pur parlando di cloudflare, difficilemente potrebbe cadere il servizio, e poi anche fosse sono tutti servizi personali, non succederebbe nulla 😃

Se devo essere sincero ho messo su tutto quando mi sono trovato nella situazione di non poter aprire le porte su un router e quindi non avevo alternative se non quelle di nattare la rete. Poi col passare del tempo l'ho trovato così comodo che ho lasciato tutto così, anche perchè mi piace il concetto che il mio ip pubblico non sia visibile nei servizi che epsongo.

Al momento ho una fttc 70/20, con la speranza che prima o poi attivino la vendibilità visto che ARLO e PTE sono già pronti.

lupoarrabbiato

notherealmarco Chiaro che in università, dove abbiamo servizi critici, adottiamo soluzioni differenti sotto questo punto di vista.

sicuro, ci saranno almeno 4 router ridondnati con due connettività separate dedicate punto punto con banda garantita e SLA massimi 🤤🫠🫠

notherealmarco Dai miei test, su un tunnel cloudflare (piano gratuito) difficilmente fai più di 100-200Mbps.

immaginavo che siano più o meno quelli o valori.

notherealmarco Perché non voglio che un'azienda americana abbia accesso a tutti i miei dati.

ma infatti, stiamo scherzando?!

notherealmarco Avessi il budget

sull'usato si trova di tutto per tutte le tasche 😉

notherealmarco anche io! Ma vedi risposta precedente

me ne vogliate ma non ho trovato risposta 😔

Fraternal3954 Per te che sai di cosa parli è facile, magari per chi è alle prime armi potrebbe dimenticarsi qualche dettaglio oppure seguire una guida sbagliata 😂

ormai basta informarsi su qualsiasi guida aggiornata, il blog di digital ocean è scritto bene e riporta configurazioni già complete senza troppe mancanze di sicurezza.

notherealmarco Io sto valutando di abbandonare del tutto CF e passare a deSEC per la gestione DNS del dominio principale (continuando a usare il mio server in self-hosting per la zona DNS dell'homelab).

io ho soltanto la registrazione del dominio con godaddy e basta

datrix Al momento ho una fttc 70/20, con la speranza che prima o poi attivino la vendibilità visto che ARLO e PTE sono già pronti.

buona fortuna 😄

Fraternal3954 Visto che mi dici che non leggo i messaggi, te non ti sei neanche accorto che nell’ultima risposta hai aggiunto, in autonomia, un altro lato negativo.

beh anche il router se esplode non ci entri nemmeno da telnet o ssh, però rimane sempre diversa la situazione perché la maggior parte sono dotati di porta console dedicata

Fraternal3954

notherealmarco l'unico lato negativo per il mio use-case è il fatto di non poter accedere al KVM del server da remoto se dovesse scoppiare l'host

Visto che mi dici che non leggo i messaggi, te non ti sei neanche accorto che nell’ultima risposta hai aggiunto, in autonomia, un altro lato negativo.

« Pagina precedente Pagina successiva »

Informativa privacy - Informativa cookie - Termini e condizioni - Regolamento - Disclaimer - 🏳️‍🌈 🇵🇸
P.I. IT16712091004 - info@fibraclick.it

♻️ Il server di questo sito è alimentato al 100% con energia rinnovabile