Attacco DDoS 26 maggio 2020

matteocontrini · 2020-05-26T22:23:35+00:00

Come avrete notato questa sera il forum ha avuto qualche problemino. C'è stato l'ennesimo attacco DDoS, dalle 21:13 alle 22:54, con origine 384 IP diversi c...

matteocontrini

edofullo risolto, grazie. Non doveva succedere però 🤔

EDIT: ok sì doveva succedere, l'origin delle immagini è su http ahahaha

[cancellato]

matteocontrini La terminazione SSL è "normale", lo fanno su appliance in grado di assistere l'handshake in hardware; al backend multiplano tutto su poche connessioni in keep-alive.
Per avere WAF che possa analizzarti i contenuti, nonché servirti via CDN i contenuti statici in cache, devono farti da full-proxy, non c'è niente da fare, altrimenti sono solo dei load balancer L4.

matteocontrini

[cancellato] La terminazione SSL è "normale", lo fanno su appliance in grado di assistere l'handshake in hardware; al backend multiplano tutto su poche connessioni in keep-alive.

Non mi preoccupano più di tanto le prestazioni, ma il fatto che avere un soggetto in mezzo che termina TLS è praticamente un MITM. È una questione di fiducia

[cancellato] nonché servirti via CDN i contenuti statici in cache

È comune però vedere un dominio dedicato per i contenuti statici, mentre la filosofia di CF è "fate passare tutto il traffico tramite noi", statico o meno che sia, e chiaramente spingono su questo perché anche su questo basano il business.

Nei casi in cui non c'è la necessità di avere un WAF/protezione DDoS io personalmente sceglierei di far passare dalla CDN solo i contenuti statici o quasi-statici. (A meno che non debba gestire repubblica.it.)

[cancellato]

matteocontrini E come ti proteggi dai SYN flood/TCP exhaustion?

matteocontrini

[cancellato] tramite la protezione che ti offre in modo trasparente il datacenter, come fa Hetzner e molti altri provider

https://www.hetzner.com/unternehmen/ddos-schutz

[cancellato]

matteocontrini Eh sì ok, il servizio di cloudflare è appunto per chi non ha una protezione DDoS, è in fondo il loro scopo.
Alcuni di questi servizi (non so se lo faccia anche CF) permettono proprio di "mascherare" totalmente i siti, e lato backend ti chiamano via tunnel GRE o simili, proprio per non far esporre niente direttamente al cliente.

PS: Arbor era uno dei nomi grossi in questo settore 😉

Ci sono cose comunque per le quali se non analizzi il traffico cifrato non puoi difenderti, vedi per esempio lo slow loris, tanto per citare il più banale. Oppure analisi nel contenuto (SQL injection, header forgery e tutto ciò che ci gira attorno).

maxx3

io non riuscivo ad accedere qualche minuto fa ..

mi usciva questo
La pagina non funzionaforum.fibra.click ti ha reindirizzato troppe volte.
Prova a cancellare i cookie.
ERR_TOO_MANY_REDIRECTS

FilippoBellei

maxx3 idem

matteocontrini

maxx3 ho fatto casino di nuovo, scusate 😂

È "colpa" delle modalità TLS di CloudFlare (Flexible, Full, ecc.), le ho interpretate male due volte stasera

davidebissoli97

matteocontrini ma nessun problema, stai solo cercando di rendere il forum un posto migliore 👍

crireal

matteocontrini tu e @andreagdipaolo, per problemi diversi.... vi sono vicino 😅

matteocontrini

[cancellato] Eh sì ok, il servizio di cloudflare è appunto per chi non ha una protezione DDoS

Beh non per forza. Noi siamo con Hetzner quindi abbiamo protezione DDoS, eppure per proteggere l'L7 abbiamo bisogno di altro. Io dicevo che se riesci a gestire il livello 7 in qualche altro modo (o non sei attaccato a quel livello) la protezione del datacenter può essere sufficiente. Per dire WindTre.it è su AWS EC2 e userà il servizio DDoS di AWS che è interno al datacenter. Non serve nessun intermediario in questo caso, il traffico viene terminato sulle tue macchine

[cancellato] Alcuni di questi servizi (non so se lo faccia anche CF) permettono proprio di "mascherare" totalmente i siti, e lato backend ti chiamano via tunnel GRE o simili, proprio per non far esporre niente direttamente al cliente.

Mmm non so se lo fa. Avevamo usato un servizio con tunnel GRE in passato, ma era un po' macchinoso da gestire...

[cancellato] Ci sono cose comunque per le quali se non analizzi il traffico cifrato non puoi difenderti, vedi per esempio lo slow loris, tanto per citare il più banale

È molto simile al tipo di attacchi che riceviamo, ed è però quasi-gestibile a livello di firewall sull'host di destinazione

ermanno no

ermanno

in questo momento ci sono attacchi?

ermanno

matteocontrini ho scritto perchè si aprivano dei banner rossi con la scritta "ooops si è verificato un problema"

rami

matteocontrini WindTre.it è su AWS EC2

Beh hanno soldi da buttare per pagare ec2 per fare hosting web 😅

[cancellato]

matteocontrini Perché le competenze networking e cloud computing sono tremendamente diverse tra loro. 😉

matteocontrini È molto simile al tipo di attacchi che riceviamo, ed è però quasi-gestibile a livello di firewall sull'host di destinazione

Non sempre appunto... attacchi sul payload non li fermi con i firewall (SQL injection tanto per far un nome).

matteocontrini Beh non per forza. Noi siamo con Hetzner quindi abbiamo protezione DDoS, eppure per proteggere l'L7 abbiamo bisogno di altro. Io dicevo che se riesci a gestire il livello 7 in qualche altro modo (o non sei attaccato a quel livello) la protezione del datacenter può essere sufficiente.

Se sei self-hosted e non in cloud la protezione DDoS te la devi comprare di tasca tua e devi saperla soprattutto gestire correttamente 😃 Credimi, di aziende che ha ancora roba in casa ce ne sono uno sfracelo, e io dico per fortuna (ho una idiosincrasia per il cloud, per lo meno per determinati utilizzi dello stesso in ambito enterprise... e già diverse aziende si son fatte due conti e stanno procedendo all'insourcing dal cloud).

matteocontrini

ermanno ci farò caso, ma potrebbe essere stato semplicemente un problema temporaneo

rami non è una scelta così strana, i servizi AWS (così come GCP/Azure) facilitano di molto l'autoscaling. Ha un certo costo ma hai anche un universo di servizi per ogni cosa ti venga in mente. Poi non so nello specifico come e perché usano AWS, anche considerando che sono un ISP ahah

ermanno

matteocontrini terrò d'occhio la cosa e nel caso informo la proprietà 😎

rami

matteocontrini AWS

Sì appunto, mi sembra poco conveniente usare istanze general purpose quando si potrebbero usare usare elastic-* per fare load balancing, autoscaling e quant'altro... Farlo con istanze ec2 con sopra deployati i software server per farli scalare significa pagare molto di più che usare i loro servizi nati apposta per quello.

matteocontrini

[cancellato] Perché le competenze networking e cloud computing sono tremendamente diverse tra loro.

WindTre offre servizi cloud alle aziende, quindi non è che non hanno competenze

[cancellato] Non sempre appunto... attacchi sul payload non li fermi con i firewall (SQL injection tanto per far un nome).

Ok ma qui parlavamo di DDoS, non di WAF. La SQL injection sinceramente va gestita sapendo programmare, il WAF è una toppa 😅

rami ma Elastic Beanstalk, ECS e via dicendo usano EC2 e paghi in ogni caso il costo delle EC2, quindi al massimo costa di più, non di meno, no? Io vedo che windtre.it punta a delle EC2, poi non penso possiamo capire facilmente se sulle EC2 c'è Beanstalk, ecc. e/o se fanno autoscaling

[cancellato]

matteocontrini a SQL injection sinceramente va gestita sapendo programmare, il WAF è una toppa 😅

Sei GGGiovane... 😉

matteocontrini WindTre offre servizi cloud alle aziende, quindi non è che non hanno competenze

Hai riferimenti? Google non mi è di aiuto in questo...

rami

matteocontrini Io vedo che windtre.it punta a delle EC2, poi non penso possiamo capire facilmente se sulle EC2 c'è Beanstalk, ecc.

Su due piedi non te lo so dire, ma è da investigare 🙂
Conosco meglio emr, s3, e quello che riguarda hadoop, spark e compagnia bigdata, non so quasi niente del lato hosting scalabile, ma di base mi sembra strano avere esposte direttamente macchine ec2 da fuori se si stanno usando correttamente le loro cache intermedie, ma devo investigare, sono solo supposizioni

« Pagina precedente Pagina successiva »

Informativa privacy - Informativa cookie - Termini e condizioni - Regolamento - Disclaimer - 🏳️‍🌈 🇵🇸
P.I. IT16712091004 - info@fibraclick.it

♻️ Il server di questo sito è alimentato al 100% con energia rinnovabile