Attacco DDoS 26 maggio 2020

matteocontrini · 2020-05-26T22:23:35+00:00

Come avrete notato questa sera il forum ha avuto qualche problemino. C'è stato l'ennesimo attacco DDoS, dalle 21:13 alle 22:54, con origine 384 IP diversi c...

[cancellato]

matteocontrini Onesto direi! 😃

Mi sa che arrivano a stackpath perché qualcuno ha ancora i record DNS vecchi mi sa (dipende da quanto era lungo il TTL precedente prima che giraste sui NS cloudflare).

matteocontrini

[cancellato] 300 secondi quindi boh, strano

[cancellato]

matteocontrini Anche nei root DN? Mmmmm... strano che i registrar mettano un TTL così basso..
Ad ora mi risulta 900s = 15 min

fibra.click.            900     IN      NS      grace.ns.cloudflare.com.
fibra.click.            900     IN      NS      norman.ns.cloudflare.com.
fibra.click.            86400   IN      NSEC    fibracero.click. NS RRSIG NSEC
fibra.click.            86400   IN      RRSIG   NSEC 5 2 86400 20200629213415 20200530213415 33183 click. fKC4rGtKuCGmrSecMy5t1SHsXQXnTXCY1pL/Mo9bJ3uDN4x0Wd0in2Vj nQbBQzjKGr5bCniVnwoQBliVqKc2LTbYG3AzXYfsRqFYJtZEEbdMHNpC MHLzczCDBZyb37K4s+tsAMfqZhasdvLzlao2zzhagXzyNlsA8SidWEly ++g=
;; Received 306 bytes from 185.159.198.3#53(ns4.uniregistry.info) in 83 ms

matteocontrini

[cancellato] non ho cambiato nameserver. Ho solo cambiato il record che ha TTL 300 secondi (default di CF)

Michi_d

Comunque il forum mi sta andando lentissimo. Circa 20 secondi per entrare più 10-15 secondi per aprire una discussione.

matteocontrini

Michi_d qua è regolare, quando funziona 🙂

Ora c'è la challenge Cloudflare per tutti, ma superata quella dovrebbe essere regolare.

[cancellato]

matteocontrini Ahhhnn sorry, pensavo che nelle prove aveste passato anche i DNS su CF.
Cancella tutto allora.

Michi_d

matteocontrini boh, sono da rete mobile e sia con wind3 che con Vodafone ci mette molto tempo.

Edit: 20 secondi per inviare il mesaggio

Simonektv

Innanzitutto Cloudflare penso nel 2020 sia la cosa più inutile che si possa tenere, è comodo solo per la gestione DNS tutto qua, con un buon hardware si riescono a filtrare pure i L7 a mano senza problemi, stackpath è "meh" protegge sicuramente ma non così tanto, per quanto riguarda il resto ho letto in sto thread robe con "slowloris" sembra di tornare al 2008...
Nessuno ti protegge da L7, solo L4 purtroppo, un mix tra nginx e alcune regole e te ne esci fuori senza problemi

matteocontrini

Simonektv il traffico di questi attacchi scivola sotto qualsiasi regola. Scrivimi in privato se vuoi.

StackPath è funzionato perfettamente oggi, ma ha mostrato la challenge a tutti per tutto il giorno praticamente.

[cancellato]

Simonektv Se ti piantano un volumetrico ti tirano giù... altro che filtrare gli attacchi layer 7 "con un buon hardware"... cosa intendi tu con buon hardware?
Tieni conto che @matteocontrini ha tutto in cloud... quindi al limite si parla di risorse della VPS o quel che sia.

Non è assolutamente vero che nessuno ti protegge da attacchi L7. Forse nessuno free, questo non lo so... ma di sicuro ci sono servizi che lo fanno. Il mio esempio dello slowloris (so perfettamente che è datato) era per dire come un full proxy davanti a volte ti para il fondoschiena.

VLANTony

[cancellato] Gli attacchi volumetrici ormai lasciano il tempo che trovano.
Provider come Hetzner (che mi pare di aver capito sia questo in uso attualmente) filtrano a monte qualsiasi tipo di volumetrico, che comunque è un L4.

Sono d'accordo con @Simonektv per il "mix" tra configurare il webserver (nginx o che sia) e qualche regola qui e lì, soprattutto con una blacklist che inizia a scremare almeno i provider da cui arrivano gli attacchi, tra quelli più comuni. (vedi China Telecom e compagnia bella)

Nessun provider ti dà protezione L7 al giorno d'oggi, sono tutti servizi a parte e 99% a pagamento, motivo per cui la protezione L7 è spesso un "fai da te" e piuttosto che usare CloudFlare, meglio lasciare il sito "nudo"...

Simonektv

[cancellato] un volumetrico? parliamo di L7 non di L4, ormai pure ovh te lo filtra un L4 di 500GBPS come niente...
Intendo buon hardware per filtrare L7 fai da te, non L4 che lì ormai tutti ti proteggono come già detto sopra.

VLANTony Concordo pienamente con te, fai prima a filtrarti con ip scoperto che con cloudflare direttamente, non serve più a niente, anzi sei anche più vulnerabile. ho filtrato più a nudo che che con cloudflare dietro, anzi è pure una rottura perché se tu banni da iptables e stai dietro cloudflare l'utilità è 0.

matteocontrini

VLANTony arrivano attacchi da provider normali, tra cui TIM, Vodafone, EOLO, ecc. E anche bloccando tutto il traffico estero, che è quello che ho fatto, le richieste sono troppe. Il forum è PHP, non sono pagine statiche, qualsiasi regola ci mette un attimo a scattare (che comunque c'è) e intanto le richieste hanno già mandato in crisi PHP, quindi è quasi inutile considerando che gli IP cambiano di continuo e vanno avanti per ore.

La fate facile...

redfuegolight

@matteocontrini attento a non bloccare gli ip di CF su stackpath! Dovresti mettere in whitelist tutti gli ip di cloudflare, altrimenti blocchi tutti gli ip che associa cloudflare alle rete di tim, vodagone etc. Per esempio io con tiscali riesco ad aentrare sul forum, un mio amico sotto la rete tim no. Visto che l'attacco ti sta arrivando da reti leggittime deduco che stai bloccando gli ip di cloudflare che ha assegnato a quelle reti.

Simonektv

redfuegolight Ma ha cloudflare, come fa a bannare stackpath? :') non penso che abbia stackpath dietro cloudflare, sarebbe un conflitto assurdo

redfuegolight

https://www.cloudflare.com/ips/
Qui trovi tutti i blocchi d'ip che usano. Prova a whitelistarli su Stackpath. Ricordati che spesso CF li aggiorna.

VLANTony

redfuegolight Non c'è alcun nesso con gli IP di CloudFlare...

redfuegolight

matteocontrini 150mila circa arrivate al server + 70mila arrivate a StackPath per qualche ragione (bloccate) + 108mila bloccate da CF

Simonektv Da qui deduco che sta usando entrambi, per questo mi è sorto il dubbio.

matteocontrini

redfuegolight no non ci sono entrambi, non avrebbe senso 🙂

Come abbiamo discusso sopra qualche client ha tenuto in cache più del dovuto il record DNS e quindi un po' di richieste sono (per fortuna) finite a StackPath. Il nostro server conosce già sia gli IP di CF che SP, sono aggiornati in automatico.

Se qualcuno non riusciva ad andare è perché ho dovuto mettere un rate limiter esageratamente basso, il tipo di traffico di questi attacchi è sostanzialmente indistinguibile se lo guardi singolarmente, anche per questo speravo che CF fosse un attimo più smart di me.

MircoT

lavoro con server e pc da 30 anni, seppur in uno specifico settore, parecchio verticale, ma confesso che leggendo questo post ho avuto la conferma di essere terribilmente ignorante. per lo meno sulle questioni dei server web messi in cloud, le loro protezioni dai ddos, la scalatura delle prestazioni e compagnia cantante: degli ultimi 50 post non ci ho capito un'acca..
eh vabbeh.. me ne farò una ragione 😃

en passant: ieri sera i dns telecom dicevano di non sapere dov'era l'host forum.fibra.click, anche se lo avevo usato 10 minuti prima.
stamattina funge. dannata cache dns 🙂
e pare che il mio ip (dinamico ftth tim, lo stesso di ieri) non sia più sospetto: ieri continuava a chiedermi il codice capcha ad ogni accesso.

buon lavoro 🙂

matteocontrini

MircoT en passant: ieri sera i dns telecom dicevano di non sapere dov'era l'host forum.fibra.click, anche se lo avevo usato 10 minuti prima.

Un altro utente Fastweb si è lamentato di questo problema ieri. Però è slegato dai DDoS e quant'altro, il nameserver di FibraClick è Cloudflare da moltissimo tempo.

MircoT e pare che il mio ip (dinamico ftth tim, lo stesso di ieri) non sia più sospetto: ieri continuava a chiedermi il codice capcha ad ogni accesso.

Sì abbiamo tolto quel servizio dopo poche ore perché chiedeva (a ragione, in realtà) il captcha a tutti.

« Pagina precedente Pagina successiva »

Informativa privacy - Informativa cookie - Termini e condizioni - Regolamento - Disclaimer - 🏳️‍🌈 🇵🇸
P.I. IT16712091004 - info@fibraclick.it

♻️ Il server di questo sito è alimentato al 100% con energia rinnovabile