Zaseky fora

22. 3. 2025, 12:28

Posledni hodiny probiha ddos utok na forum. Dost mozna pote co jsem zabanoval ty rusaky jak se furt pokousel zaregistrovat ucty v kterych meli vyplnene ruzne url na ruzne weby.
Omlouvam se ale tohle uz neumim uplne vyresit. Musime pockat az je to prestane bavit.

lapa · 22. 3. 2025, 3:49

robokop píše: ↑22. 3. 2025, 12:28 Posledni hodiny probiha ddos utok na forum. Dost mozna pote co jsem zabanoval ty rusaky jak se furt pokousel zaregistrovat ucty v kterych meli vyplnene ruzne url na ruzne weby.
Omlouvam se ale tohle uz neumim uplne vyresit. Musime pockat az je to prestane bavit.

Dik za info, uz jsem premyslel, co se mi podelalo na stroji.

pafik · 22. 3. 2025, 4:42

robokop píše: ↑22. 3. 2025, 12:28 Posledni hodiny probiha ddos utok na forum. Dost mozna pote co jsem zabanoval ty rusaky jak se furt pokousel zaregistrovat ucty v kterych meli vyplnene ruzne url na ruzne weby.
Omlouvam se ale tohle uz neumim uplne vyresit. Musime pockat az je to prestane bavit.

V bance jsme to řešili tak, že jsme zavolali providerovi a ten zablokoval balík adres, pokud to byl malej pool. DDoS z celý sítě se v podstatě řešit nedá.

pafik · 22. 3. 2025, 4:43

robokop píše: ↑22. 3. 2025, 12:28 Posledni hodiny probiha ddos utok na forum. Dost mozna pote co jsem zabanoval ty rusaky jak se furt pokousel zaregistrovat ucty v kterych meli vyplnene ruzne url na ruzne weby.
Omlouvam se ale tohle uz neumim uplne vyresit. Musime pockat az je to prestane bavit.

V bance jsme to řešili tak, že jsme zavolali providerovi a ten zablokoval balík adres, pokud to byl malej pool. DDoS z celý sítě se v podstatě řešit nedá.

t256 · 22. 3. 2025, 5:52

Nepomůže geoblokace? Myslím že moc reálných uživatelů ze zemí jako Rusko nebo Malajsie se tu přihlašovat nebude.

22. 3. 2025, 6:54

Utoci krz uzly po celem svete.

R - stick · 23. 3. 2025, 8:25

Kde hostuješ?

Zkus Wedos, ti mají na takové útoky řešení - a není při tom třeba přecházet na jejich hosting.

23. 3. 2025, 8:54

Tam jsem kdysi pohorel uplne. Uz nikdy vic.
Ted to mam v jednom trosku specialnejsim telehausu... jsou na velkej provoz pripraveni. Hostuji primarne video. Problem je ze to neni o lince ale o vykonu serveru. Novy hw uz mam pripraveny takze jak to pujde zkusim zvednout vykon swrveru aby na tohle byl min citlivy.

pafik · 24. 3. 2025, 7:55

robokop píše: ↑23. 3. 2025, 8:54 Tam jsem kdysi pohorel uplne. Uz nikdy vic.
Ted to mam v jednom trosku specialnejsim telehausu... jsou na velkej provoz pripraveni. Hostuji primarne video. Problem je ze to neni o lince ale o vykonu serveru. Novy hw uz mam pripraveny takze jak to pujde zkusim zvednout vykon swrveru aby na tohle byl min citlivy.

To by měl zahazovat už firewall, ne server. Třeba 5x SYN z jedné IP v čase "t" a už to zahazuje. Jen příklad.
Problém ovšem může být ten firewall. Třeba proto, že tam není ....

24. 3. 2025, 8:08

Jenze ono to je z tisicu ip a nejde o sym flood ale o navazani konekce a regulerni request na forum. Zamestna to php a sql a kdyz je toho moc tak to zamrza. Tohle nelze na firewallu odlysit. To by musela byt nejaka AI analyza.

pafik · 24. 3. 2025, 10:58

robokop píše: ↑24. 3. 2025, 8:08 Jenze ono to je z tisicu ip a nejde o sym flood ale o navazani konekce a regulerni request na forum. Zamestna to php a sql a kdyz je toho moc tak to zamrza. Tohle nelze na firewallu odlysit. To by musela byt nejaka AI analyza.

To by musel firewall dělat na aplikační vrstvě, ale jestli to umí ... ? A vymyslet pravidlo tak, aby to zahazovalo jen ty útoky, a ne normální uživatele s blbým připojením. To by byl další oříšek.
Myslel jsem, že je to klasickej SYN flood.

24. 3. 2025, 11:36

Ne je to prave tezko odlysitelne od beznych requestu.

Bobes · 25. 3. 2025, 12:24

Ahojte, DDoS je krasna tema na diskusiu. Ak autor DDoS trosku rozmysla, tak ochrana voci nemu je na urovni koncoveho bodu (serveru) nemozna. V uvedenom pripade utocnik skombinuje utok na sluzby od L4 a vyssie (TCP alebo dokonca priamo na aplikacne protokoly) a prida vela trafficku aby zahltil konektivitu servera. Mat v dnesnych casoch utok voci koncovemu uzivatelovi (aj bytovemu) o ampltitude 10Gbps je uz celkom bezna vec. V prvom rade je teda dolezite nemat zahltenu konektivitu servera. To musi zabezpecit prevadzkovatel datove centra. Musi to zabezpecit aj kvoli ochrane centra ako takeho, aby DoS/DDoS utok voci jednemu serveru nezlozil cele datove centrum. Samotny server sa moze chranit voci utoku lokalnym firewallom (moderne FW/NGFW maju feature z kategorie AntiDDoS). Prevadzkovatela datoveho centra chrani provider svojou ochranou proti DDoS. Ak sa uvedene tri urovne implementuju, tak vedia ochranit koncoveho uzivatela proti DDoS. Cele to vrstvenie moze pripominat ochranu pred prepatim v elektrickej sieti. Zaklad je ochrana u providera. Vacsinou su to platformy od firiem ako Arbor, Radware, atd. Velmi zjednodusene to funguje nasledovne: Uvedene platformy v spolupraci s routrami v sieti Internetoveho providera nahodne/statisticky sleduju jednotlive datove toky v sieti. Ked identifikuju utok, tak podla strategie ochrany bud poziadaju susedske siete, z ktorych pochadza utok, o zablokovanie daneho datoveho toku (musi byt lahko identifikovatelny cez IPcky) uz v susedskej sieti. Ak je to sada menisch tokov od roznych susedov, tak tie toky zablokuje u seba v sieti. Ak je to vela roznych tokov, tak tie su presmerovane do "pracky". Pracka si identifikuje signatury (uroven IP packetov vratane payloadu, ak nie je sifrovany) utocnikov a bude ich blokovat. Uzitocne toky pracka transparantne prenesie.

Jasne, ze existuju aj cloudove ochrany/CDN siete (Cloudflare, Akamai, F5). Tie vyriesia tiez "skoro" vsetky DDOs utoky, ale su za istych situacii obiditelne...

25. 3. 2025, 1:17

Zkusim to napsat jeste jednou po lopate
Ten ddos utok vycerpava asi tak 0.000001% kapacity linky serveru.
Nebude tam vic jak megabit.
Je v podobe korektnich requestu na server tzn. Nacist konkretni stranku fora. Vyhledat konkretni vyraz ve vyhledavani. Stahnout prilohu atd. Chodi to z ruznych adres po svete takze to nedokazeme snadno oddelit od beznych pozadavku na forum. Vypada to naprosto stejne jako kdyz to treba indexuji boti vyhledavacu nebo proste bezny traffic. Problem je ze treba sql databaze ma 200G a server to samozrejme nemuze mit cele v pameti. Do toho musi z toho sameho disku cist a na nej zapisovat. Vpodstate to zajde na pomalost diskovych operaci. Sql se zazere a zacne to byt pomale. Vyuzije to posledni zbytky pameti a zacnou odpadavat jednotlive procesy. Uz jsme si napsali scripty na killovani tech zazranych procesu. Diky tomu alespon jedem ale obcas je to proste zazrane. Borci uz zase prostrelili omezeni registraci na .ru domenu momentalne pouzivaji litevske emailovky a exoticke domeny.. maji obrovskou databazi emailu z kterych zkouseji registrace.

pafik · 25. 3. 2025, 5:56

robokop píše: ↑25. 3. 2025, 1:17 Zkusim to napsat jeste jednou po lopate
Ten ddos utok vycerpava asi tak 0.000001% kapacity linky serveru.
Nebude tam vic jak megabit.
Je v podobe korektnich requestu na server tzn. Nacist konkretni stranku fora. Vyhledat konkretni vyraz ve vyhledavani. Stahnout prilohu atd. Chodi to z ruznych adres po svete takze to nedokazeme snadno oddelit od beznych pozadavku na forum. Vypada to naprosto stejne jako kdyz to treba indexuji boti vyhledavacu nebo proste bezny traffic. Problem je ze treba sql databaze ma 200G a server to samozrejme nemuze mit cele v pameti. Do toho musi z toho sameho disku cist a na nej zapisovat. Vpodstate to zajde na pomalost diskovych operaci. Sql se zazere a zacne to byt pomale. Vyuzije to posledni zbytky pameti a zacnou odpadavat jednotlive procesy. Uz jsme si napsali scripty na killovani tech zazranych procesu. Diky tomu alespon jedem ale obcas je to proste zazrane. Borci uz zase prostrelili omezeni registraci na .ru domenu momentalne pouzivaji litevske emailovky a exoticke domeny.. maji obrovskou databazi emailu z kterych zkouseji registrace.

Což kdybys na čas zkusil omezit registrace jen na český domény? Jen taková idea. Nakonec, je to českej web pro český uživatele.