elhacker.net cabecera Bienvenido(a), Visitante. Por favor Ingresar o Registrarse
¿Perdiste tu email de activación?.

 

 


Tema destacado:


+  Foro de elhacker.net
|-+  Seguridad Informática
| |-+  Seguridad (Moderador: r32)
| | |-+  Me han ddoseado [150 millones de peticiones].
0 Usuarios y 1 Visitante están viendo este tema.
Páginas: [1] Ir Abajo Respuesta Imprimir
Autor Tema: Me han ddoseado [150 millones de peticiones].  (Leído 4,669 veces)
nevachana

Desconectado Desconectado

Mensajes: 61


Ver Perfil
Me han ddoseado [150 millones de peticiones].
« en: 10 Enero 2016, 10:38 am »

El ataque supero las 500.000 peticiones por segundo.
Consiguio tirar 1 server de cloudflare(me desactivaron cloudflare),y mi dedicado de ovh,que tiene estas caracteristicas:

16cores.
32Gb ram
10Gbps conexion.
1.500.000KB en logs.

da;o causado:

Saturacion de memoria debido a los logs.
Inodos 100% de uso.
mysql roto.
Perdida de dinero.

Si alguien quiere echarle un ojo a los logs que me avise,creo que abrire algun post preguntando como podria mitigar aunque sea un poco estos ataques.
preview:









« Última modificación: 12 Enero 2016, 19:22 pm por nevachana » En línea

lucke

Desconectado Desconectado

Mensajes: 35



Ver Perfil
Re: Me han ddoseado [100 millones de peticiones].
« Respuesta #1 en: 10 Enero 2016, 15:33 pm »

Usalo para que den en los links de publicidad y ganas dinero


En línea

nevachana

Desconectado Desconectado

Mensajes: 61


Ver Perfil
Re: Me han ddoseado [100 millones de peticiones].
« Respuesta #2 en: 10 Enero 2016, 15:42 pm »

Usalo para que den en los links de publicidad y ganas dinero
Mi web no tiene publicidad
En línea

hksck

Desconectado Desconectado

Mensajes: 24


Ver Perfil
Re: Me han ddoseado [100 millones de peticiones].
« Respuesta #3 en: 10 Enero 2016, 18:00 pm »

Usalo para que den en los links de publicidad y ganas dinero

Con todos mis respetos lucke pero estos comentarios son SPAM!!! y no aportan nada.
En línea

nevachana

Desconectado Desconectado

Mensajes: 61


Ver Perfil
Re: Me han ddoseado [150 millones de peticiones].
« Respuesta #4 en: 12 Enero 2016, 19:20 pm »

Ya no me tiran y se acabo el ddos.
En línea

el-brujo
ehn
***
Desconectado Desconectado

Mensajes: 21.641


La libertad no se suplica, se conquista


Ver Perfil WWW
Re: Me han ddoseado [150 millones de peticiones].
« Respuesta #5 en: 29 Enero 2016, 19:07 pm »

wow menudo ataque.

¿Tenías puesto el modo under attack?

Te recomiendo ponerlo ON cuando hay un ataque activo, aunque creo que se pone automáticamente en según que casos e incluso no te deja desactivarlo.
En línea

WHK
Moderador Global
***
Desconectado Desconectado

Mensajes: 6.606


Sin conocimiento no hay espíritu


Ver Perfil WWW
Re: Me han ddoseado [150 millones de peticiones].
« Respuesta #6 en: 29 Enero 2016, 22:10 pm »

Si vas a utilizar un portal para ganar dinero te recomiendo que contrates una infraestructura mas robusta, necesitas un f5 para balancear via DNS y un sonicwall de firewall que barra los ataques mas complejos (yo tengo un sonicwall que me prestó dell y está bastante bueno, mucho mejor que un asa de cisco o un fortinet), unos 4 servidores que repliquen tu portal y usar un buen caché.

Donde trabajo he visto cargas normales de hasta 2GBps y ataques ddos de 300GBps, tu ataque de 47mbps de una botnet de 150k no es algo imparable a través de un buen hardware.

Una de las cosas que he aprendido en este último tiempo donde trabajo es la seguridad informática a nivel de red de hardware.

A demás de tener tu propio servidor DNS con tu hardware de balanceo debes tener en consideración desactivar todo sistema de logs básico de todos los equipos si es que quieres mantener el portal arriba, lo otro que puedes hacer es contratar un servicio CDN y tener paginas estáticas para recibir los ddos y que la gente no se quede sin usar el portal y cuando detengan el ataque vuelves al servidor balanceado. Recuerda desactivar los logs de cualquier waf y dejalos en modo brigde mientras dure el ataque (aunque te arriesgas a que te lancen ataques como inyeccion sql y esas cosas sin que tengas protección).

Ahora ojo, tu logstalgia dice que la mitad de las solicitudes son al login, talves estan crackeando el acceso a tu portal de administración, yo que tu logueo todas las ips que tratan de entrar al login y las baneo por blacklist de cloudflare o en mi caso las agregaría al firewall y game over para la botnet, también modifica las reglas de tu servidor para dar un 403 a la sección del login para que no perjudique la carga hacia la base de datos tratando de hacer match entre el user y el password o lanza un header 301 de redirección hacia otro sitio como por ejemplo a google y le lanzas una cabecera para que jamas expire, de esa manera si estan usando el control de internet explorer no volverá a hacer solicitud a tu sitio web, pero si usan sockets simplemente te ahorrarás la carga.
« Última modificación: 29 Enero 2016, 22:34 pm por WHK » En línea

sodark

Desconectado Desconectado

Mensajes: 81


Ver Perfil WWW
Re: Me han ddoseado [150 millones de peticiones].
« Respuesta #7 en: 30 Enero 2016, 00:58 am »

Pregunta totalmente de noob pero un Fail2ban o Denyhosts no se encargaría de a las X peticiones fallidas dejar de contestar a la IP, pasando totalmente de responder la peticion o bien respondiendo con un 403?
En línea

WHK
Moderador Global
***
Desconectado Desconectado

Mensajes: 6.606


Sin conocimiento no hay espíritu


Ver Perfil WWW
Re: Me han ddoseado [150 millones de peticiones].
« Respuesta #8 en: 30 Enero 2016, 05:16 am »

Por la magnitud del ataque no sirve de mucho un fail2ban porque es cont4ol y bloqueo por softwsre, toda la botnet llega de igual manera a la red, pasa por el kernel y debe ser filtrado por el firewall de software, con muchas solicitudes con muchas ips terminas agotando la memoria o la cpu muy rapidamente, por eso los firewall de hardware como el sonicwall que trae mas de 20 cpus fisicas estan diseñados para detener y procesar en tiempo real una cantidad importante de conexiones entrantes sin problemas, por software tienes solo una o dos cpu fisicas separadas por nucleos, terminas friendo la cpu o alcanzando la velocidad de lectura y escritura del disco, con el bloqueo por hardware las conexiones ni si quiera alcanzan a llegar al servidor.

Ademas para eso existen los balanceos de carga, cache y esas cosas. Ningún software va a ser capaz de detener una botnet que exceda los recursos del hardware y menos si estas estan llegando directamebte al servidor.
En línea

nevachana

Desconectado Desconectado

Mensajes: 61


Ver Perfil
Re: Me han ddoseado [150 millones de peticiones].
« Respuesta #9 en: 30 Enero 2016, 09:29 am »

wow menudo ataque.

¿Tenías puesto el modo under attack?

Te recomiendo ponerlo ON cuando hay un ataque activo, aunque creo que se pone automáticamente en según que casos e incluso no te deja desactivarlo.
Si,tenia exactamente esto:

challenge mode para la mayoria de paises -> under attack -> proxy -> vac -> y el dedi.
pero me tiraban sin problema.

A dia de hoy me han hecho este tipo de ataques y ya no me tiran, tengo lo siguiente:

cloudflare con challenge en china y paises problematicos -> red de proxys que checkea el user agent,javascript etc (si me tiran uno,otro se levanta) -> anti ddos -> firewall -> mi servidor.
Y desactive todos los logs.
me siguen atacando 24/7 , literalmente pero la mayoria de los casos no consiguen mas que relentizar la web por unos minutos..
« Última modificación: 30 Enero 2016, 09:31 am por nevachana » En línea

Páginas: [1] Ir Arriba Respuesta Imprimir 

Ir a:  

Mensajes similares
Asunto Iniciado por Respuestas Vistas Último mensaje
Peticiones POST en VB
Programación Visual Basic
El_Marine 7 5,828 Último mensaje 1 Agosto 2006, 22:41 pm
por NYlOn
peticiones http
Programación Visual Basic
elmaro 2 2,288 Último mensaje 27 Agosto 2006, 22:59 pm
por maxnet
iCloud crece 15 millones de usuarios en 21 días, superando los 100 millones
Noticias
wolfbcn 0 2,185 Último mensaje 15 Febrero 2012, 02:09 am
por wolfbcn
Google recibe millones de peticiones ‘antipiratería’ sin sentido
Noticias
wolfbcn 0 2,684 Último mensaje 21 Febrero 2017, 02:38 am
por wolfbcn
WAP2 - Aviso Legal - Powered by SMF 1.1.21 | SMF © 2006-2008, Simple Machines