Наглядный пример OVH antiddos

Пульс
Увидел я вчера с rss топик на Хабре текущей эпохи, ну той эпохи, когда там «практиков» не осталось, одни лишь теоретики, которые думают что на услугах дешевле 1000р люди хранят супер важные проекты, или которые думают что хостеры получают абузу 1 раз в год и 10 абуз это фантастика, или которые пишут вот такие платные топики о ддос атаках, но комментарий с практическими фактами и статистикой даже боятся одобрить.
Так вот откомментил там

Но его не одобрили. Видимо припекает РФ компаниям от того, что в OVH анти-ддос реально работает.

Итак, рассказываю.
Примерно с 18 мая, абсолютно каждый день, около 40 разных серверов(мало по идее, у меня же их тысячи) каждый день дудосят. И не один из этих клиентов даже тикета не создал, что там могут наблюдаться какие-то проблемы.

Доказательства прилагаю.


и тд
habrastorage.org/web/738/d50/41b/738d5041bcb3465083b6351110d18a20.png
habrastorage.org/web/226/1ab/610/2261ab610b8247cea6ccbdf26974c63d.png
habrastorage.org/web/2a9/ff5/0b9/2a9ff50b9e88436c9f0b72c8896b18d8.png
habrastorage.org/web/84b/223/444/84b22344459f4e20bff8c6abff9f9ab0.png
habrastorage.org/web/237/980/508/237980508cc14b0ebb69e9a71b1a54be.png
habrastorage.org/web/43d/368/427/43d3684275ee4b40a84609cab9625e00.png
habrastorage.org/web/800/5dd/80c/8005dd80c884430b849775ce6d4e38ee.png
habrastorage.org/web/b52/493/36f/b5249336fd104975b5e1fd0936ec7a4e.png
habrastorage.org/web/f09/288/2c7/f092882c7d50475eba8c7faa0fb7e3e5.png
habrastorage.org/web/e98/baa/d74/e98baad7486d4852ab34af51903c6ae6.png
habrastorage.org/web/2e0/e98/58b/2e0e9858b1f04662abd35f1c2ec88f5f.png

Вот так, на фактах работает OVH антиддос.
А когда у тебя тысячи серверов. Можно прямо отчетливо видеть всплески ддосов по месяцам, кварталам и годам. Особенно если ты ведешь еще блоги новостей и ежедневные новости всех хостеров рынка знаешь. Можно находить случайные совпадения, когда начинаются всплески ддос атак на ОВХ и тут же в эти же дни, где-то в новостях перебои у того или иного хостера или дата-центра.
И это очень интересно скажу я вам — записывать это в историю.

AWS Shield

Новости
Не знаю точно, как давно появился этот сервис.
Лично я случайно щас заметил.


Амазон теперь предоставляет свой анти-ддос
aws.amazon.com/ru/shield/
aws.amazon.com/ru/shield/pricing/
docs.aws.amazon.com/waf/latest/developerguide/tutorials-rate-based-blocking.html

AWS Shield is a managed DDoS protection service. With AWS Shield, you can help protect Amazon CloudFront, Elastic Load Balancing, and Amazon Route 53 resources from DDoS attacks. In addition to introducing AWS Shield, this session presents some of the things we do behind the scenes to detect and mitigate Layer 3/4 network attacks and highlights ways you can use this new service to protect against Layer 7 application attacks.
16 декабря вебинар

//
У гугла я кстати не нашел подобного, чтобы прямо анонсировалось именно как сервис по защите. А не просто как часть какой-то услуги в network. Возможно их старый бесплатный проект так и не развился в отдельный сервис.

Hetzner собирается в antiddos?

Новости
forum.hetzner.de/thread/23562-ddos-mitigation/?postID=239250#post239250

Wir haben ueber die letzten Monate verschiedene Systeme zur Abwehr von DDOS-Angriffen getestet und inzwischen auch ein System implementiert. Dieses besteht im wesentlichen aus 3 Ebenen ueber welche wir in der Lage sind Angriffstraffic von validen Traffic zu trennen.

1. Automatische Erkennung von Angriffsmustern
Neben der bisherigen Erkennung basierend auf der Trafficmenge und Paketmenge sind wir nun in der Lage den eigentlichen Angriff genauer einzugrenzen. Dadurch koennen wir genauer auf den verwendeten Angriffstyp eingehen. Ein UDP-Flood mit 500k pps ist fuer Server kein Problem. 500k SYN Pakete koennen aber schon ein Problem darstellen. Genau diese Unterscheidung ist jetzt moeglich.

2. Filtern des Traffics nach bekannten Angriffsmustern.
Auf dieser Ebene werden die haeufig verwendeten Angriffe gefiltert. Somit koennen wir Angriffe sehr effizient herausfiltern. Dies betrifft besonders die haeufig auftretenden Angriffe wie DNS-Reflection oder UDP Floods auf Port80

3. Challenge-Response-Authentifizierung und Dynamische Trafficfilterung
Hierbei werden Angriffe wie SYN-Floods, DNS-Floods und Invalid Packets gefiltert. Auch koennen wir an dieser Stelle sehr flexibel auf einzelne Angriffe reagieren.

Insgesamt ist es natuerlich notwendig das wir Default-Werte definieren welche fuer alle Kunden funktionieren. Daher sind unsere aktuellen Filter sehr zurueckhaltend konfiguriert. Wir schauen uns aber alle Angriffe an und versuchen unsere Filter und Responses zu verbessern.

Sollte jemand Ziel eines Angriffes werden welchen wir nicht erkennen oder unzureichend filtern koennt ihr euch gern melden. Wir werden das dann untersuchen und schauen wie wir auf diesen Angriff reagieren koennen.

Ich hoffe das in Zukunft keine Server mehr wegen eingehender Angriffe gesperrt werden muessen.

Gruss
Martin

KVM VPS NL: 2x2Ghz + 4GB RAM + 30GB SAS 15k RAID 10 + DDoS защита + администрирование - 40$ в месяц!

Скидки-Промокоды
Друзья, для заказа в рамках промо-акции доступно 15 очень быстрых и мощных VPS в Нидерландах с бесплатным администрированием и защитой от DDoS атак на базе виртуализации KVM всего за 40$ в месяц!

Характеристика тарифа:
Linux VPS — тарифный план Elite (NL) — PROMO
Платформа: KVM
Процессор: 2x2.0GHz
Память: 4096 Mb
Диск: 30GB (SAS 15k RAID10 + SSD cached)
Трафик: Не учитывается
Порт: 1000 Mbit
IP: 1 шт. (возможен дозаказ)
Резервное копирование: Бесплатно!
Администрирование 24/7: Бесплатно!
Перенос сайтов: Быстро и бесплатно!
Решение любых проблем: Круглосуточно и бесплатно!
DDoS защита: Бесплатно!

Читать дальше →

Давайте придумаем метод защиты от ддоса, путем нищеброда

Пульс
Короче — в 2013 дешевые сервера стали расходный материал.
И ддос точно так же стал — расходным материалом.
Все мы ежедневно читаем топики, там кого-то атакуют, тут кого-то атакуют.

Все конечно понятно, выживает лишь сильнейший.
Или тот, кто умеет приспосабливаться :)

Так вот, я в будущем собираюсь создать веселый честный шаред максимум с 50% прибылью. Ну например стоимость сервера 2400р/мес, значит 2400+1200=3600р, засаживаем на сервер максимум 36 человек по 100р. А сам сервер делим в % соотношении по честному на 36 аккаунтов isp manager. И переходим к следующему нищебродскому серверу. И т.д. каждую неделю будут сервера забиваться, при таком подходе. И притом это будет такой сервис — который будет позволять людям заработать, т.е. хостинг будет не просто хостинг, а еще и проект позволяющий любому интернетчику войти в команду и получать прибыль в честном соотношении по формуле от кол-ва участников.

И делюсь с вами идеей.
Как обычно вычисляется система серверов? Либо через свои сети ip, которые покупаются в ДЦ. Либо через dns. Даже если у вас на каждый сервер самопальные dns, то вычисляется по вторичным. Тупо идешь в статистику, забиваешь там вторичный ns, т.е. домен от вторичного — и видишь все первичные, а там потом пробиваешь каждый, и так составляешь таблицу из кол-ва серверов и ip.
Можно не делать dns хостинг — это вас спасет.

Но давайте подумаем, а как же защититься, но и в тоже время иметь dns хостинг, хотя бы самопальный, зависимый от сервера?
Очень просто. Просто покупаем говно домен .ru за 50р, называем его как-ниб s1-31tA535c6Ij8c9uzPQjO.ru — и так каждому серверу.
ns1.s1-31tA535c6Ij8c9uzPQjO.ru
ns2.s1-31tA535c6Ij8c9uzPQjO.ru
и т.д.
Притом! Каждый такой домен садить на разные DNS. Если вы будете использовать какой-ниб pdd.yandex.ru — то фильтр по всем доменам, что сидят на яднексе — и за сутки, путем обычного пролистывания можно отыскать все домены.
Поэтому желательно такие домены еще садить на сервис, типо cloudflare.com, где выдаются рандомные поддомены. Это усложнит задачу. Останется только пойти и просканировать абсолютно все доменную зону .ru — а это уже дохуя времени, т.к. миллионы доменов.

А в публичной статистике мониторинга — писать просто s1 — вот его статистика аптайма. s2 — вот его стата.

Разумеется это не спасет нас от обычного, вредитель пошел и сделал заказ — купил и узнал только один сервер. Но для этого человеку придется месяцами сидеть и покупать аккаунты, уже довольно накладно. :) Плюс сервера это же расходный материал, тем более с 36 юзерами на борту, сменить «сервер что спалился» делов на одни сутки.

Удачи в создании шаредов.