Ддос в торе

[ShadowMan]

Кто-нибудь пробовал новую антиддос фишку Тора?
HiddenServiceDir data/hs
HiddenServicePort 80 127.0.0.1:8463
HiddenServiceExportCircuitID haproxy
HiddenServicePoWDefensesEnabled 1
HiddenServicePoWQueueRate 1
HiddenServicePoWQueueBurst 1

Что то у меня нихрена не работает даже от простого флуда POST-GET.

 

[Мутабор]

А как или чем ты ддосишь онион сайт?

 

[ShadowMan]

Вообще то, полный конфиг:
DataDirectory data
CookieAuthentication 1
MetricsPortPolicy accept 127.0.0.1

Log [rend]info notice stderr
SafeLogging 0
LogMessageDomains 1
LogTimeGranularity 1

ControlPort 8460
SocksPort 8461
MetricsPort 8462

HiddenServiceDir data/hs
HiddenServicePort 80 127.0.0.1:8463
HiddenServiceExportCircuitID haproxy
HiddenServicePoWDefensesEnabled 1
HiddenServicePoWQueueRate 1
HiddenServicePoWQueueBurst 1

но параметр HiddenServiceExportCircuitID haproxy неактуален на 1 сервере.

 

[ShadowMan]

А как или чем ты ддосишь онион сайт?

Я защитой от ддоса занимаюсь
Задолбали скрипткиддисы, фильтрую трафик в нгинх, но это как то не кошерно,
по-правильному надо фильтровать на уровне ТОРа, но как то не получается.
Для понимания концепта тык.
Может без haproxy никак, типа дает сигналы о нагрузке?

 

[Мутабор]

Скрипткиддисам не по силам онион сайт ддосить. Заявляю тебе как самый авторитетный скидди ) Там это или профики, или школьники пронырливые из ддос-группы в телеге скрипт раздобыли.
Ещё может быть так, что ддосят сайт клирнета, а падает ресурс в торе тоже за компанию

 

[ShadowMan]

Клирнетовского домена нет на серваке, только тор.
Я не осуждаю ддосеров, у них своя работа, а у меня своя.
Ничего личного, нам заплатили

 

[gliderexpert]

но параметр HiddenServiceExportCircuitID haproxy неактуален на 1 сервере.

этот параметр нужен чтобы избежать дублирования цепочек при использовании onionbalance и подобных решений. Если балансёра нет, то лучше выключить.

 

[ShadowMan]

Да выключен, да толку от этого атиддоса ноль, вот что обидно.

 

[gliderexpert]

Вообще оно работает... Смотри графаней что происходит на MetricsPort тор демона.
Если нет никакой реакции на HiddenServicePoWQueueRate - то пересобери tor из исходников со включенной опцией enable-gpl, потому как

* Enable building with the Proof-of-Work feature by configuring with --enable-gpl. Note that this causes the resulting binary to be covered
by the GPL.

 

[ShadowMan]

Ну я обновил тор до 0.4.9.х там вроде по умолчанию уже скомпилено.
Бум копать Я просто думал, что кто то уже заморачивался этим вопросом.
"что происходит на MetricsPort тор демона" - как это сделать без grafana?

 

[ShadowMan]

netstat -tulpn вообще не показывае существования
MetricsPort 8462, это то о чем ты говорил?
curl http://127.0.0.1:8462/metrics пашет однако

 

[gliderexpert]

Ну я обновил тор до 0.4.9.х там вроде по умолчанию уже скомпилено.
Бум копать Я просто думал, что кто то уже заморачивался этим вопросом.

Заморачивался, работает ) Правда на более старой версии.

как это сделать без grafana?

CURLом смотреть адрес:порт/metrics, но это неудобно

netstat -tulpn вообще не показывае существования
MetricsPort 8462, это то о чем ты говорил?

Да
MetricsPort 127.0.0.1:9035
MetricsPortPolicy accept 127.0.0.1

 

[ShadowMan]

Ну видимо надо компилить с сорцов, но это более чем странно.
Спас положение, как ни странно, старенький Antibot.cloud 7-й версии,
респект кодеру, работает тулза на ура.
load average: 0.05 - ну что тут скажешь?
Уважаемый gliderexpert , а не изобразили бы вы мануальчик по настройке
ServicePoW с примерами опций компиляции и конфигов? В русскоязычном
сегменте инета информации ноль, я думаю этот мануал будет очень полезен
форумчанам.

 

[darkmode_code]

Если что-то не то, то скорректируйте )

Если онион падает от того, что просто большая нагрузка на сайт, то надо смотреть не упрелись ли ресурсы сервера в потолок. А далее, начинаем делать оптимизации с nginx. Причем вся работа c nginx направлена на кеширование запросов, да и вообще на снижение количества запросов к базе данных. Сам же nginx получает от тора айпишники 127.0.0.1. Может кто-то по-другому работает в связке tor и nginx?

Я же замечал, что есть определенные лимиты у миддл ноды при ддосе. Короче говоря, надо снижать количество одновременных соединений к сайту на уровне тора и тогда нода дольше живет. Самый простой способ - проектировать сайт так, чтобы он минимум ресурсов отдавал клиенту. Я реально был свидетелем того, что онион сайт атаковали открытием веб-страницы с прогрузкой ресурсов. И было ощутимо, когда было снижено количество ресурсов на странице.

Когда ддосят так, что падают ноды тора, то надо смотреть в сторону указания в настройках гуард нод. И это может не спасти, даже рестартом тора.

 

[DimmuBurgor]

Multihoming or you can set up dummies/honeypot using favicon and high resource consumption to possibly weaken the attack? Probably not the greatest mitigation but the best I can think of that hasn't already been suggested or involve a better implementation of PoW. I'm sure you've familiarized yourself with Dr Neal already, also?

 

[ExtShell]

Если я не ошибаюсь, последние нововведения работают прямо пропорционально росту нагрузки. Балансировщики, которые скорее всего используют профессиональные ддосеры позволят создавать стабильный поток запросов и нивелируют эту капчу. Лучше защиту выносить на самое приложение и конечно без использования внешних сервисов.