Вопросы ддоса

[grozdniyandy]

ли ты настолько убогое существо что тебе $1k занять не у кого?

Слышь, а ты докажи мою неправоту относительно спора. Зачем мне спортить на 1к$ дабы показать что ты не прав, это времени не стоит)

Мы тут ддосим значит лет 15, в том числе и таргеты на OVH

Ну значит за 15 лет ничему не научился. Курсы есть тут на форуме, подпишись может чему научат. Кое кто был прав, вы ддосеры рил неуровновешенные люди, да и техничешких знаний тоже особо не бывает у вас (у тебя). Кладёте сайт на сутки у думaете что вы "король" интернета, кек.

 

[7teen]

Где митигация? С каждого бота шло не менее 50 r/s на протяжении 20 минут. Ни один атакующий бот в бан не ушел. Более того, на сервисах публичных dstat даже ни когда не было защищенных OVH. То же самое было с моими серверами OVH на дебиане, с установленным только LEMP, nginx умирает при атаке в 100к r/s и все. В панельке OVH ни каких данных по атаке, ни каких настроек от L7 ддоса. Ну и что ты еще расскажешь про ахуительную защиту от L7 у OVH?

Скажу так, у OVH есть L7 на линейке ovh game (SYS Линейка), митигация была методом редиректа (301) на эту же страницу, при этом не было никаких кук в ответ и прочего.
Самое что интересное, это работало на дедике, на котором был просто nginx с сертификатами, но редиректы делались так, что сертификат не подменялся (или подменялся, но как я х#й знает).
Также на метрике яндекса при L7 часто были ответы 301, и робот плевался письмами на мыло что ваш сайт умер и всё такое прочее. Каким методом они могли делать такую L7 я хз, но факт есть фактом для меня лично).
Про L4 как было продавливание TCP SYN Так и осталось, что там с л7 этим я хз. Щас не держу там домены чтобы защищаться, после таких моментов которые ты не можешь контролировать и хотел бы сам срезать трафф, то увы это мешает работе.
А по теме вообще полноценного L7, он у ovh есть, но его (как мне сказали одни из тех кто был приближенным к овх во времена 15-17 годов) не продают т.к. они не хотят строить на этом бизнес, у них другая модель, мол сервера продали, железо крутится работает и всё, всякие долбоёбские вопросы клиентов по ддосу решать им лень

 

[c0d3x]

Скажу так, у OVH есть L7 на линейке ovh game (SYS Линейка)

В августе этого года я покупал два сервера: за 53 евро и самый дешевый из линейки OVH Game за 74 евро. На обоих серверах поднимался пустой nginx со статичным хтмл сайтом. На оба сайта запускал пустые сокеты и эмулируемые GET. Результат - nginx валится с 500/502/504 ошибкой либо с reset connection и лежит не пытаясь поднятся. Тест был на протяжении двух часов. В ЛК у OVH при этом ни каких уведомлений об атаке и ни какой информации об L7 защите вообще нет. За то по L4 сразу письмо прилетает на почту, о митигации. Я ни когда не утверждаю чего либо не проверив это самостоятельно. Через меня проходит достаточно большое количество сайтов на OVH, и почему то при атаке они все начинают переезжать под CloudFlare, потому что лежат мертвым грузом.

Вот что заявлено о митигации атак на линейке OVH Game и всех остальных дедиков:

The Shield and Armor hardware performs advanced threat detection preventing a server’s resources (mainly CPU cycles) from being saturated. The Shield intervenes if an attacker uses an amplification technique (DNS amplification or NTP amplification), IP spoofing, or reflection attack vectors. As the last component in the line of defense, Armor, is the most advanced filter in our VAC system and intervenes by mitigating the most advanced attacks (including, but not limited to: TCP/SYN/cookie auth handshake, zombie detection, TCP/UDP/GRE/AH/ESP/... flood mitigations and others).

Об L7 здесь ни слова.

https://www.ovhcloud.com/en-ie/web-hosting/options/cdn/ - вот такую приблуду можно подключить если ты у них покупаешь шаред хостинг, в этой приблуде заявлена защита от DDoS и WAF, и кажется это то о чем ты говоришь:

HTTPS-Redirect: Protects all traffic with temporary or permanent HTTPS redirection

Но это ведь детский сад, 30x редиректы, которые умеют обходить уже почти все. И опять же, эта дополнительная приблуда - платная. В базе защита только на уровне L4. К тому же мы говорим в контексте серверов, а не о шаред хостинге. Сервера как были без защиты на L7 так и остаются.

На днях вот я долбил шоп который висел на OVH в Канаде, прямо в лоб, тупо GET запросы без эмуляции, сайт лежал все оплаченное человеком время, более суток. Защита L7 от OVH НА СЕРВЕРАХ, АУ ТЫ ГДЕ? СЛЫШЬ, ВАЙТ БЛ#, ПОКАЖИ НАМ ВСЕМ.

 

[grozdniyandy]

АУ ТЫ ГДЕ? СЛЫШЬ, ВАЙТ БЛ#, ПОКАЖИ НАМ ВСЕМ

Нет. На голом OVH.

Ты выходишь из сути аргумента ,рассказывая свой опыт "дудоса", в котором прав я, доказательство это просто вопрос времени который от форума зависит.

 

[SVG45qbVolk]

 

[7teen]

В августе этого года я покупал два сервера: за 53 евро и самый дешевый из линейки OVH Game за 74 евро. На обоих серверах поднимался пустой nginx со статичным хтмл сайтом. На оба сайта запускал пустые сокеты и эмулируемые GET. Результат - nginx валится с 500/502/504 ошибкой либо с reset connection и лежит не пытаясь поднятся. Тест был на протяжении двух часов. В ЛК у OVH при этом ни каких уведомлений об атаке и ни какой информации об L7 защите вообще нет. За то по L4 сразу письмо прилетает на почту, о митигации. Я ни когда не утверждаю чего либо не проверив это самостоятельно. Через меня проходит достаточно большое количество сайтов на OVH, и почему то при атаке они все начинают переезжать под CloudFlare, потому что лежат мертвым грузом.

Вот что заявлено о митигации атак на линейке OVH Game и всех остальных дедиков:

Об L7 здесь ни слова.

https://www.ovhcloud.com/en-ie/web-hosting/options/cdn/ - вот такую приблуду можно подключить если ты у них покупаешь шаред хостинг, в этой приблуде заявлена защита от DDoS и WAF, и кажется это то о чем ты говоришь:

Но это ведь детский сад, 30x редиректы, которые умеют обходить уже почти все. И опять же, эта дополнительная приблуда - платная. В базе защита только на уровне L4. К тому же мы говорим в контексте серверов, а не о шаред хостинге. Сервера как были без защиты на L7 так и остаются.

На днях вот я долбил шоп который висел на OVH в Канаде, прямо в лоб, тупо GET запросы без эмуляции, сайт лежал все оплаченное человеком время, более суток. Защита L7 от OVH НА СЕРВЕРАХ, АУ ТЫ ГДЕ? СЛЫШЬ, ВАЙТ БЛ#, ПОКАЖИ НАМ ВСЕМ.

Ну я брал именно выделенный серв, не хостинг, потому и говорю тебе про это.
Как это было реализовано я хз, но редиректы я сам лично ловил, ну и уж точно не я дебил криворукий который смог сделать рандом редиректы с рефреш страницей на nginx)

Щас мб они перенесли и поняли что на дедиках это не надо и закинули в хостинг, но л7 там точно был

 

[gliderexpert]

Ну я брал именно выделенный серв, не хостинг, потому и говорю тебе про это.
Как это было реализовано я хз, но редиректы я сам лично ловил, ну и уж точно не я дебил криворукий который смог сделать рандом редиректы с рефреш страницей на nginx)

Щас мб они перенесли и поняли что на дедиках это не надо и закинули в хостинг, но л7 там точно был

А как это вообще, даже теоретически - может быть выполнено хостером на дедике, без участия клиента ?
Вы же сами ставите на него систему с нуля, LEMP/LAMP и т.д. Соответственно антиддос на L7 можно сделать либо митм-проксей перед этим серваком (типа cloudflare) - чего у ovh насколько я знаю нет и никогда не было, либо самостоятельно внутри самого дедика, используя какие-то надстройки над BPF и т.д - которые Вы самостоятельно поставите на свою систему.
На L7 там же уже tls-серты и все такое, без взаимодействия с клиентом никак не сделать защиту, разве что поднять митм проксю, но тогда если клиент вздумает прописать в заголовки своей странички привязку по hsts - все сдохнет.
Или я что-то не понимаю в этой жизни.

 

[c0d3x]

А как это вообще, даже теоретически - может быть выполнено хостером на дедике, без участия клиента ?
Вы же сами ставите на него систему с нуля, LEMP/LAMP и т.д. Соответственно антиддос на L7 можно сделать либо митм-проксей перед этим серваком (типа cloudflare) - чего у ovh насколько я знаю нет и никогда не было, либо самостоятельно внутри самого дедика, используя какие-то надстройки над BPF и т.д - которые Вы самостоятельно поставите на свою система.
На L7 там же уже tls-серты и все такое, без взаимодействия с клиентом никак не сделать защиту, разве что поднять митм проксю, но тогда если клиент вздумает прописать в заголовки своей странички привязку по hsts - все сдохнет.
Или я что-то не понимаю в этой жизни.

Щас придет этот нытик, который модерам и админу в личку плакаться бегает, что-бы ему мои дизы и дизы Desoxyn убрали, и расскажет. Он же самый умный, он все знает, все то, чего не знаем мы.

 

[7teen]

А как это вообще, даже теоретически - может быть выполнено хостером на дедике, без участия клиента ?
Вы же сами ставите на него систему с нуля, LEMP/LAMP и т.д. Соответственно антиддос на L7 можно сделать либо митм-проксей перед этим серваком (типа cloudflare) - чего у ovh насколько я знаю нет и никогда не было, либо самостоятельно внутри самого дедика, используя какие-то надстройки над BPF и т.д - которые Вы самостоятельно поставите на свою систему.
На L7 там же уже tls-серты и все такое, без взаимодействия с клиентом никак не сделать защиту, разве что поднять митм проксю, но тогда если клиент вздумает прописать в заголовки своей странички привязку по hsts - все сдохнет.
Или я что-то не понимаю в этой жизни.

Я вот и сам же задаюсь этим вопросом, но то что такое было это 100%.
Потому что в то время я ещё баловался всякими примочками по типу тесткуки в котором ничего подобного не было и у по дефолту отдавался 401 статус (я так настраивал).
Но в момент L7 происходила магия и OVH Отдавал на запрос 307 или 301 я не помню точно, при этом был просто рефреш страницы и всё, них больше...
Так-то да, по сути подмена TLS (как я не знаю, не могу сказать ничего на этот счёт, правда).Но то что такое было это правда)


Гадать можно долго, но овх никогда не любили себя за то что у них есть анти ддос и им пишут додики как их сайт атакуют))

 

[grozdniyandy]

Щас придет этот нытик, который модерам и админу в личку плакаться бегает, что-бы ему мои дизы и дизы Desoxyn убрали, и расскажет

Значит это не ты убираешь, ну я думал мало ли что, ддосер всё таки. Я за решение проблемы, чем за то чтобы дизлайки убрали. Ты как ребёнок 71 дизлайков за раз поставил, а это типо нормально? Ты всё равно выходишь из изначальной темы конфликта, тупость.

Он же самый умный, он все знает, все то, чего не знаем мы.

То что ты не прав изначально, не делает ни тебя тупым, ни меня умным, горячишься из-за ничего, да и в целом я тебе предлагал мирное решение конфликта, он же не отсюда начался. Самое смешное то что ты так сильно веришь в то что сам прав, что чуть ли не в каждом комменте тут упоминаешь меня. Не выходи из сути конфликта и просто дождись решения проблемы, а потом моей статьи, как раз кроме документаций ovh что-то прочтёшь.

Что касается вопроса, с ovh опыт у тебя, это я не отрицал, отрицал я что форум на голом ovh стоит.

 

[Ar3s]

А вы заметили как трудно читаются подобные топики? Я понимаю, что каждому хочется доказать свою точку зрения. Но вы настолько плюётесь ядом в друг друга, что кроме вас самих это читать становится никому не интересно.
Вспомните, что вы умные люди. Разговаривайте адекватно и обоснованно. Поставленная речь и устойчивость к провокациям вас только красит.

 

[grozdniyandy]

Предлагаю мирно решить проблему, хочу спокойно заходить на форум, если согласен, напишем дружескую статью вместе и этим закончим.

А вы заметили как трудно читаются подобные топики?

Вспомните, что вы умные люди.

Я с вами согласен и давно хотел решить конфликт чем то мирным что может всем пользу принести. Минимум как поработали бы вместе.

 

[7teen]

Пора закрывать бесконечный спор)

 

[DoppleKSE]

Эх, ох и ах. Были бы мы форумом фанатов Бузовой, так бы и сделали =) А если серьезно, клауд максимально небезопасен. Подключать его - супер крайняя мера.

Нет доверия к клауду - помещаем основные сервера/балансировщик за прокси (или кластер прокси) на nginx, там вычислительных мощностей не надо много, как и хранилища объемного, главное канал широкий обеспечить, что бы это не стало бутылочным горлышком, и если этот прокси в теории скомпрометируют при помощи клауда (что сомнительно, много малвари успешно держит сервера за клаудом), это не даст никакого профита. А заменить его на новый можно за пару минут.
Если обобщить получится примерно так:
cloud -> nginx_proxy -> load_balancer -> secret_servers;
Это естественно базовый скелет, его можно крутить, дополнять, изменять, доводить до своего идеала.

Клауд с энтерпрайз подпиской умеет достаточно много, что бы отсеить 80-90% флуда на разных уровнях и сильно ослабить атаку, другой вопрос, что многие не умеют его готовить, остальное спокойно фильтруется на прокси путем правильной настройки nginx, он за клаудом уже не так сильно нагружен, и можно делать более интеллектуальные проверки.
Ну и для совсем продвинутых - это SDK nginx, если умеешь в си/плюсы, пишется свой модуль правил, и прописывается в конфиг, как динамично загружаемое расширение. А там мы ограничены лишь фантазией.
Так же он хорошо дружит с редиской и мемкешем, поэтому его можно уведомлять о чем-то прямо из application уровня (из вашего бэкенда), а на plus версии есть свое выделенное апи для динамичного изменения настроек nginx на лету, что бы подстраиваться под ситуацию в реал-тайме.
Получается многослойная разгрузка, сначала на уровне клауда, потом на прокси и балансировщике, и до серверов с логикой и бд уже доходит нагрузка в пределах нормы. Если все настроено адекватно, живые пользователи не почувствуют атаку.

Единственной проблемой может стать бан доменного имени со стороны клауда, но это решаемо.

 

[Dread Pirate Roberts]

Ну и для совсем продвинутых - это SDK nginx, если умеешь в си/плюсы, пишется свой модуль правил, и прописывается в конфиг, как динамично загружаемое расширение. А там мы ограничены лишь фантазией.

а ещё nginx умеет в Perl и Lua

 

[DoppleKSE]

а ещё nginx умеет в Perl и Lua

Ну все же нативная реализация в виде расширения будет быстрее интерпретации скриптов. Но это уже прям для мега-highload. На малом числе запросов, думаю, разницы практически не будет.

 

[admin]

Данный раздел называется "Дорогая администрация". Начался жуткий оффтоп. Закрыто.