IP adreso keitimas iš oro

ultrexas

sveiki,

Šiandien sulaukiau IP adreso keitimo. Taip linksma tiesiog iš oro pakeičiamas IP adresas.
Priežastis: didelio mąsto DDoS ataka (live support taip sakė).
Bet klausimas, kas turi tai apsaugoti ? Ar aš kaip klientas ar iv.lt ?
Kodėl aš turiu turėti nuostolius dėl IP adreso keitimo ?

Perkėlė į serverį kuriame iš grafiko jau matau kad "lagai".


Dar toks pastebėjimas, prieš 1-2 metus norėjau kito IP, į kitą DC kad perkeltų, jie sakė sistema viską daro automatiškai todėl IP adreso pakeisti negali. Dabar priešingai jie PAKEISTI gali, o ATKEISTI jau negali.

Na ką dabar primeluosit dėl ddosų ? (visi VPS tiekėjai Lietuvoje turi apsaugas nuo ddos išskyrus jus ?)

ultrexas

Gavau atsakymą:
apgailestaujame dėl kilusių nepatogumų, tačiau mes buvome priversti perkelti jūsų serverį dėl 580 Mbps dydžio DDoS atakos.

Čia didelė ataka net 580 mbps tam DC turi 2 000mbps, vos 30% viso turimo srauto ir jau daro nesamones

admin

Norime atkreipti dėmesį, kad mūsų paslaugos nėra skirtos DDoS atakuojamiems projektams, taip pat žaidimų serveriams talpinti, jei jiems nėra užsakyta papildoma apsauga iš tokių tiekėjų kaip incapsula.com ir pan. Mes neteikiame DDoS apsaugos ir tai aiškiai apibrėžta sutarties 3.1.5. punkte - tam yra specializuotos tarnybos.

Tačiau siekdami išvengti paslaugos išjungimo, šiuo atveju ėmėmės papildomų priemonių ir perkėlėme serverį į DC su automatiniu DDoS aptikimu. IP adresai nekeičiami šiap sau - tik nesant kitos išeities.

stauga

Norime atkreipti dėmesį, kad mūsų paslaugos nėra skirtos DDoS atakuojamiems projektams

Valio, jei tave užpuolė - tegu tavo verslas griūna. Svarbu, kad mazgas liktų sveikas

Rimtas klausimas: jei šiandien mūsų verslo nepuola su DDOS, bet gali pulti rytoj - mums jau reiktų atsisakyti dedikuoti.lt paslaugų?

P.S. Ką incapsula padarys, jei atakuojamas yra IP adresas, o ne domenas? O gi nieko... IP adresui sužinoti yra daugybė būdų...

IV_VygandasS

Deja kaip ir minėjome mes neteikiame atskiros apsaugos nuo DDoS atakų paslaugos. Šiuo metu vienintelė galimybė siekiant jog būtų taikomas automatizuotas DDoS atakų aptikimas yra talpinti serverio nuomos paslaugą 79.98.28.0/22 potinklyje.

Daugiau informacijos apie tai rasite šioje mūsų forumo temoje:

https://forumas.dedikuoti.lt/showthread.php?t=529

stauga

Jo, tik va jei teiki paslaugas visam pasauliui ir klientų iš lietuvos yra mažuma - tada kiek kėbliau viskas.

admin

Deja, bet Lietuvoje nėra tokio interneto tiekėjo, kuris DDoS apsaugą teiktų nemokamai (apart užsienio srauto atjungimo), nes 99.9% klientų tai neaktualu ir jie nesutinka, kad papildomi apsaugos kaštai (o jie išties nemaži) būtų visiems įskaičiuoti į hostingo paslaugos kainą.

Nemokamų pietų nebūna, ir jeigu jums svarbu, kad svetainė būtų pasiekiama visur net DDoS metu - investuokite papildomai į jos apsaugą. Visame pasaulyje tam naudojamos specializuotos tarnybos. CloudFlare, Incapsula sėkmingai apsaugo nuo DDoS, daug tarptautinių svetainių jas naudoja, serverio IP adresą paslėpti taip pat nėra problema.

stauga

Tai ne apie pinigus eina kalba. Va tarkime real world situacija: yra loadbalanceriai pamėtyti po pasaulį, su IPTABLES dedikuoti.lt virtualus serveris esantis JAV dropina viską kas ateina ne iš nurodytų IP adresų. DDOS atveju galima lengvai pasikurti naujus loadbalancerius ir pan, BET jei randa/atspėja dedikuoti.lt serverio IP adresą - tinklas bus apkrautas maksimaliai ir nėra (bent jau oficialiai) jokio būdo pas jus, kaip tą srautą sustabdyti. Pavyzdžiui AWS atveju nusirodai kas kam atidaryta ir viskas, ateinantis srautas kuris nėra leidžiamas by magic dingsta kažkur t.y. serverio kurį nusipirkai nepasiekia. Suprantu, kad tai nėra nemokama, bet blogiausiu atveju pats galėsi prisijungti prie serverio ir imtis kažkokių veiksmų. O vat jei interneto srautas visiškai išsemtas - abejoju ar pavyks pasijungti per ssh. Niekas neprašo Jūsų, kad nukreipiu domeną į savo vieną serverį ir tegu veikia, kad ir kas benutiktų...

P.S. buvo užuomazga firewall paslaugos, bet ir jos nebeliko... Tikėjausi, kad bent priartės prie AWS security group's lygio

IV_VygandasS

Deja, tačiau kaip ir minėjome šioje temoje, siekiant paspartinti serverių pasiekiamumą tinklo lygmenyje, buvo atsisakyta iptables conntrack modulio palaikymo iš mazgų pusės. Šis modulis buvo reikalingas kai kurioms iš mazgų pusės, ugniasienėje taikomoms iptabales taisyklėms, dėl to buvo nuspręsta atsisakyti bendro iš mazgo pusės taikomos ugniasienės funkcionalumo.