• Super User

    Attacchi Ddos e contromisure

    Salve, mi chiedevo se esiste un modo per affrontare gli attacchi ddos.

    Mettiamo che server e banda non si possano incrementare ulteriormente, voi cosa fareste?

    C'è un modo per filtrarli?

    Ammettendo di conoscere il provider sul quale si appoggiano, sarebbe possibile bannare tutti gli ip senza inserirli fisicamente ma semplicemente dicendo "blocca tutti gli ip che identificano provider.com"? e se si come?

    Basterebbe bloccarlo da htaccess?

    Grazie a tutti


  • User

    Un DoS ben fatto è assai difficile da bloccare a livello server.
    Tuttavia il provider può scegliere di "aprire" la banda per assorbire l'attacco oppure praticare un null route che di fatto comunque rende il server momentaneamente irraggiungibile.
    Questo per quanto riguarda i DoS propriamente detti.

    Per quanto riguarda invece gli attacchi di tipo DoS http volti a saturare il web server,su Apache ci si può difendere con mod_antiloris e mod_evasive.Nginx è praticamente immune e Lighttpd dispone anch'esso di un modulo per limitare le richieste provenienti da un singolo ip.


  • Moderatore

    Il problema dei DDOS è molto serio e di difficile soluzione. Il punto è che su internet ogni host ha il diritto di inviare dati a qualsiasi altro host. Lungo il percorso di routing, però, è possibile sopprimere alcuni richieste in modo da non farle arrivare a destinazione.

    Mettendola in termini in pratica, di qualunque tipo di DDOS si tratti, al tuo provider arriveranno comunque i pacchetti. Solo che se il provider fornisce un servizio anti-dosing, allora bloccherà quelli che ritiene non "normali".

    Però il provider deve avere la capacità di calcolo e di banda per ricevere e processare quei pacchetti. In questo senso non esiste una panacea, un metodo per cui costringo il mittente a non inviare quei pacchetti.

    Dal tuo punto di vista la soluzione è di avere un provider che fornisce un buon firewall hardware e che ovviamente abbia una rete sufficientemente capace da reggere.

    In passato però si sono verificati casi ( casinò online principalmente ) di DOS in grande stile, che hanno piegato i network di provider non certo da quattro soldi. Il risultato è che il provider potrebbe decidere di non hostarti.

    Dal punto di vista del tuo server, l'unica soluzione è avere un server potente e una connessione capace e usare iptables per stroncare i DOS, così almeno non arrivano al web server e ti costringono a consumare ancora più risorse.


  • User

    Se proprio la situazione diventa insostenibile, mi rivolgerei a qualche Provider che offra la miglior assistenza e supporto contro gli attacchi DDOS. All'esterno c'è ne sono diversi, Gigenet è uno dei primi che mi viene in mente.

    Saluti


  • Super User

    Grazie a tutti per le risposte.
    Alla fine sembra sia riuscito a risolvere con un firewall aggiuntivo, APF/BFD.

    Ora, però, mi sorge il dubbio che stia filtrando anche google e mi chiedevo se potessi trovare un modo semplice per inserirlo nella whitelist senza cercare tutti gli ip di google.

    Grazie ancora.


  • Moderatore

    @Karapoto said:

    Grazie a tutti per le risposte.
    Alla fine sembra sia riuscito a risolvere con un firewall aggiuntivo, APF/BFD.

    Ora, però, mi sorge il dubbio che stia filtrando anche google e mi chiedevo se potessi trovare un modo semplice per inserirlo nella whitelist senza cercare tutti gli ip di google.

    Grazie ancora.

    Perchè dici che google viene filtrato? BFD controlla i log e vede se ci sono molti tentativi di accesso non andati a buon fine e blocca l'IP

    APF è un frontend per iptables e quest'ultimo è in grado di filtrare in base a specifici pattern, porte, numeri di connessioni al secondo, ecc...

    Cosa ti fa pensare che google potrebbe venir filtrato?