- Samsung Galaxy S25 - végre van kicsi!
- Xiaomi 15 - kicsi telefon nagy energiával
- iPhone topik
- Samsung Galaxy S23 Ultra - non plus ultra
- Samsung Galaxy S22 és S22+ - a kis vagány meg a bátyja
- Youtube Android alkalmazás alternatívák reklámszűréssel / videók letöltése
- Realme GT 2 Pro - papírforma
- Sony Xperia 1 V - kizárólag igényeseknek
- Motorola Edge 60 és Edge 60 Pro - és a vas?
- 200 megapixeles zoomkamerát sem kap az S26 Ultra?
Új hozzászólás Aktív témák
-
-
Huhh... Ez nem semmi volt! Mennyi idődet vette el ez a "kis" nyomozás?
-
xabolcs
őstag
Olyan jokat irsz, Mr Dini, orom olvasni!
Azt meg kulon koszonom, hogy a forraskodot kozzeteszed! -
Pikari
veterán
Na falra festett ördög, a szardarab cloudflare nekem épp leállt, egy csomó weboldalhoz nem férek hozzá, csak pörög örökké a csodagif.
-
Alapvetően amúgy ez egy marha nagy para. Nem akarom egy szolgáltatónak adni az adataimat, meg nagyon fizetni se, tehát vagy itthon fut a környezet, vagy itthon fut. Ha itthon fut, akkor kell egy DDNS, azzal már meg lehet találni, és bárki jöhet. És nem tudod úgy védeni, mint egy nagyobb helyen (kéne tudniuk).
Lekopogom, nem standard portok vannak, fail2ban van, meg alapvetően az IP is mozog, de azért nem megnyugtató. Meg amikor a gépek nincsenek használva, akkor vagy alszanak, vagy offban vannak, és WOL-al ébreszthetők, kivéve a home szervert. -
És akkor a PXE boot a nem semmi
Gratula, ez azért elég jól kivitelezett adatgyűjtés volt
-
Pikari
veterán
Szivesen, de azt hozzáteszem, hogy én is a saját káromon voltam kénytelen kitanulni mindent, én se értek hozzá különössebben. Szóval vak vezet világtalant tipikus esete.
Nálam ahogy múltak az idők, egyre komolyabb vérpistikék jöttek, egyre komolyabb módszerekkel kirúgni a sámlit. De mindig megtaláltam az ellenszert. Volt, hogy egyből rájöttem, hogy mit kell tennem. De volt, hogy hetekbe került, mire rájöttem, hogy egyáltalán mit és hogyan csinálnak. Volt olyan is, amire sose jöttem rá. Voltak nagyon cifra dolgok. Pl olyan támadás, ami akkora kernel terhelést okozott, hogy 1 fps-en mozgott tőle az egér, és fél fps-en írta be a betűket, ahogy lenyomtam a billentyűzetet
de a lényeg, hogy mindig egyre erősebben jöttem ki a szituációból.
-
Mr Dini
addikt
Ez pl a Hetzner volt. Redditen írták, hogy ritka eset (általában nem tartom kredibilisnek a redditet, de ez most egy repr. komment): [link]
Velem viszont sajnos megtörtént. Azóta lehet fejlődtek, nem tudom. Ez még COVID előtt volt. Sajnos túl jó konfigokat adnak ár/érték arányban, hogy váltsak és a szimmetrikus gigabit uplink is pozitív (ha épp nincs nullrouteolva).
Egyébként elfelejtettem megköszönni a gondolatokat, köszi a véleménykifejtést/fejtágítast!
-
Pikari
veterán
Sok szervertermi szolgáltatónak annyi a szolgáltatás, hogy bedug egy kábelt valahova, és akkor ő a szolgáltató, meg valami gagyi szaros 30 éve elavult amcsi varázsfelületen betanították őket, hova kattintsanak a dolgokért, és ennyi, nincs meg a mögöttes kútfő. Így aztán te hiába is állítanád be jól a dolgokat, ha maga a szolgáltató már nem állít be semmit a hálózati eszközein, így a szolálgtató főbb eszközeit úgy tudják terhelni, hogy mire hozzád megérkezne az adatcsomag, addigra az irányodba jövö link már általánosságban eltömődik. (eleve nevetséges, mert ha nullrouteolni tudják, akkor tudniuk kellett volna szűrni is source alapján). Tudni lehet, hogy melyikek voltak ezek a gagyi lovagok, hogy biztosan elkerüljem őket?
-
Mr Dini
addikt
Engem egyszer térdeltek le úgy, hogy a hosztingnál gigabites portot fizettem, amit teljesen elszaturáltak, aztán a szolgáltató küldött egy emailt, hogy akkor most egy ideig nullrouteolják az összes forgalmat, ami a szerverem felé irányul, mert nem tudnak ennyi adattal mit kezdeni. Akkor volt az, hogy kerestem alternatívát. Hamar rájöttem, hogy nem vagyok szolgáltató ahhoz, hogy anycast címeim legyenek, nem akarok /24-et venni minimum, hogy egyáltalán legyen, DNS szervert sem akarok üzemeltetni, a BGP-hez se értek (és egyedül nem is biztos, hogy kéne erőltetni), szóval marad az, hogy keserűen ugyan, de bekötöttem CF mögé mindent. Azóta nem igazán kapok semmi támadást. A JS challenget élből tiltom, csak kínára szoktam rakni. Szomorú, de ez van. És sokan vannak hasonlóan, mint én. One man projekt, ami nem feltétlen termel hatalmas hasznot, aztán marad az, hogy az ember vagy megtanul mindent és mélyen a zsebébe nyúl, vagy megy egy AWS-hez, ahol megoldják neki talán olcsóbban a skálázást, vagy megy Cloudflarehez, ami meg megoldja ki tudja miért cserébe...
Ha egyébként tud bárki jobb alternatívát, ami kifizethető kisebb projekteknek is, szívesen veszem a javaslatokat!
-
Pikari
veterán
Nekem évtizedek óta lóg ez-az a neten. De a legdurvább támadás, amit folyamatosan 4 éve kapok 24/7, az az ftp szerverem ellen irányul, ami eleve nem is hostol semmit, hanem azon keresztül szoktak nekem ügyfelek anyagokat feltölteni, ezért van mindig online, és konkrétan üres. Ez tehát nem ddos támadás, hanem egy szótáras jelszótörés, 2 próbálkozás egy ip címről (2 másodperc alatt), aztán ip cím csere egy látszólag teljesen random ip címre. Főleg kínai és amerikai ip címekről. De ez nem célzott támadás, hiszen nincs semmi, amit ezzel elérhetnének. De már négy éve megy, és na az iptables ez ellen tényleg nem jó.
Ha ddos kölyköt haragítasz magadra, az általában favágó egyszerűségű támadásokkal tolja, valami vérpistike szintű szkripttel, amin nem módosít semmit, pl megpróbálja a tcp protokollt támadni valamivel (iptables rate limit megoldja), esetleg valami faék egyszerűségű szkript betölt egy-egy generált oldalt, hogy elzabálja a cpudat és ramodat (iptables rate limit ezt is megoldja).
Az ICMP-t már régóta tiltom minden eszközömben, hogy legalább azon keresztül ne tudjanak semmit megtámadni.
De lehet, hogy csak én vagyok szerencsés, hogy botnet kaliberű szereplő még sose támadott meg, de ha esetleg megtámadna, akkor se hiszem, hogy a cloudflarehez futnék könnyes szemmel, hanem inkább valami nálam okosabb emberrel konzultálnék, akivel át tudom szakmailag akkurátus módon beszélni a támadás formátumát a megfelelő védekező stratégia kialakítása érdekében.
-
Mr Dini
addikt
Mondanám, hogy igazad van, de én is csak félinformatikus vagyok, nem lenne hiteles.
Cloudflarenek pont a JS alapú challengét utálom nagyon én is, amiről te is írsz. Szerintem a legnagyobb probléma vele, hogy konkrétan úgy lett megírva benne a böngésző ellenőrzés, hogy fogták az ismertebb böngészőket, kerestek bennük egyedi működési mintákat és ezekkel detektálják, hogy valóban az a böngésző van-e használva, ami a User-Agentben kimegy a szerver felé. Elvileg ez GDPR kompatibilis, szóval sok adatot nem visznek ki, aztán persze ki tudja. Viszont új böngészőnek így esélye sincs belépni a piacra... Nomeg nem kellemes egy JS-ben implementált virtuális gépet futtatni, ami ki tudja miket csinál ahhoz, hogy hozzáférj a kedvenc hírportálodhoz pl.
Azzal a kevés tapasztalattal, amit hobbi OSS projektek hosztolása alatt felszedtem, nekem is az volt a tapasztalatom, hogy megfelelően üzemeltetni nehéz. Hibákat keresni sokkal egyszerűbb, mint jól csinálni valamit (erről szól a cikk is). Viszont egy hobbi usernek is lehetnek pl olyan igényei, hogy csinál egy blogot, vagy kirakja az otthoni homeassistantot az internetre, aztán nem feltétlen lesz kapacítása saját CDN-t építeni, meg máshova routolni a forgalmat, ha épp DDoS-olnak. Iptables szépen megvéd egy vérpistike ellen, aki elkezd DoS-olni, de amint betalál egy botnet/VPN/proxy halom és elszaturálják a linked, nem tudsz mit csinálni. Én se találtam eddig jobb megoldást, ezért maradt a Cloudflare. Nem örülök neki, hogy egy monopólium kezében van az oldal sorsa és adatai, de saját zsebből és tapasztalattal nem tudnám ugyanazt hozni.
Én úgy látom egyébként, hogy sajnos ha akarjuk, ha nem, egyre többen térnek át cf-re. Telex is azt használ pl. Amerikában a szavazásokat CF-en át nyomták... Egyszerűen annyi bandwidth van a kezükben, amivel egyszerű ember álmodni sem mer.
-
Pikari
veterán
tanulság:
1. nem kell mindenféle szellemileg toprongyos, leépült, iptablest beállítani képtelen félinformatikusnak szervert hostolnia, aztán nem kell cloudflare
2. ne egy szociális kapcsolatokra és kommunikációra képtelen trollkodó autista remegő oposszumtetem legyen az, aki hostolni akar, aztán akkor nem kell cloudflare
én lábon kihordott agyhalált kapok attól, amikor meg akarok nyitni egy weboldalat, aztán elkezd pörögni a cloudflare ddos protection fél percig, hogy ellenőrizni kezdje, hogy nem -e esetleg túlterhelni akarom -e az oldalát -e, annyi idő alatt, ami alatt el is tudtam volna intézni ott, amit akartam.
-
Ezek szerint továbbra is a legjobb megoldás a hajléktalanok alkalmazása egy kannás borral.
Új hozzászólás Aktív témák
Hirdetés
- Motorolaj, hajtóműolaj, hűtőfolyadék, adalékok és szűrők topikja
- Autós topik
- Eldurvul a Nova Lake-kel az Intel-féle hibrid dizájn
- Építő/felújító topik
- A GravaStar analóg klaviatúráira nem mondható, hogy konformisták volnának
- Macska topik
- Napelem
- Itt vannak az ASUS legszerényebb NVIDIA Blackwell architektúrás VGA-i
- Hálózati / IP kamera
- BestBuy topik
- További aktív témák...
- GL65 9SD 15.6" FHD IPS i7-9750H GTX 1660Ti 16GB 256GB NVMe + 1TB HDD gar
- ZBook Fury 16 G9 16" FHD+ IPS i7-12850HX RTX A2000 32GB 512GB NVMe magyar vbill ujjlolv IR kam gar
- AKCIÓ!!! GAMER PC: Új i5-14400F +RTX 4060/5060/4070/5070 +16-64GB DDR4! GAR/SZÁMLA! 50 FÉLE HÁZ!
- Elite Dragonfly G3 13.5" FHD+ IPS érintő i5-1235U 16GB 512GB NVMe ujjlolv gar
- Újszerű 17.3" FHD (1920x1080) IPS 40pin 144Hz matt LED kijelző. AUO B173HAN04.9
- ÁRGARANCIA!Épített KomPhone Ryzen 5 5500 16/32/64GB RAM RTX 4060 8GB GAMER PC termékbeszámítással
- Telefon felvásárlás!! iPhone 15/iPhone 15 Plus/iPhone 15 Pro/iPhone 15 Pro Max
- REFURBISHED - DELL Thunderbolt Dock WD19TBS docking station (210-AZBV)
- több EIZO EV2456 FlexScan 24" 1920x1200 16:10 IPS fekete több jelenlegi ár: 170.000.-!!!
- SAMSUNG DDR4 REG ECC 32GB 2666MHz RDIMM szerver RAM modulok, nettó 15740Ft+ÁFA, 1 év gar., több db
Állásajánlatok
Cég: CAMERA-PRO Hungary Kft
Város: Budapest
Cég: PCMENTOR SZERVIZ KFT.
Város: Budapest