Új hozzászólás Aktív témák
-
-
Huhh... Ez nem semmi volt! Mennyi idődet vette el ez a "kis" nyomozás?
-
xabolcs
őstag
Olyan jokat irsz, Mr Dini, orom olvasni!
Azt meg kulon koszonom, hogy a forraskodot kozzeteszed! -
Pikari
veterán
Na falra festett ördög, a szardarab cloudflare nekem épp leállt, egy csomó weboldalhoz nem férek hozzá, csak pörög örökké a csodagif.
-
Alapvetően amúgy ez egy marha nagy para. Nem akarom egy szolgáltatónak adni az adataimat, meg nagyon fizetni se, tehát vagy itthon fut a környezet, vagy itthon fut. Ha itthon fut, akkor kell egy DDNS, azzal már meg lehet találni, és bárki jöhet. És nem tudod úgy védeni, mint egy nagyobb helyen (kéne tudniuk).
Lekopogom, nem standard portok vannak, fail2ban van, meg alapvetően az IP is mozog, de azért nem megnyugtató. Meg amikor a gépek nincsenek használva, akkor vagy alszanak, vagy offban vannak, és WOL-al ébreszthetők, kivéve a home szervert. -
És akkor a PXE boot a nem semmi
Gratula, ez azért elég jól kivitelezett adatgyűjtés volt
-
Pikari
veterán
Szivesen, de azt hozzáteszem, hogy én is a saját káromon voltam kénytelen kitanulni mindent, én se értek hozzá különössebben. Szóval vak vezet világtalant tipikus esete.
Nálam ahogy múltak az idők, egyre komolyabb vérpistikék jöttek, egyre komolyabb módszerekkel kirúgni a sámlit. De mindig megtaláltam az ellenszert. Volt, hogy egyből rájöttem, hogy mit kell tennem. De volt, hogy hetekbe került, mire rájöttem, hogy egyáltalán mit és hogyan csinálnak. Volt olyan is, amire sose jöttem rá. Voltak nagyon cifra dolgok. Pl olyan támadás, ami akkora kernel terhelést okozott, hogy 1 fps-en mozgott tőle az egér, és fél fps-en írta be a betűket, ahogy lenyomtam a billentyűzetet
de a lényeg, hogy mindig egyre erősebben jöttem ki a szituációból.
-
Mr Dini
addikt
Ez pl a Hetzner volt. Redditen írták, hogy ritka eset (általában nem tartom kredibilisnek a redditet, de ez most egy repr. komment): [link]
Velem viszont sajnos megtörtént. Azóta lehet fejlődtek, nem tudom. Ez még COVID előtt volt. Sajnos túl jó konfigokat adnak ár/érték arányban, hogy váltsak és a szimmetrikus gigabit uplink is pozitív (ha épp nincs nullrouteolva).
Egyébként elfelejtettem megköszönni a gondolatokat, köszi a véleménykifejtést/fejtágítast!
-
Pikari
veterán
Sok szervertermi szolgáltatónak annyi a szolgáltatás, hogy bedug egy kábelt valahova, és akkor ő a szolgáltató, meg valami gagyi szaros 30 éve elavult amcsi varázsfelületen betanították őket, hova kattintsanak a dolgokért, és ennyi, nincs meg a mögöttes kútfő. Így aztán te hiába is állítanád be jól a dolgokat, ha maga a szolgáltató már nem állít be semmit a hálózati eszközein, így a szolálgtató főbb eszközeit úgy tudják terhelni, hogy mire hozzád megérkezne az adatcsomag, addigra az irányodba jövö link már általánosságban eltömődik. (eleve nevetséges, mert ha nullrouteolni tudják, akkor tudniuk kellett volna szűrni is source alapján). Tudni lehet, hogy melyikek voltak ezek a gagyi lovagok, hogy biztosan elkerüljem őket?
-
Mr Dini
addikt
Engem egyszer térdeltek le úgy, hogy a hosztingnál gigabites portot fizettem, amit teljesen elszaturáltak, aztán a szolgáltató küldött egy emailt, hogy akkor most egy ideig nullrouteolják az összes forgalmat, ami a szerverem felé irányul, mert nem tudnak ennyi adattal mit kezdeni. Akkor volt az, hogy kerestem alternatívát. Hamar rájöttem, hogy nem vagyok szolgáltató ahhoz, hogy anycast címeim legyenek, nem akarok /24-et venni minimum, hogy egyáltalán legyen, DNS szervert sem akarok üzemeltetni, a BGP-hez se értek (és egyedül nem is biztos, hogy kéne erőltetni), szóval marad az, hogy keserűen ugyan, de bekötöttem CF mögé mindent. Azóta nem igazán kapok semmi támadást. A JS challenget élből tiltom, csak kínára szoktam rakni. Szomorú, de ez van. És sokan vannak hasonlóan, mint én. One man projekt, ami nem feltétlen termel hatalmas hasznot, aztán marad az, hogy az ember vagy megtanul mindent és mélyen a zsebébe nyúl, vagy megy egy AWS-hez, ahol megoldják neki talán olcsóbban a skálázást, vagy megy Cloudflarehez, ami meg megoldja ki tudja miért cserébe...
Ha egyébként tud bárki jobb alternatívát, ami kifizethető kisebb projekteknek is, szívesen veszem a javaslatokat!
-
Pikari
veterán
Nekem évtizedek óta lóg ez-az a neten. De a legdurvább támadás, amit folyamatosan 4 éve kapok 24/7, az az ftp szerverem ellen irányul, ami eleve nem is hostol semmit, hanem azon keresztül szoktak nekem ügyfelek anyagokat feltölteni, ezért van mindig online, és konkrétan üres. Ez tehát nem ddos támadás, hanem egy szótáras jelszótörés, 2 próbálkozás egy ip címről (2 másodperc alatt), aztán ip cím csere egy látszólag teljesen random ip címre. Főleg kínai és amerikai ip címekről. De ez nem célzott támadás, hiszen nincs semmi, amit ezzel elérhetnének. De már négy éve megy, és na az iptables ez ellen tényleg nem jó.
Ha ddos kölyköt haragítasz magadra, az általában favágó egyszerűségű támadásokkal tolja, valami vérpistike szintű szkripttel, amin nem módosít semmit, pl megpróbálja a tcp protokollt támadni valamivel (iptables rate limit megoldja), esetleg valami faék egyszerűségű szkript betölt egy-egy generált oldalt, hogy elzabálja a cpudat és ramodat (iptables rate limit ezt is megoldja).
Az ICMP-t már régóta tiltom minden eszközömben, hogy legalább azon keresztül ne tudjanak semmit megtámadni.
De lehet, hogy csak én vagyok szerencsés, hogy botnet kaliberű szereplő még sose támadott meg, de ha esetleg megtámadna, akkor se hiszem, hogy a cloudflarehez futnék könnyes szemmel, hanem inkább valami nálam okosabb emberrel konzultálnék, akivel át tudom szakmailag akkurátus módon beszélni a támadás formátumát a megfelelő védekező stratégia kialakítása érdekében.
-
Mr Dini
addikt
Mondanám, hogy igazad van, de én is csak félinformatikus vagyok, nem lenne hiteles.
Cloudflarenek pont a JS alapú challengét utálom nagyon én is, amiről te is írsz. Szerintem a legnagyobb probléma vele, hogy konkrétan úgy lett megírva benne a böngésző ellenőrzés, hogy fogták az ismertebb böngészőket, kerestek bennük egyedi működési mintákat és ezekkel detektálják, hogy valóban az a böngésző van-e használva, ami a User-Agentben kimegy a szerver felé. Elvileg ez GDPR kompatibilis, szóval sok adatot nem visznek ki, aztán persze ki tudja. Viszont új böngészőnek így esélye sincs belépni a piacra... Nomeg nem kellemes egy JS-ben implementált virtuális gépet futtatni, ami ki tudja miket csinál ahhoz, hogy hozzáférj a kedvenc hírportálodhoz pl.
Azzal a kevés tapasztalattal, amit hobbi OSS projektek hosztolása alatt felszedtem, nekem is az volt a tapasztalatom, hogy megfelelően üzemeltetni nehéz. Hibákat keresni sokkal egyszerűbb, mint jól csinálni valamit (erről szól a cikk is). Viszont egy hobbi usernek is lehetnek pl olyan igényei, hogy csinál egy blogot, vagy kirakja az otthoni homeassistantot az internetre, aztán nem feltétlen lesz kapacítása saját CDN-t építeni, meg máshova routolni a forgalmat, ha épp DDoS-olnak. Iptables szépen megvéd egy vérpistike ellen, aki elkezd DoS-olni, de amint betalál egy botnet/VPN/proxy halom és elszaturálják a linked, nem tudsz mit csinálni. Én se találtam eddig jobb megoldást, ezért maradt a Cloudflare. Nem örülök neki, hogy egy monopólium kezében van az oldal sorsa és adatai, de saját zsebből és tapasztalattal nem tudnám ugyanazt hozni.
Én úgy látom egyébként, hogy sajnos ha akarjuk, ha nem, egyre többen térnek át cf-re. Telex is azt használ pl. Amerikában a szavazásokat CF-en át nyomták... Egyszerűen annyi bandwidth van a kezükben, amivel egyszerű ember álmodni sem mer.
-
Pikari
veterán
tanulság:
1. nem kell mindenféle szellemileg toprongyos, leépült, iptablest beállítani képtelen félinformatikusnak szervert hostolnia, aztán nem kell cloudflare
2. ne egy szociális kapcsolatokra és kommunikációra képtelen trollkodó autista remegő oposszumtetem legyen az, aki hostolni akar, aztán akkor nem kell cloudflare
én lábon kihordott agyhalált kapok attól, amikor meg akarok nyitni egy weboldalat, aztán elkezd pörögni a cloudflare ddos protection fél percig, hogy ellenőrizni kezdje, hogy nem -e esetleg túlterhelni akarom -e az oldalát -e, annyi idő alatt, ami alatt el is tudtam volna intézni ott, amit akartam.
-
Ezek szerint továbbra is a legjobb megoldás a hajléktalanok alkalmazása egy kannás borral.
Új hozzászólás Aktív témák
Hirdetés
- Futás, futópályák
- Kodi és kiegészítői magyar nyelvű online tartalmakhoz (Linux, Windows)
- Home server / házi szerver építése
- NTFS, exFAT, FAT32 – Melyiket válaszd és miért?
- Lakáshitel, lakásvásárlás
- Random25: Windows 11 telepítés Pendriveról
- Mibe tegyem a megtakarításaimat?
- Mobil flották
- Macska topik
- Milyen okostelefont vegyek?
- További aktív témák...
- Latitude 5420 27% 14" FHD IPS érintő i5-1145G7 16GB 256GB NVMe ujjlolv IR kam gar
- Lenovo ThinkVision P27u 4k-s kifogástalan állapotú monitor féláron!!!
- Dell Latitude 5480 (i5 7300u, 8 GB, 256 SSD, FHD) kiárusítás!! AKCIÓÓ!
- 3 hónapos Asus Rog Strix X670E-F Gaming wifi AkciÓÓ!
- AKCIÓ!!! DDR5 GAMER PC: Új RYZEN 5 8400F/9600X +RX 9060XT/9070/9070XT + Új 16-64GB DDR5! GAR/SZÁMLA!
- Apple iPhone 8 64GB Kártyafüggetlen 1Év Garanciával
- Bowers/Wilkins PX8 fejhallgatók (dupla Bluetooth eszköz csatlakoztatása!) - ELKELTEK
- BESZÁMÍTÁS! Acer Predator Helios 300 Gamer notebook - i7 10750H 16GB DDR4 1TB SSD RTX 2060 6GB WIN10
- BESZÁMÍTÁS! MSI MAG321QR 32 165Hz WQHD 1ms monitor garanciával hibátlan működéssel - használt
- 130+131+132+133 - Lenovo Legion Pro 7 (16IRX9H) - Intel Core i9-14900HX, RTX 4080
Állásajánlatok
Cég: Promenade Publishing House Kft.
Város: Budapest
Cég: PCMENTOR SZERVIZ KFT.
Város: Budapest