- Поисковые системы
- Практика оптимизации
- Трафик для сайтов
- Монетизация сайтов
- Сайтостроение
- Социальный Маркетинг
- Общение профессионалов
- Биржа и продажа
- Финансовые объявления
- Работа на постоянной основе
- Сайты - покупка, продажа
- Соцсети: страницы, группы, приложения
- Сайты без доменов
- Трафик, тизерная и баннерная реклама
- Продажа, оценка, регистрация доменов
- Ссылки - обмен, покупка, продажа
- Программы и скрипты
- Размещение статей
- Инфопродукты
- Прочие цифровые товары
- Работа и услуги для вебмастера
- Оптимизация, продвижение и аудит
- Ведение рекламных кампаний
- Услуги в области SMM
- Программирование
- Администрирование серверов и сайтов
- Прокси, ВПН, анонимайзеры, IP
- Платное обучение, вебинары
- Регистрация в каталогах
- Копирайтинг, переводы
- Дизайн
- Usability: консультации и аудит
- Изготовление сайтов
- Наполнение сайтов
- Прочие услуги
- Не про работу
Авторизуйтесь или зарегистрируйтесь, чтобы оставить комментарий
Так получилось, что наши администраторы участвовали и продолжают помогать ряду инцидентов за последнее время, связанных с ддос атаками на разных хостеров.
Рядом тема про WhiteSuite как один из примеров, которые вышли в паблик.
Исходя из той информации, которая у нас в итоге оказалась, проанализировав типы атак и т.д., есть абсолютно четкая уверенность, что у hetzner отсутствует фильтрация пакетов на основе src (откуда пакет идет).
Другими словами, подделывая пакеты таким образом, что они выглядят как пришедшие с другого IP и/или MAC, сетевое оборудование hetzner это не проверяет и разрешает роутинг.
Как один из примеров атаки, которая используется последнее время очень активно из сетей hetzner, это DNS reflection атака. Отсылается днс запрос на определенный сервер с поддельным отправителем. Сервер технически правильно отвечает, но не настоящему отправителю а поддельному. Учитывая что обычно запрос идет c ANY, то получает очень внушительный ответ и трафик.
Hetzner пока это не признает и лишь занимается пересылкой abuse друг другу, что выглядит очень забавно, т.к. выходит что атакуют все друг друга одновременно.
Собственно, цель этого сообщения - поделится и предупредить, что такое возможно и вобщем лечить это никак и не получится, разве что выносить днс сервера в другие датацентры через днс кластеры.
MIRhosting.com, а где-то прописано, что должны фильтровать?
Когда вы первый раз это заметили ?
Что говорит ваш психоаналитик?
MIRhosting.com, а где-то прописано, что должны фильтровать?
Когда вы первый раз это заметили ?
Что говорит ваш психоаналитик?
Прописано в Best Practices любых более-менее грамотных сетевых администраторах. И честно сказать, был о hetzner лучшего мнения. Возможно, это лишь временно, связано с их глобальными работами по улучшению сети.
Мой психоаналитик выражает озабоченность Вашей прогрессирующей стадией мании величия и рекомендует обратиться за стационарным лечением, так как это может быть опасно для окружающих. Вы это хотели услышать?
А почему вы решили, что входящий трафик именно изнутри ДЦ?
Ведь заспуфленный может и извне приходить, просто src ставят внутрисетевые.
К примеру, чтобы была видимость того, что атакуемый сервер долбит внутрисеть в ДЦ, и его поскорее нейтрализовали.
Видел такое уже где-то.
---------- Добавлено 24.08.2013 в 21:15 ----------
Кстати, один раз поменялся адресами на двух серверах в одной подсети, заработать то заработало, только через 5 минут письмо с "server locking... бла бла".
port security в хецнере есть.
А почему вы решили, что входящий трафик именно изнутри ДЦ?
Да я пару лет назад проверял это на практике. По ряду направлений поддельный трафик действительно шел и доходил. А по другим все же блокировался магистральными провайдерами. Скорее всего так и есть. Может быть это изменится после апгрейда оборудования и поэтому никто хочет заниматься этой проблемой прямо сейчас.
Прописано в Best Practices любых более-менее грамотных сетевых администраторах.
Хетцер - это дисконт. Они деньги зарабатывают в весьма нищем сегменте. Может быть оборудование такую фильтрацию не поддерживает или сильно проседает производительность или еще какие-то причины есть.
А про Best Practices вон на конференциях коллегам рассказывайте или в бложике. Может там оценят.
Все же думаю, на border routers у них есть фильтры, которые блокируют входящие соединения извне, подписывающиеся как изнутри.
А так, вобщем конечно узнать точно нельзя, может и извне.
Но, например с ситуацией с whitesuite, там сервер был в лизвеб, и атаки шли с 46.4.0.0/16. Если представить, что это атаковали не из hetzner, но подписывали сетями hetzner, то опять же, вопрос настройки роутеров (prefix list все же большинство приличных хостеров использует на выход) и вопрос - зачем? Акция против Hetzner?
---------- Добавлено 24.08.2013 в 20:23 ----------
Хетцер - это дисконт. Они деньги зарабатывают в весьма нищем сегменте. Может быть оборудование такую фильтрацию не поддерживает или сильно проседает производительность или еще какие-то причины есть.
Это понятно что дисконт. Но imho эту информацию как минимум нужно знать тем, кто там размещается. Это не вполне очевидно и естественно, как может Вам казаться.
Если говорить более простым языком, размещаясь в hetzner Вас могут с легкостью атаковать, да еще и так, что будет казаться что атакуете вы. И Hetzner через сутки ваш сервер заблочит как источник атаки.
Если говорить более простым языком, размещаясь в hetzner Вас могут с легкостью атаковать, да еще и так, что будет казаться что атакуете вы. И Hetzner через сутки ваш сервер заблочит как источник атаки.
Ну а кого-нибудь уже заблочили по такому сценарию ?
Тут вопрос в предпосылках, исходя из которых принимается решение о блокировке. По вашему сценарию все равно видно входящий трафик равный исходящему (в пакетах) от какого-нибудь сервера рядом.
Насчет легкости - тоже не обязательно. Не так уже часто ломают сервера. Это для народных провайдеров фильтры де-факто сделались обязательными.
Заблочили. Иначе бы не писал. И не одного.
Никаких предпосылок, доходит до идиотизма со стороны Hetzner. Ты им посылаешь abuse на ip которые тебя досят, они тебе через сутки ее же и возвращают с текстом что на вас пришла abuse.
Судя по той активности на подбор паролей, ботов сейчас предостаточно, так что как раз ломают сервера не просто часто, а наоборот, сейчас невозможно найти хостинг-сервер без ломанных скриптов.
сейчас невозможно найти хостинг-сервер без ломанных скриптов.
Да, но для описанной атаки нужен именно root-доступ. Вот это не так часто.
Наверно. Это еще не факт.
Вот интересный лог от hetzner на один из серверов:
18:03:33.193558 IP 46.4.64.85.42000 > 5.9.xxx.xxx.53: 16962+
[b2&3=0x500] ANY? xxx.ru. (38)
18:03:33.193576 IP 46.4.64.97.42000 > 5.9.xxx.xx.53: 16962+
[b2&3=0x500] ANY? xxx.ru. (38)
18:03:33.195842 IP 46.4.67.144.42000 > 5.9.xxx.xxx.53: 16962+
[b2&3=0x500] ANY? xxx.ru. (38)
и т.д., с кучи других ip 46.4 и всегда с одинакового порта.
Очень даже похоже на запущенного демона. Которого можно запустить и от пользователя. И не факт что там будет нужен рут для подделки пакетов.
Но тем не менее, нужен рут или нет, вопрос второй. Проблема есть и очень серьезная. За август только по данным этого форума атаковали днс с десяток хостеров разного калибра. Не берусь говорить, что везде по одинаковому сценарию, но нам досталось несколько идентичных.
Впрочем, похоже всем на это наплевать :) Фильтрация - дело народных провайдеров, hetzner - lowcost и что же вы хотели.. Да и вообще, все нормально, так и должно быть :)
До тех пор пока самих не стукнит.. а кстати говоря, судя по тенденции, стукать будет всех, и все чаще и чаще. Вопрос безопасности становится все более актуальным. В том числе и сетевой безопасности и народных фильтров. Ну это уже imho.
Наверно. Это еще не факт.
Вот интересный лог от hetzner на один из серверов:
18:03:33.193558 IP 46.4.64.85.42000 > 5.9.xxx.xxx.53: 16962+
[b2&3=0x500] ANY? xxx.ru. (38)
18:03:33.193576 IP 46.4.64.97.42000 > 5.9.xxx.xx.53: 16962+
[b2&3=0x500] ANY? xxx.ru. (38)
18:03:33.195842 IP 46.4.67.144.42000 > 5.9.xxx.xxx.53: 16962+
[b2&3=0x500] ANY? xxx.ru. (38)
и т.д., с кучи других ip 46.4 и всегда с одинакового порта.
Очень даже похоже на запущенного демона. Которого можно запустить и от пользователя. И не факт что там будет нужен рут для подделки пакетов.
Но тем не менее, нужен рут или нет, вопрос второй. Проблема есть и очень серьезная. За август только по данным этого форума атаковали днс с десяток хостеров разного калибра. Не берусь говорить, что везде по одинаковому сценарию, но нам досталось несколько идентичных.
Впрочем, похоже всем на это наплевать :) Фильтрация - дело народных провайдеров, hetzner - lowcost и что же вы хотели.. Да и вообще, все нормально, так и должно быть :)
До тех пор пока самих не стукнит.. а кстати говоря, судя по тенденции, стукать будет всех, и все чаще и чаще. Вопрос безопасности становится все более актуальным. В том числе и сетевой безопасности и народных фильтров. Ну это уже imho.
Дело тут не только в хецнере. Естественно это лоукост, естественно там могут быть подобные проблемы, это нормально.
Если рассматривать вариант с запущенным демоном (а это очень даже легко экспуатируется, достаточно залить на сервер простейший php или perl шелл), то админ врядли уделил внимание аудиту безопасности своего сервера и не заметил странные открытые порты странных приложений, обильное количество исходящих пакетов и так далее, не принял меры и вот вам результат. Тут даже может и не хецнер виноват. Если дело с демоном, то проблема вряд ли в железяках хецнера.