Cómo protegéis vuestras webs de ataques DDoS? Regalo script para probar a tumbar webs

Dinero Infinito

Beta
Verificación en dos pasos desactivada
Verificado por Whatsapp
¡Usuario con pocos negocios!
Desde
22 Nov 2020
Mensajes
58
Tengo la capa gratuita de Cloudflare que en teoría protege de ataques DDoS pero es mentira. Lo sigo manteniendo porque al menos oculta mi ip real del servidor.
Me curré un script sencillo con javascript que envía un loop inifinito de request a varias urls de una web.

Cuando lo ejecuto contra mis webs, éstas dejan de responder. Se satura el servidor y de poco sirve que haya configurado en mis proyectos un rate limit 429, porque apache o nginx no pueden administrar tantas peticiones a la vez. Cloudflare no está filtrando nada. Parece estar de adorno.

Lo interesante sería un servicio que implemente un rate limit 429 antes de pasar la request a tu servidor. Qué opciones hay que sean asequibles?

Adjunto el script para que probéis. Solo tenéis que hacer "npm install" para instalar las dependencias. Y "node main.js" para ejecutarlo. El main.js abridlo para editarlo y cambiar la web y las urls.
 

Adjuntos

  • stress_web.zip
    1,4 KB · Visitas: 45

bitelchux

Gamma
Verificación en dos pasos desactivada
Verificado por Whatsapp
¡Ha verificado su Paypal!
Desde
28 Dic 2020
Mensajes
307
Mis webs son una mierda, nadie pierde tiempo y recursos en tirarlas abajo, ya petan ellas solitas.
Pero sino, usa cloudflare, es gratis y muy util
 

Dinero Infinito

Beta
Verificación en dos pasos desactivada
Verificado por Whatsapp
¡Usuario con pocos negocios!
Desde
22 Nov 2020
Mensajes
58
haber si me tumbo las webs de romuald :'v
Lo probé con la de barbacoas y tras varios minutos de ataque me bloquea la ip. Él usa Lite Speed. Pero no sé si lo implementa en el mismo servidor que aloja su WordPress o contrata una capa intermedia de alguna empresa tipo cloudflare que lleva Lite Speed integrado

Los primeros 3 o 4 minutos se tumbó y estuvo inoperativa.

Tengo fibra óptica, importa mucho al hacer el ataque. Con la fibra lanzo el ataque y con el móvil por Red de datos (que tiene ip distinta) compruebo si se cae la web.
 

DiosDelSeo

Zeta
Verificación en dos pasos activada
Verificado por Whatsapp
¡Ha verificado su Paypal!
Desde
1 Jun 2020
Mensajes
1.654
Lo probé con la de barbacoas y tras varios minutos de ataque me bloquea la ip. Él usa Lite Speed. Pero no sé si lo implementa en el mismo servidor que aloja su WordPress o contrata una capa intermedia de alguna empresa tipo cloudflare que lleva Lite Speed integrado

Los primeros 3 o 4 minutos se tumbó y estuvo inoperativa.

Tengo fibra óptica, importa mucho al hacer el ataque. Con la fibra lanzo el ataque y con el móvil por Red de datos (que tiene ip distinta) compruebo si se cae la web.
hay que mandarle 10 millones de enlaces chinos y rusos para tumbarlo xd
 

moiseseccam

Iota
Verificado con videollamada
Verificación en dos pasos desactivada
Verificado por Whatsapp
¡Ha verificado su Paypal!
Desde
5 Mar 2013
Mensajes
2.443
Contratar empresas que tengan planes con

Anti-DDos​

 

Sorda

VIP
Dseda
Verificación en dos pasos desactivada
Verificado por Whatsapp
Desde
4 Jul 2017
Mensajes
1.132
Pues los hosting que un contrata luego dice ahí que tienen eso del Anti-DDos aunque de igual manera tiran los servidores completos.
 

kj2

Iota
Verificación en dos pasos activada
¡Ha verificado su Paypal!
Desde
1 Abr 2011
Mensajes
2.271
Depende del ataque. En mi caso me he encargado de ganas de ataques sencillos, "dedicados" (ataques creados específicamente para tu web) y ultrapotentes; Cada uno tiene su manera de afrontarlo, así como sus variantes.

En todo caso, la mayoría nunca tendrá ataque superpotentes, por lo que al final con unos retoques en nginx + fail2ban suele ser suficiente. Eso si, en mi opinión, a menos que sea algo delicado, la defensa debe ser de respuesta al ataque, ya que el hecho de poner defensa excesiva de antemano suele acarrear más bugs por donde atacarte, además del gasto de recursos que supone.

Cloudflare por sí puede ser útil para detener ataques, pero realmente no lo recomiendo sino en ciertos casos específicos. De hecho el usar cloudflare es perfectamente usable como bug para tumbar una web y realmente hay varias maneras de conseguir la IP real del sitio.

kj
 

zahard

Gamma
Verificación en dos pasos desactivada
Verificado por Whatsapp
¡Usuario con pocos negocios!
Desde
30 Ago 2019
Mensajes
161
Cloudflare no ayuda casi nada si tienes el free , por si tienes el pro te ayude un poco mejor.

Yo sufro de ataques constantes y bueno cloudflare ayuda un poco nada mas

Opera_Instantanea_2021-06-07_161238_dash.cloudflare.com.png
Opera_Instantanea_2021-06-07_160021_dash.cloudflare.com.png

Opera_Instantanea_2021-06-08_120125_dash.cloudflare.com.png
 

Dinero Infinito

Beta
Verificación en dos pasos desactivada
Verificado por Whatsapp
¡Usuario con pocos negocios!
Desde
22 Nov 2020
Mensajes
58

Dinero Infinito

Beta
Verificación en dos pasos desactivada
Verificado por Whatsapp
¡Usuario con pocos negocios!
Desde
22 Nov 2020
Mensajes
58
Depende del ataque. En mi caso me he encargado de ganas de ataques sencillos, "dedicados" (ataques creados específicamente para tu web) y ultrapotentes; Cada uno tiene su manera de afrontarlo, así como sus variantes.

En todo caso, la mayoría nunca tendrá ataque superpotentes, por lo que al final con unos retoques en nginx + fail2ban suele ser suficiente. Eso si, en mi opinión, a menos que sea algo delicado, la defensa debe ser de respuesta al ataque, ya que el hecho de poner defensa excesiva de antemano suele acarrear más bugs por donde atacarte, además del gasto de recursos que supone.

Cloudflare por sí puede ser útil para detener ataques, pero realmente no lo recomiendo sino en ciertos casos específicos. De hecho el usar cloudflare es perfectamente usable como bug para tumbar una web y realmente hay varias maneras de conseguir la IP real del sitio.

kj
Cómo pueden obtener mi ip real detrás de cloudflare?
 

kj2

Iota
Verificación en dos pasos activada
¡Ha verificado su Paypal!
Desde
1 Abr 2011
Mensajes
2.271
Cómo pueden obtener mi ip real detrás de cloudflare?
No tengo intención de enseñar ese tipo de cosas, pero lo puedo demostrar sin problemas.

Solo ten en cuenta que hay maneras casi siempre y es relativamente fácil.

kj
 

Pedro Sierra

Gamma
Redactor
Verificación en dos pasos activada
Verificado por Whatsapp
¡Ha verificado su Paypal!
Desde
15 Jul 2015
Mensajes
231
Tu script genera una consulta detectable que pude detectar con un sencillo log, concretamente tu consulta proviene de axios, lo que estás utilizando para que funcione el script, se bloquea esa consulta y listo (y cualquier otra, simplemente echando un vistazo al log). Obviamente es un coñazo si alguien que sabe del tema genera consultas aleatorias constantemente o algo así, pero bueno.

Además tengo un pequeño apaño en Cloudflare en su versión gratuita para utilizar la funcionalidad de pago, he probado y funciona perfectamente.

En cuanto detecta muchas consultas, te banea la dirección IP temporalmente y ale. Lo único que consigue el script es ralentizar la carga de la web apenas unos segundos, ni se nota y después estás baneado.
 

Dinero Infinito

Beta
Verificación en dos pasos desactivada
Verificado por Whatsapp
¡Usuario con pocos negocios!
Desde
22 Nov 2020
Mensajes
58
Tu script genera una consulta detectable que pude detectar con un sencillo log, concretamente tu consulta proviene de axios, lo que estás utilizando para que funcione el script, se bloquea esa consulta y listo (y cualquier otra, simplemente echando un vistazo al log). Obviamente es un coñazo si alguien que sabe del tema genera consultas aleatorias constantemente o algo así, pero bueno.

Además tengo un pequeño apaño en Cloudflare en su versión gratuita para utilizar la funcionalidad de pago, he probado y funciona perfectamente.

En cuanto detecta muchas consultas, te banea la dirección IP temporalmente y ale. Lo único que consigue el script es ralentizar la carga de la web apenas unos segundos, ni se nota y después estás baneado.
Puedes explicar cómo lo haces?
 

dragondeluz

Alfa
Verificación en dos pasos desactivada
Verificado por Whatsapp
¡Ha verificado su Paypal!
¡Usuario con pocos negocios!
Desde
30 Abr 2016
Mensajes
15
Tengo la capa gratuita de Cloudflare que en teoría protege de ataques DDoS pero es mentira. Lo sigo manteniendo porque al menos oculta mi ip real del servidor.
Me curré un script sencillo con javascript que envía un loop inifinito de request a varias urls de una web.

Cuando lo ejecuto contra mis webs, éstas dejan de responder. Se satura el servidor y de poco sirve que haya configurado en mis proyectos un rate limit 429, porque apache o nginx no pueden administrar tantas peticiones a la vez. Cloudflare no está filtrando nada. Parece estar de adorno.

Lo interesante sería un servicio que implemente un rate limit 429 antes de pasar la request a tu servidor. Qué opciones hay que sean asequibles?

Adjunto el script para que probéis. Solo tenéis que hacer "npm install" para instalar las dependencias. Y "node main.js" para ejecutarlo. El main.js abridlo para editarlo y cambiar la web y las urls.
Cloudflare esta medio harto de la gente que mete sus dominios para obtener beneficios gratis, pero te cambias a un plan PRO de 20$USD al mes y luego del primer mes regresas al plan GRATIS, y vas ver que ahora si te protege mejor que antes. Lo descubrí de pura casualidad.
 

dragondeluz

Alfa
Verificación en dos pasos desactivada
Verificado por Whatsapp
¡Ha verificado su Paypal!
¡Usuario con pocos negocios!
Desde
30 Abr 2016
Mensajes
15
En el plan free me sale también ataques de China Rusia y otros países. Pero a la hora de la verdad con el script sencillo que puse consigo tumbar mis webs con una facilidad que asusta.
Metes reglas de página y bloqueas los países que siempre andan fastidiando.
 

Mocho

Dseda
Verificación en dos pasos desactivada
Verificado por Whatsapp
¡Usuario con pocos negocios!
Desde
9 Ago 2015
Mensajes
1.185
Los betas con sus super webs:

tenor.gif



Yo con mis bloggers de mierda pero sin preocuparme de los ataques:

tenor.gif
 

GianniNeutron

VIP
Beta
Verificación en dos pasos desactivada
Verificado por Whatsapp
¡Usuario con pocos negocios!
Desde
26 Oct 2020
Mensajes
114
Sin duda cloudflare
 

Crea una cuenta o accede para comentar

Debes ser un miembro para poder comentar

Crear cuenta

Crea una cuenta en nuestra comunidad

Acceder

¿Ya tienes una cuenta? Accede aquí


Arriba