Nuevas IPs y VPS AntiDDoS en Ginernet

jmginer Seguir

Épsilon
Verificación en dos pasos activada
¡Ha verificado su Paypal!
¡Usuario con pocos negocios! ¡Utiliza siempre saldo de Forobeta!
Desde
2 Ene 2013
Mensajes
781
[YOUTUBE]HVaYf3MS_RU[/YOUTUBE]​


Estimados usuarios de ForoBeta,

me complace anunciarte la puesta en marcha del nuevo servicio AntiDDoS con capacidad de mitigar hasta 500Gbps. Durante el mes pasado, nos vimos afectados por diversos ataques DDoS. Somos conscientes que el atacante (o los atacantes) prestaron especial interés en averiguar como está conformada nuestra red y ejecutaron ataques de denegación de servicio en TODOS los puntos de red en los que tenemos presencia, por lo que nos hemos visto en la necesidad de plantear sobre la mesa las soluciones disponibles.

Lamentablemente, no hemos encontrado ninguna solución que sin que sea necesaria una inversión de cientos de miles de euros. Por lo que hemos decidido apoyarnos en el servicio AntiDDoS que proporciona Voxility, el cual nos proporciona una protección de hasta 500Gbps.

Para la implementación de este servicio de mitigación, anunciamos mediante BGP uno de nuestros rangos IPv4 /24 (1 clase C completa), para que el tráfico entrante pase primero por el servicio de mitigación de Voxility. Cuando alguna de estas IPs recibe un ataque, se activa el servicio de mitigación de Voxility, que a penas demora 10 segundos en filtrar el tráfico malicioso permitiendo solo el paso del tráfico legítimo.

Para efectuar el transporte de datos desde la red de Voxility hacia nuestros servidores hemos implementado un tunel GRE desde nuestro router BGP hasta todos los routers que componen nuestra infraestructura en Alicante, Barcelona y Madrid, de tal forma que a nuestros servidores solo llega el tráfico limpio.

1409916791.png

Este tunel, incrementa unos 20 ms aproximadamente el tiempo de latencia en que responden nuestros VPS con IP AntiDDoS. Destacar que la salida de datos sigue siendo gestionada desde los puntos de red que hasta ahora hemos gestionado, nada cambia con nuestros actuales upstreams.

Somos conscientes que de nada sirve ofrecer IPs con AntiDDoS alojadas sobre los mismos nodos que alojan las IPs "normales", pues un ataque a una IP normal seguirá afectando a aquellos clientes que hayan contratado la IP AntiDDoS. Por ello ya hemos iniciado las gestiones para alojar nuevos equipos en nuestros puntos de red que únicamente van a alojar servicios contratados con IP AntiDDoS, de este modo, aislar por completo los clientes que han decidido contratar este servicio de mitigación.

La gran ventaja que nos proporciona el tunel GRE, es que podemos mover cualquier IP a cualquiera de nuestros puntos de red (Alicante, Barcelona o Madrid). De este modo, un cliente puede decidir en que ciudad tener alojados sus datos e incluso poder hacer fail-over en caso de que se produzca una incidencia en uno de los puntos de red, pudiendo bascular el tráfico de una ciudad a otra en a penas unos segundos.

Desde ya, en GINERNET es posible contratar un VPS y añadir hasta 4 IPs AntiDDoS desde solo 3€/mes cada una.

Como prueba de la firmeza de este nuevo servicio, único actualmente en nuestro país, hemos activado nuestro dominio ginernet.com (Alojado en nuestro CPD de Alicante) con una IP AntiDDoS. Sed libres de efectuar cualquier tipo de ataque a esta nuestra IP con el fin de verificar la garantía de protección ofrecida actualmente en nuestro propio dominio.

Recibid un cordial saludo!



.
 
Última edición:
Desde
16 Oct 2010
Mensajes
3.090
Cabe mencionar que solo es para ataques a nivel UDP ¿no?

Y que si es un DDOS fuerte bajo TPC de cientas/miles de páginas webs /navegadores infectados con muchas peticiones hacia la web habrá problemas ?

OVH tiene ( para mi gusto ) el mejor sistema antiDDOS que hay para ataques de red, han hecho un sistema excelente, eficiencia total.

Pero cabe aclarar que no funciona para los que sufrecen ataques DDOS desde cientas de direcciones ips y que sean peticiones webs no servirá esta implementación :p7:
 

DoctorPC

1
Pi
SEO
Verificado
Verificación en dos pasos activada
Verificado por Whatsapp
¡Ha verificado su Paypal!
Verificado por Binance
Suscripción a IA
Desde
10 Dic 2010
Mensajes
6.080
¿Una ataque con LOIC sería exitoso?

Cabe mencionar que solo es para ataques a nivel UDP ¿no?

Y que si es un DDOS fuerte bajo TPC de cientas/miles de páginas webs /navegadores infectados con muchas peticiones hacia la web habrá problemas ?

OVH tiene ( para mi gusto ) el mejor sistema antiDDOS que hay para ataques de red, han hecho un sistema excelente, eficiencia total.

Pero cabe aclarar que no funciona para los que sufrecen ataques DDOS desde cientas de direcciones ips y que sean peticiones webs no servirá esta implementación :p7:
 

OscarS

Épsilon
Verificación en dos pasos activada
Desde
6 Ago 2011
Mensajes
922
Hola, con lo que menciona skamasle complemento con mi comentario.

OVH maneja muy bien los ataques UDP/TCP si sabes configurarlo, me han llegado varios ataques a servicios basados en esto (servidores para juegos, voip, etc) y sirve a un nivel muy bueno con el precio que dan (tambien le configure muy bien todo desde el API). A lo que mencionas los ataques dirigidos a la capa 7 de red (según OSI) son con los que batallan (aunque dicen que si les envías un correo a el equipo del vac {francia} pueden ayudarte) estos ataques son los denominados ataques enfocados a aplicaciones (mysql apache, php) y el mas común contra sitios web "Slowloris" que ataca los servidores web.

¡Saludos!

Si.

Todo lo que sature apache / mysql / php es efectivo.

Para muestra un botón:

krERygy.png
 

jmginer

Épsilon
Verificación en dos pasos activada
¡Ha verificado su Paypal!
¡Usuario con pocos negocios! ¡Utiliza siempre saldo de Forobeta!
Desde
2 Ene 2013
Mensajes
781
[MENTION=3716]skamasle[/MENTION] [MENTION=12938]OscarS[/MENTION]

He intentado reproducir un ataque slowloris con el fin de aplicar una config que soluciones este problema, aunque francamente, me temo que no lo realizo bien.

Entiendo con con Varnish en el propio servidor, el problema podría quedar solucionado.

Si podéis añadirme a skype: ginernet con el fin de poder analizar en tiempo real el ataque, os estaría enormemente agradecido.

Mil gracias!
 

Emanuel Andrei

Dseda
Programador
Verificación en dos pasos activada
Verificado por Whatsapp
Desde
1 Nov 2013
Mensajes
1.219
[MENTION=3716]skamasle[/MENTION] [MENTION=12938]OscarS[/MENTION]

He intentado reproducir un ataque slowloris con el fin de aplicar una config que soluciones este problema, aunque francamente, me temo que no lo realizo bien.

Entiendo con con Varnish en el propio servidor, el problema podría quedar solucionado.

Si podéis añadirme a skype: ginernet con el fin de poder analizar en tiempo real el ataque, os estaría enormemente agradecido.

Mil gracias!

En esto skamasle y OscarS tienen una idea mucha mejor que la mia. A OscarS no lo conozco, pero se que skamasle es una maquina en este tipo de asuntos.

Aun asi, yo te dare mi opinion. Yo personalmente al hacer pruebas de intrusion, monitorizo mis servidores con Nagios Open Source. Es un poco dificil de configurar pero vale la pena.
 

jmginer

Épsilon
Verificación en dos pasos activada
¡Ha verificado su Paypal!
¡Usuario con pocos negocios! ¡Utiliza siempre saldo de Forobeta!
Desde
2 Ene 2013
Mensajes
781
En esto skamasle y OscarS tienen una idea mucha mejor que la mia. A OscarS no lo conozco, pero se que skamasle es una maquina en este tipo de asuntos.

Aun asi, yo te dare mi opinion. Yo personalmente al hacer pruebas de intrusion, monitorizo mis servidores con Nagios Open Source. Es un poco dificil de configurar pero vale la pena.

La idea no es monitorizar, uso PRTG para los netflows del router y Observium para los servidores. Personalmente, ambos los considero más avanzados que Nagios.

La idea es ver de mitigar este tipo de ataques y para ello, nada mejor que hacer las pruebas en vivo.

No obstante, gracias por tu comentario. No reniego de Nagios en absoluto, pero para monitoring, como digo, me quedo con Observium para servers + PRTG para routing.

Un saludo.
 

OscarS

Épsilon
Verificación en dos pasos activada
Desde
6 Ago 2011
Mensajes
922
Edito: No quiero niños jugando con esto, te hable por skype.

Saludos.

La idea no es monitorizar, uso PRTG para los netflows del router y Observium para los servidores. Personalmente, ambos los considero más avanzados que Nagios.

La idea es ver de mitigar este tipo de ataques y para ello, nada mejor que hacer las pruebas en vivo.

No obstante, gracias por tu comentario. No reniego de Nagios en absoluto, pero para monitoring, como digo, me quedo con Observium para servers + PRTG para routing.

Un saludo.
 
Última edición:

Emanuel Andrei

Dseda
Programador
Verificación en dos pasos activada
Verificado por Whatsapp
Desde
1 Nov 2013
Mensajes
1.219
La idea no es monitorizar, uso PRTG para los netflows del router y Observium para los servidores. Personalmente, ambos los considero más avanzados que Nagios.

La idea es ver de mitigar este tipo de ataques y para ello, nada mejor que hacer las pruebas en vivo.

No obstante, gracias por tu comentario. No reniego de Nagios en absoluto, pero para monitoring, como digo, me quedo con Observium para servers + PRTG para routing.

Un saludo.

Es muy facil de mitigar un ataque slowloris. Aqui puedes leer mas sobre ello: 403 Forbidden
Y para monitorizar, la verdad es que es un poco dificil. Tiene que ser algo que mire que las peticiones http se completen antes de que sea solicitado otra peticion para mantener viva la conexion que es lo que utiliza el ataque slowloris. Y alli ya no se que decirte, porque todavia no tengo muchos conocimientos de aplicaciones que hagan algo asi.
 
Última edición:

jmginer

Épsilon
Verificación en dos pasos activada
¡Ha verificado su Paypal!
¡Usuario con pocos negocios! ¡Utiliza siempre saldo de Forobeta!
Desde
2 Ene 2013
Mensajes
781
Hola de nuevo, el ataque al que hace referencia [MENTION=3716]skamasle[/MENTION] , creo que no se trata de un ataque de tipo Slowloris como indicaba [MENTION=12938]OscarS[/MENTION], el motivo es que NO hemos conseguido reproducir la caida mediante Slowloris, es un tipo de ataque que el AntiDDoS mitiga en tiempo real (1 segundo).

Por el contrario intuyo que ha sido realizado mediante un script en Python llamado HULK, el cual es puede encontrar en Google facilmente y puede tumbar practicamente cualquier web con una simple conexión de ADSL, pues no se basa en un ataque de red si. Lo que sobrecarga es el propio servidor web.

Todo son suposiciones, pues [MENTION=3716]skamasle[/MENTION] no se ha vuelto a poner en contacto con nosotros y nos es imposible hacer una reproducción del problema.

Hemos reproducido el ataque HULK en nuestro entorno de pruebas y podemos confirmar que es mitigado en aporximadamente 15-30 segundos.

[MENTION=3716]skamasle[/MENTION], a título personal, no entiendo porque efectuas tal acción, me refiero a lo de demnificar esta nota de prensa con esa captura de pantalla mostrando nuestro SQL down, para luego no atender nuestra petición de "más información". Me temo que se ha tratado de un fallo puntual en el impas de esos 15-30 segundos que el AntiDDoS tarda en detectar este tipo de ataque, tiempo tras el cual, todo vuelve a la normalidad. Me reafirmo en esta afirmación, pues después de varios días haciendo pruebas, me ha sido imposible reproducir la situación que propones.

Salu2!
 
Desde
16 Oct 2010
Mensajes
3.090
Hola de nuevo, el ataque al que hace referencia [MENTION=3716]skamasle[/MENTION] , creo que no se trata de un ataque de tipo Slowloris como indicaba [MENTION=12938]OscarS[/MENTION], el motivo es que NO hemos conseguido reproducir la caida mediante Slowloris, es un tipo de ataque que el AntiDDoS mitiga en tiempo real (1 segundo).

Por el contrario intuyo que ha sido realizado mediante un script en Python llamado HULK, el cual es puede encontrar en Google facilmente y puede tumbar practicamente cualquier web con una simple conexión de ADSL, pues no se basa en un ataque de red si. Lo que sobrecarga es el propio servidor web.

Todo son suposiciones, pues [MENTION=3716]skamasle[/MENTION] no se ha vuelto a poner en contacto con nosotros y nos es imposible hacer una reproducción del problema.

Hemos reproducido el ataque HULK en nuestro entorno de pruebas y podemos confirmar que es mitigado en aporximadamente 15-30 segundos.

[MENTION=3716]skamasle[/MENTION], a título personal, no entiendo porque efectuas tal acción, me refiero a lo de demnificar esta nota de prensa con esa captura de pantalla mostrando nuestro SQL down, para luego no atender nuestra petición de "más información". Me temo que se ha tratado de un fallo puntual en el impas de esos 15-30 segundos que el AntiDDoS tarda en detectar este tipo de ataque, tiempo tras el cual, todo vuelve a la normalidad. Me reafirmo en esta afirmación, pues después de varios días haciendo pruebas, me ha sido imposible reproducir la situación que propones.

Salu2!

No me he puesto en contacto con ustedes por que ya se había puesto en contacto oscars, no he tenido tiempo de revisar este tema luego de eso, el tema es que e anti ddos de OVH no funciona con peticiones get / post distribuidas, solo mitiga ataques de red en tiempo real y lo digo por que tengo clientes que constantemente son atacados con estos tipos de ataques y OVH no hace absolutamente nada.

Peticiones get desde cientas de IPs que van al index o a un archivo determinado o varios archivos, que son referidas desde un plugin de navegadores infectados, en los logs no se ve nada extraño es como que cientas de páginas web te enlazarán y mandaran tráfico, o sea parece tráfico real desde muchas webs, la variación esta en el user agent el cual si se puede bloquear, varios user agents pero ovh no hace nada al respecto con este ataque ni por asomo ( motivo: parece tráfico real, no se puede bloquear por que bloqueará muchos falsos positivos ), también puedo casi que afirmar que blacklotus tampoco hace nada con ese tipo de ataque justamente por eso "parece tráfico real" tuve un cliente ahí y no le pudieron ayudar con su firewall, todo tuvo que pararse vía nginx/varnish.

En todo caso tampoco no puedo reproducir ese ataque ya que no tengo una botnet de esas, pero las he estudiado de cerca para poder mitigar esos tipos de ataques.

Lo de hulk nunca lo he usado, se que hay otra aplicación que es capas de simular un ddos similar a ese usando proxis que se puede acercar a lo de los navegadores infectados, pero no tengo esa aplicación.

Tampoco se si ovh a mejorado el anti ddos, ya que el último ataque que tuve que mirar de este tipo fue hace 2 semanas, tal vez en 2 semanas han hecho cambios pero no creo.. y en blacklotus hace como 8 meses, esos por lo que cobran seguro que han mejorado ya :stupid1:

He aquí un ejemplo:

Es de hace unos meses, fue la parte más intensa 10 minutos de ataque:

2 millones de clics desde miles de ips:

c5glnAi.png


ciWyo8j.png


Y otro que venía desde muchísimos wordpress, ovh no nos ayudo, miles de wordpress haciendo pingback a la web ( muerte lenta con peticiones posts, aunque detenido fácilmente con /nginx/varnish/ )

Insertar CODE, HTML o PHP:
27791 WordPress/3.9.1;
  13166 -
  13048 WordPress/3.8.3;
   4949 WordPress/3.7.3;
   1758 WordPress/3.9;
    994 WordPress/3.8.2;
    345 WordPress/3.5.1;

Y bueno esto lo pongo par dar un ejemplo simplemente, y vuelvo a decir, OVH tiene un sistema fantástico que lo he usado muchas veces para ataques de red, pero hay que especificar claramente que tipos de DDOS no serán afectados tus clientes en tu empresa.

Cualquier cosa que parezca tráfico real no lo detectará un sistema automático y si lo hiciera habrían muchísimos falsos positivos ( hasta google que se vuelve loco a veces navegando por la web.. )
 

jmginer

Épsilon
Verificación en dos pasos activada
¡Ha verificado su Paypal!
¡Usuario con pocos negocios! ¡Utiliza siempre saldo de Forobeta!
Desde
2 Ene 2013
Mensajes
781
[MENTION=3716]skamasle[/MENTION], gracias por tu tiempo en elaborar tu respuesta.
Te pido disculpas por la equivocación pues.

Según la propia web de OVH los floods GET/POST son factibles de ser mitigados.
https://www.ovh.es/anti-ddos/principio-anti-ddos.xml

Seguramente tome un tiempo en detectar el patrón para efectuar el bloqueo.

Un saludo.
 

estudiseno

Eta
Verificación en dos pasos activada
Verificado por Whatsapp
Desde
26 Ago 2013
Mensajes
1.498
[MENTION=3716]skamasle[/MENTION], gracias por tu tiempo en elaborar tu respuesta.
Te pido disculpas por la equivocación pues.

Según la propia web de OVH los floods GET/POST son factibles de ser mitigados.
https://www.ovh.es/anti-ddos/principio-anti-ddos.xml

Seguramente tome un tiempo en detectar el patrón para efectuar el bloqueo.

Un saludo.
Pero que te atacan a la propia web al puerto 80?? O al nodo o servidor web en cuestión??
 
Desde
16 Oct 2010
Mensajes
3.090
Si, si lleva un patron es más fácil, pero si son peticiones de navegadores infectados sin patrón, parece simplemente que una web esta recibiendo visitas masivas, al final no es complicado, pero según he leído y creo que lo dijo oscars hay que contactar con OVH para que lo blooque y eso ya tarda un buen rato, entre respuesta y respuesta y luego si cambian el patrón contactar otra vez etc etc.

Al final es más rápido hacerlo desde el servidor con firewall, nginx o varnish, lo malo es que no hay muchas posibilidades de automatizar la tarea ya que los ataques son muy variados y con tal de no bloquear tráfico real es mejor ponerse manos a la obra en el momento y detenerlo.

[MENTION=3716]skamasle[/MENTION], gracias por tu tiempo en elaborar tu respuesta.
Te pido disculpas por la equivocación pues.

Según la propia web de OVH los floods GET/POST son factibles de ser mitigados.
https://www.ovh.es/anti-ddos/principio-anti-ddos.xml

Seguramente tome un tiempo en detectar el patrón para efectuar el bloqueo.

Un saludo.
 

OscarS

Épsilon
Verificación en dos pasos activada
Desde
6 Ago 2011
Mensajes
922
Hola,

Lamento decir que "python hulk" es algo parecido a slowloris. Con slowloris y 1Mbps de conexión puedo hacer estragos con el portal de gigernet, al trabajar a ese nivel aplicación satura tu "maxclients", etc (facilmente parado con mod_antiloris pero no creo que funcione en masa ya que a nivel servidor y logico no podra negar la cantidad de trafico que entra {en su defecto analizar} y hara el famoso "high load cpu"). Ahora como dice skamasle (y porque he dicho que son variantes de slowloris) son ataques GET o POST que van a un archivo especifico (lo mas comun que sale de forobeta es ?0.0xxxx) hasta ataques a una pagina en especifico (index) donde parecen visitas normales y son mas difíciles de controlar. La mejor opcion para esto es nginx o varnish como bien lo comenta skamasle. Ahora estos mismos ataques los he recibido con combinaciones de TOR y ultrasurf, algunos con "HULK" y algunos de los casos los he recibido UDP, POD, Slowloris, Hulk y juntos causan muchos dolores de cabeza y en algunos casos un buen monto de inversión para poder frenarlos. En algun momento un cliente recibió una variante de esos ataques (/?0.0xxxx y despues a index) donde llegue a tener 300k PPS solo con esas "visitas falsas" (sin mencionar el trafico normal). Estoy seguro que un buen CCNA/CCNP podría ayudar mucho en cuanto el manejo de TCP para estos servicios.

Pararlos con algun bloqueo de proxy (como skamasle y yo hacemos mayormente) funciona muy bien pero se complica cuando no puedes diferenciar una visita real de una maliciosa y mas porque esto a gran escala lo hacen bots por lo que es algo distribuido.

OVH sirve muy bien con su VAC por el precio que tiene para UDP/TCP convencionales y de algun modo para ataques a las aplicaciones, pero como dice skamasle en cuanto recibes esos ataques donde tienes que estar presente tendrás que ingeniártelas y estar atento de todo porque son muchos factores y posibilidades las que uno tiene que tomar en cuenta para este tipo de ataques que varían en cuestión de minutos.

Me alegra ver que [MENTION=3716]skamasle[/MENTION] tiene una documentación y experiencia parecida.

¡Un saludo!
 

GRUPO ABHOST

Gamma
Verificado por Whatsapp
¡Usuario con pocos negocios! ¡Utiliza siempre saldo de Forobeta!
Desde
12 Ene 2014
Mensajes
292
OVH te protege con ataques de gran escala, pero si hacemos un ataque pequeño.... ahi es donde tendras problemas.
 

jmginer

Épsilon
Verificación en dos pasos activada
¡Ha verificado su Paypal!
¡Usuario con pocos negocios! ¡Utiliza siempre saldo de Forobeta!
Desde
2 Ene 2013
Mensajes
781
Recientemente hemos empezado a trabajar con Voxility como filtro AntiDDoS. Estamos muy contentos con el resultado que obtenemos.
 

hardware

Beta
¡Usuario con pocos negocios! ¡Utiliza siempre saldo de Forobeta!
Desde
30 May 2015
Mensajes
136
Por favor, ten en cuenta 📝 que si deseas hacer un trato 🤝 con este usuario, está baneado 🔒.
el AntiDDOS es por Software o por Hardware, o por ¿Infraestructura?

- - - Actualizado - - -

jajaja estoy viendo a la gente de comunidadhosting en forobeta
falta que también esté datacenter1
 

ezio

No recomendado
¡Usuario con pocos negocios! ¡Utiliza siempre saldo de Forobeta!
Desde
16 Ago 2013
Mensajes
1.488
el AntiDDOS es por Software o por Hardware, o por ¿Infraestructura?

- - - Actualizado - - -

jajaja estoy viendo a la gente de comunidadhosting en forobeta
falta que también esté datacenter1

Si participa [MENTION=41529]Datacenter1[/MENTION]

;)
 
Arriba