|
| Дата |
|
USD/RUB | 90.1887 | BTC/USD | 67406.2244 |
|
|
|
Хостинг и железо Обсуждаем вопросы хостинга и железа. |
09.02.2019, 20:50
|
#1
|
Mamber
Регистрация: 28.12.2010
Адрес: Green Street
Сообщений: 3,197
Бабло: $478630
|
Настройка Cloudflare от DDOS
Я раньше был наивен. Думал, что врубаешь Under Attack и сидишь на заборе спокойно, типа атака отбивается.
Оказалось, что нифига.
Атака вроде прекратилась, но мудак накатывает раз в сутки, ддосит час...
Вбил банковскую карту в разделе Rate Limiting. Кто может скинуть адекватные настройки рейт лимитинга? Чтобы гуглоботы не страдали и юзеры.
И вообще какие есть еще варианты и возможности отбивать атаки клаудом?
|
|
|
09.02.2019, 20:55
|
#2
|
Хитрожопый
Регистрация: 15.07.2008
Сообщений: 599
Бабло: $93800
|
Думаю, admin может рассказать как вообще живется за клаудфларой в условиях DDoS ))
|
|
|
09.02.2019, 21:23
|
#3
|
Аццкий хостер
Регистрация: 02.05.2007
Адрес: Таиланд, Пхукет
Сообщений: 3,651
Бабло: $1733930993
|
Нужно для начала заблокировать любые коннекты к серверы, оставив разрешенными только сети CF.
Затем нужно убедиться, что IP твоего сервера не утекает в сеть через DNS записи, MX и просто через отправку писем (SMTP host)
Затем на всякий случай изменить IP адрес.
Ну и включить Under attack. Rate лимит не особо помогал в свое время, нужно играться и подбирать параметры под себя.
__________________
Inferno Solutions: Выделенные серверы и VPS с абсолютно бесплатным администрированием. Более 13 лет с вами. Любые конфигурации под заказ.
|
|
|
09.02.2019, 21:25
|
#4
|
Хитрожопый
Регистрация: 15.07.2008
Сообщений: 599
Бабло: $93800
|
Цитата:
Сообщение от inferno[DGT]
Нужно для начала заблокировать любые коннекты к серверы, оставив разрешенными только сети CF.
|
Брать отсюда для IPv4 (и отсюда для IPv6), верно?
|
|
|
09.02.2019, 21:39
|
#5
|
Mamber
Регистрация: 28.12.2010
Адрес: Green Street
Сообщений: 3,197
Бабло: $478630
ТС -->
|
ТС
Цитата:
Сообщение от inferno[DGT
]Ну и включить Under attack. Rate лимит не особо помогал в свое время, нужно играться и подбирать параметры под себя.
|
Я просто прочитал тут их статью
https://support.cloudflare.com/hc/en...-Rate-Limiting
Типа они сами понимают, что under attack не всегда может выручить. Ибо кто бы им бабло платил, в случае если бы это 100% работало.
Меня ддосят не по IP. Смотрю логи апача... тупо долбят сайт POST запросами, потом GET запросами, потом определенный урл.
Т.е. там не стали вникать и искать реальный IP сайта\сервера.
От пост запросов и прочей хери помогает их Firewall
А вот остальное, как то проникает
|
|
|
09.02.2019, 22:31
|
#7
|
сыроед
Регистрация: 01.10.2015
Сообщений: 15,876
Бабло: $1862785
|
L7 самый сладкий, поскольку именно на этом уровне плечо атаки (соотношение ресурсов затраченных атакующим к ресурсам потребленным жертвой) может достигать астрономических величин.
Цитата:
netstat -an|grep ESTABLISHED|wc -l кол-во установленных подключений
netstat -an|grep ESTABLISHED>connections.log
cat connections.log
Вы увидите на экране все активные соединения с сервером. Выберите такой IP адрес, который имеет (на глаз) максимальное количество соединений с вашим сервером
|
https://forum.nic.ru/showthread.php?t=937
|
|
|
09.02.2019, 22:48
|
#8
|
Mamber
Регистрация: 28.12.2010
Адрес: Green Street
Сообщений: 3,197
Бабло: $478630
ТС -->
|
ТС
веломан, по логам ипов дохера
Как я понял Андэ Атак по дефолту пропускает гуглобота и ботов из их вайтлиста. А вот правила фаервола нихера. Т.е. если вы сделаете правило блочить\делать Js challenge для всех стран, кроме России. То вы таким образом локните гуглоботов или на жсчеллендж их пошлете.
|
|
|
10.02.2019, 05:00
|
#9
|
Аццкий хостер
Регистрация: 02.05.2007
Адрес: Таиланд, Пхукет
Сообщений: 3,651
Бабло: $1733930993
|
Цитата:
Сообщение от Lord_Alfred
Цитата:
Сообщение от inferno[DGT]
Нужно для начала заблокировать любые коннекты к серверы, оставив разрешенными только сети CF.
|
Брать отсюда для IPv4 (и отсюда для IPv6), верно?
|
Все верно
Цитата:
Сообщение от mamba
Цитата:
Сообщение от inferno[DGT
]Ну и включить Under attack. Rate лимит не особо помогал в свое время, нужно играться и подбирать параметры под себя.
|
Я просто прочитал тут их статью
https://support.cloudflare.com/hc/en...-Rate-Limiting
Типа они сами понимают, что under attack не всегда может выручить. Ибо кто бы им бабло платил, в случае если бы это 100% работало.
Меня ддосят не по IP. Смотрю логи апача... тупо долбят сайт POST запросами, потом GET запросами, потом определенный урл.
Т.е. там не стали вникать и искать реальный IP сайта\сервера.
От пост запросов и прочей хери помогает их Firewall
А вот остальное, как то проникает
|
Я уже писал, что рейт лимит работает хреново, при крупных атаках сервер сильно напрягался, так как атака была на приложение. Приходилось сидеть в консоли, смотреть подсети и банить их дополнительно через iptables + заблокировать через CF доступ с определенных стран. То есть без ручек, нажатием пары волшебных кнопок магии не случится. В принципе с DDoS атаками всегда так. Нет волшебной кнопки "Защитить от всех атак"
__________________
Inferno Solutions: Выделенные серверы и VPS с абсолютно бесплатным администрированием. Более 13 лет с вами. Любые конфигурации под заказ.
|
|
|
10.02.2019, 12:13
|
#10
|
Senior Member
Регистрация: 12.07.2009
Сообщений: 1,581
Бабло: $361075
|
mamba, может тебя не ддосят, а парсят?))) это меняет подход к защите.
|
|
|
|