Zabezpieczenie serwera www przed DDOS

[rakoo]

Witam,
jestem w trakcie pisania strony internetowej w php.
W jednym z modulow uzywam funkcji fsock do sprawdzania czy jedna z uslug localhostowych jest otwarta.

Ostatnio mialem okazje zobaczyc jak latwo ktos moze zDOSowac moj serwer i niebardzo wiem jak sie przed tym bronic.
Serwer www zostal sparalizowany i nie moglem wejsc na strone nawet przez localhost.

Czy wina lezy po stronie skryptow np tego wykorzystujacego fsock, konfiguracji Apache czy czegos innego?

Ruch do serwera mam przekierowany na routerze jedynie na port 80. Router (TPLINK WR543G) ma wbudowany jakis filtr DDOS ale czytajac kilka artykulow w sieci na temat tego typu atakach, watpie w jego skutecznosc.

Jest jakas dobra, prosta metoda aby sie przed tym bronic?
Jakimi programami/metodami moglbym potem w razie czego przetestowac rozwiazania sam siebie atakujac?

Z gory dziekuje za odpowiedz

[TQM]

Pytanie czy ktos zapchal lacze czy zatkal serwer mala iloscia requestow ale takich ktore trwaja dosc dlugo?
Jaki masz serwer WWW, jak skonfigurowany (php, moduly, dispatcher), jaki OS, czy kod PHP uzywa baz danych, jakie bylo obciazenie systemu w momencie gdy atak byl w toku (CPU i RAM w procentach na przyklad)?

Na podstawie tego co napisales nie mozna nic zasugerowac bo nic nie wiadomo...

[cyber_pl]

1. sprawdzanie ilości wywołań z danego zakresu ip w aplikacjach webowych.

2. modyfikacje webserwera np:

Using mod_evasive for Blocking HTTP DoS Attacks - IT & Security Portal

3. dobre reguły firewalla maszyny, upuszczanie wszystko co tylko możliwe co nie wchodzi w zakres usług danej maszyny.

Preventing Distributed Denial of Service Attacks - O'Reilly Media

4. optymalizacje wywołań sql do baz danych, stosowanie weryfikacji wykonywanych akcji np poprzez captche.

5. dobry kontakt z dostawcą łącza sieciowego który potrafi upuszczać całe podsieci przed swoimi klientami.

[TQM]

#2 - fajny link ale sa ataki na ktore mod_evasive nie poradzi i do tego przejda ladnie przez firewall, trafia serwer, pozamiataja :-(
#3 - forward portu 80 - inne ustawienia firewalla na hoscie maja ograniczony sens delikatnie mowiac bo i tak tylko 80 dziala, reszte routerek bierze na siebie... link nie ma wielkiego sensu (jego zawartosc) bo dotyczy sytuacji gdy host ma proste wpiecie w siec a nie port forwarding
#5 - to nie w sytuacji gdy uzywasz takich routerkow... bo uzywajac takich routerkow nie jestes jakims duzym firmowym klientem wiec nie dostaniesz wiele wsparcia od ISP :-(

ja sadze ze to nie problem z laczem ale czysto z aplikacja i trafieniem w czuly punkt serwera (autor napisal ze strona nie odpowiadala nawet na localhost) wiec poczekajmy na wypowiedz autora - serwer, OS, konfiguracja, itd - inaczej robimy zgadywanke

[rakoo]

Konfiguracja:
Windows XP
MSSQL SERVER 2000
XAMPP SERVER (Apache, PHP)
Jezeli to ma wieksze znaczenie, to dodam ze to komunikacji z baza uzywam PHP Data Objects (PDO)

Firewalla na komputerze serwerowym brak - posluzylem sie routerem i samym przekierowaniem portu 80

z gory mowie ze musi to byc windows

Windows XP podaje ogolnikowo, poniewaz problemy wystepowaly tak samo na roznych wersjach.
Najwieksze zapytania do bazy to wyciaganie 100 z okolo 1000 rekordow, ale problemy wystepowaly, gdy bylo lacznie w sumie ok 200 rekordow, wiec wydaje mi sie ze nie tutaj tkwi problem.

Podejrzewam, ze nie chodzi o konkretny atak DDOS, poniewaz ten z tego co czytalem wymaga jakiegos tam doswiadczenia, a osoba, ktora atakowala (powiedzmy niezbyt wylewny znajomy, znajomego) odpalil jakiegos zwyklego nukera (znajomy mowil ze wpisuje ip, port i start).

Kontakt z providerem odpada - jest to niezbyt rozgarniete UPC.

[fubu]

mysql jest na apachu ? limity polaczen sql mogą cie uciąc bardziej niz sam ddos, jesli routerek wykrył httpddos to ktoś cie floodził nagłówkami http, czyli udawał browsera, napsz skrypt do sprawdzania tak jak google czy zbyt dużo nagłówków w zbyt krótkim czasie nie leci z 1 ip , jesli tak to je wycinaj na firewallu i bedzie z główy, przed ddosem sie nie zabezpieczyz 100 %, każdy ma własne pomysły i metody na zabezpieczenie się ale żadna puki co nie zdała skutków, tak od siebie powiem że przy ddosie z 20 maszyn onet kładzie się odrazu. (syn flood + ack z kaitenów)

[TQM]

Z tego co widze w google to XAMPP uzywa mpm-worker, ktory dziala na watkach... a apache watkowy jest podatny na pewien bardzo prosty i cholernie skuteczny atak... zmien w konfiguracji serwera na mpm-prefork i bedzie po sprawie :]
Niestety zespol Apache stwierdzil ze to poprawne zachowanie i nie planuje poprawy implementacji wiec watkowy apache jest dla samobojcow jedynie

[rakoo]

fubu:
uzywam MSSQL a nie MySQL

TQM:
sprobuje

[lame]

#5 - to nie w sytuacji gdy uzywasz takich routerkow... bo uzywajac takich routerkow nie jestes jakims duzym firmowym klientem wiec nie dostaniesz wiele wsparcia od ISP :-(

To taki dostawca powinien iśc do pudła razem z gościami co przeprowadzili te ataki.
Nie może być tak, że jak nie masz dużo pieniedzy to zostajesz sam z problemem bycia ofiarą jakiegoś przestępstwa czy to w sieci czy gdziekolwiek indziej.
Nie można iść z tymi popaprańcami (atakującymi) na pokazaywanie kto ma większe muskuły

Bez kompleksowej wiedzy nie będziesz w stanie zabezpieczyć swojej infrastruktury, aby stworzyć zabezpieczenie, musisz przemyśleć każdy możliwy wektor ataku (a raczej każdy o którym nie zapomnisz, potem jednym z nich dostaniesz haka, ale to inna hisotira )


W zależności od intencji Twojego pytania:
- chcesz sam wykonac takie zabezpiecznei i posiadasz już jakąś wiedzę
- nie masz wiedzy i tylko tak sobie pytasz, chcesz sie poduczyc
- masz kase i chcesz zlecić wykonanie i wdrożenie zabezpieczeń

Odpowiedanio:
- powodzenia
- powodzenia
- zapraszam do działu giełda


Pozdowienia

[TQM]

To taki dostawca powinien iśc do pudła razem z gościami co przeprowadzili te ataki.
Nie może być tak, że jak nie masz dużo pieniedzy to zostajesz sam z problemem bycia ofiarą jakiegoś przestępstwa czy to w sieci czy gdziekolwiek indziej.

Chodzi mi o to, ze ile placisz, tyle dostajesz. Jesli masz lacze firmowe (za cene dla firm) to mozesz na cos liczyc, jak masz lacze 'domowe' i odpowiednio dopasowana cene 'dla domu' to to przeklada sie na to co dostajesz.

Nie można iść z tymi popaprańcami (atakującymi) na pokazaywanie kto ma większe muskuły

Oczywiscie, to nie ma sensu bo jak ktos sie przylozy to i tak zatka...

Problem w tym ze mozesz miec DDoS dokopujacy aplikacji a nie zatykajacy lacza... jednak serwer przestaje odpowiadac. ISP nie widzi nic praktycznie i implementacja jakiegos filtrowania po stronie ISP to ogromny koszt. Jesli masz lacze 'domowe' i stawiasz tam serwer... to w pierwszej kolejnosci mozesz uslyszec ze powinienes miec do tego inne lacze a jak chcesz na domowym to musisz sobie radzic sam i tutaj sie zgodze. Jak stawiasz cos powazniejszego to juz nie rob jaj i wykup sobie jakis hosting...

Drugi rodzaj DDoSu to zatkanie lacza (syn-flood, http-flood, itp). Nie zdziw sie ale ISP tez moze powiedzec ze nic nie widzi... Ja mialem nie tak dawno DDoS okolo 200mbit/sek i to samych pakietow SYN, nie mowiac juz o niczym wiecej... wygenerowanie 200mbit/sek pakietow SYN to jednak troche jest, choc i tak niewiele (widzialem DDoSy wielkosci 40gbit/sek), wiec zadzwonilem do ISP i mowie ze dostajemy 200mbit pakietow SYN i czy moze to odfiltrowac jakos...

... w odpowiedzi uslyszalem 'Sorry, Wasze 200mbit jest u mnie na poziomie szumu ktorego nie jestem w stanie odfiltrowac. Gdybyscie mieli okolo 1-2gbit to moglibysmy rozmawiac'.

Badzmy wiec realistami - DDoS to cholerstwo ktore bardzo ciezko zatrzymac, obrona slono kosztuje albo wymaga ogromnej wiedzy i doswiadczenia.

P.S.
Sa firmy ktore robia obrone przed DDoS'ami - nie podaje nazw bo nie o to chodzi - ale ceny ktore maja powalaja na kolana... Zakladajac ze odfiltrowany ruch bedzie max 2mbit/sek (nie wazne ile DDoS na wejsciu ma) za ustawienie filtra w ciagu 24h zaplacisz &#163;22.5tys, jesli odpowiada Ci ustawienie filtra w ciagu 24-48h to zaplacisz cos kolo &#163;9.5tys i oczywiscie dalej placisz za usluge... &#163;8.3k za kazdy miesiac z ruchem <2mbit/sek. Ceny oczywiscie netto. POWODZENIA :]