Quale IP / client viene eliminato?

2

Al momento ho dei piani di hosting Vps e condivisi con alcuni provider di hosting. Recentemente uno dei miei account di hosting condiviso è stato sospeso a causa di un attacco denial of service. Ho capito perché dovevano sospendere l'account ecc. Ma quello che mi incuriosiva era come facevano a sapere quale sito web era la vittima? È su un server condiviso e con una grande azienda, quindi so per certo che ci sono numerosi siti che condividono tutti un IP e un server.

Comprendo il concetto di monitoraggio del traffico, ma ovviamente non ho mai visto il monitoraggio di un server scalabile di grandi dimensioni condiviso da più persone.

Grazie mille per qualsiasi input.

    
posta John 25.09.2013 - 09:54
fonte

2 risposte

4

Gli attacchi DDoS (Distributed Denial of Service) sono quasi identici agli attacchi DoS (Denial of Service) più comuni, con una delle principali differenze nell'essere DDoS, beh, distribuito. Ciò significa però che l'attaccante (s) utilizzerà più sedi come fonte dei loro attacchi alla tua infrastruttura, ma ancora più importante, proprio come con gli attacchi DoS, l'attaccante (s) tenterà in entrambi i casi di esaurire le risorse dell'infrastruttura . Questo è dove lo stand DDoS e DoS potrebbe essere lo stesso, ed è importante capire.

Quindi esaurendo le risorse dell'infrastruttura. Cosa potrebbe significare e come farebbe un aggressore? Risulta che ci sono molti modi per far sì che i server e le altre apparecchiature di rete abbiano più lavoro nel preparare e rispondere a richieste esterne, piuttosto che l'impostazione propria (distribuita o meno) dell'autore dell'attacco. Quindi è qui che l'attaccante si avvantaggia: è meno per lui a inviare richieste, piuttosto che a rispondere a loro. Dato abbastanza attacco errore con qualsiasi mezzo, un avversario più strong (DoS), o molti più deboli ma maggiori in numero (DDoS), le risorse del tuo server saranno esaurite e causeranno la negazione del servizio a qualsiasi altro, legittimo traffico. Alcune di queste tecniche sarebbero riconducibili al singolo host virtuale che risponde su una determinata posizione HTTP (S), mentre altre potrebbero indirizzare l'infrastruttura più direttamente e su livelli più bassi, forse il livello di trasporto stesso abusando dei protocolli di rete, causando troppi risposte da richiedere rispetto a quelle che l'infrastruttura può gestire.

Ecco qui due indizi:

  • L'attacco DDoS che il tuo provider ha menzionato doveva essere nello stack di alto livello che identificava un server virtuale nelle sue richieste, come ad esempio nello stack HTTP (S) e nella richiesta di URL che puntavano al tuo server virtuale, e
  • Qualunque sia la risorsa richiesta continuamente, il server su cui è stato ospitato l'host virtuale esaurisce le risorse preparando una risposta. Questo potrebbe essere il numero di risorse del tuo server VPS con una quantità limitata di, o una qualsiasi delle loro combinazioni, come la quota di storage locale, la memoria del sistema, i cicli della CPU, e.t.c.

Questo potrebbe sembrare chiaro, ma sopportare me, perché non è nel tuo caso. Ecco la cosa; Hai menzionato che hai ospitato il tuo sito web su un VPS (Virtual Private Server), quindi in teoria tutte le risorse che il tuo server VPS avrebbe potuto esaurire non dovrebbero aver tradotto problemi con altri VPS sullo stesso hardware fisico che li ospita (ad es. essere una macchina virtuale e isolata da qualsiasi altra VM) e hai effettivamente pagato al tuo fornitore una commissione mensile per utilizzare tutte quelle risorse a tuo piacimento, purché tu rispetti i loro ToS (Termini di servizio). E per qualsiasi tentativo di DDoS di avere un obiettivo direttamente identificabile su questo stack VPS / VM, le loro richieste dovrebbero essere sullo stack più alto in realtà richiedendo un dominio di rete (diciamo che era sul protocollo HTTP (S), che renderebbe gli URL quindi, per il gusto dell'argomentazione) e includendo informazioni sufficienti per consentire all'host della macchina virtuale di decidere a quale client VM (il tuo VPS) reindirizzare le richieste.

Quindi abbiamo questo enigma di / o:

  • Se le richieste problematiche erano sullo stack HTTP (S) e inclusi gli URL di richiesta identificabili, allora questo non dovrebbe causare problemi al tuo host VPS, ma esaurirebbe le tue risorse VPS, qualcosa che stavi pagando comunque, e
  • Se le richieste problematiche si trovavano in basso, livello di rete sullo stack TCP / IP, allora non sarebbero necessariamente (e perché dovrebbero?) includere nei pacchetti di richiesta informazioni su quale specifico client VPS puntassero.

Quindi questo può essere risolto solo in due modi:

  • Il tuo VPS era in realtà l'unica VM ospitata sullo stesso indirizzo IP e il tuo provider poteva concludere che i tuoi servizi erano un obiettivo di attacco DDoS in questo modo, o
  • Il tuo provider VPS è pieno di s ***

Molto probabilmente, però, non saprai mai quale delle due opzioni è realmente il caso. Se per ora è tutto uguale a te, puoi inserire il tuo IP e il nome di dominio nei commenti qui sotto, e controllerò se ci sono delle indicazioni conclusive da reperire nei vari database / risorse su Internet quale dei due le opzioni potrebbero essere più probabili, ma a meno che non si ottenga una divulgazione completa da parte di chiunque abbia accesso diretto al server fisico in questione, rimarrà un mistero. Spetta a te decidere, se puoi gestire tali incognite e quanto sei disposto a pagare mensilmente per avere questo servizio, ma so quale percorso scegliere. Sto solo dicendo ...;)

    
risposta data 25.09.2013 - 11:57
fonte
0

Potresti scoprire che in realtà hanno sospeso tutti gli account su quel server anziché solo il tuo.

Tuttavia, se è stato sospeso solo il tuo, allora si può presumere che i registri contengano il nome di dominio a cui tutte le connessioni stavano inviando i pacchetti.

xxx.xxx.xxx.xxx - - [25/Sep/2013:06:19:12 +0000] "GET /robots.txt HTTP/1.1" 200 44 "http://continueliterate.com/robots.txt" "Mozilla/5.0 (Windows NT 6.1; WOW64; rv:23.0) Gecko/20100101 Firefox/23.0"

In questo modo, potevano facilmente identificare quale account era associato a quel nome di dominio e quindi chiudere quell'account.

    
risposta data 25.09.2013 - 10:18
fonte

Leggi altre domande sui tag