سلام
2 تا سرور داریم روی هتزنر که تک سایته یکی site.com یکی dl.site.com
هتزنر هم به دیداس لایه 4 روی ip حساسه
دیداسش نمیتونه سرور رو داون کنه کلا دیداس ip در این حدها نمیتونه داون کنه اما دیتاسنتر آی پی نال میکنه


مثلا ببینید متوجه میشید که ip نال شده اپلود به سرور بالا رفته یهو هتزنر بسته
این برای dl.site.com است


http://up.rzdownload.com/2014/01/1420638770431.png


یک سری اقدام میخوام اجام بدم

چند تا ip گرفتم که اگه مسدود شد آی پی های دیگه باشه که بازم فکر کنم آی پی های دیگه هم بزنه
فقط برای سایت اصلی 4 تا dns با 4 ip مختلف ست میکنم
برای زیر دامنه چطوری ست کنم یک آی پی بسته شد یکی دیگه باشه و سایت داون نشه
یک a record میگیرم به سرور دانلود اونور هم ip رو ست کردم
حالا اونور 4 آی پی ست میکنیم میشه اینور 4 تا رکورد گرفت؟

لایه 7 رو از وبسرور و mysql خوب کانفیگ کردم
لایه 4 خیلی باید قوی باشه تا داون کنه دیتاسنتر بکشه سرورم جواب میده

یک سوال در csf میشه جلوی این مدل دیداس رو گرفت ؟ حدث میزنم لایه 4 باید سخت افزاری جلوگیری بشه نرم افزاری نمیشه جلوش رو گرفت

یک سوال دیگه
کلودفلر تا چقدر پهنای باند میده؟
دانلود از سرور بالاست به مشکل نمیخوریم؟

از کلودفلر استفاده کنید؛ کلود فلر هیچ وقت اجازه نمیده آی پی های سرور خودش دان بشه!
یکی از خوبی هایی کلود فلر اینه که آی پی سرور شما رو مخفی می کنه؛هرچند یه هکر می تونه از راه های مختلفی باز آی پی اصلی رو بدست بیاره ولی میشه محکم کاری کرد؛
کلود فلر هر چند رو لایه 7 ضعیف عمل می کنه(نسخه رایگان) اما همین که آی پی اصلی شما رو مخفی می کنه خودش یه نعمته؛
تمامی ساب دامین ها و رکوردهاتون مثل mail.domain.com و ... رو از کلود فلر فعال کنید.
بعد از اطمینان با سایت های زیر چک کنید و ببینید آی پی اصلی نشون داده میشه یا نه :
Cloudflare IP Resolver - iphostinfo.com (http://iphostinfo.com/cloudflare/)
CloudFlare Resolver (http://exonapps.nl/cfresolver/)
حالا که مطمئن شدید آی پی اصلی از طریق رکورد های دی ان اس لو نمیره باید آی پی فعلیتونو تغییر بدید؛ چون اتکر همین الان هم آی پی شما رو داره!
همچنین از سرور اصلی نمی تونید ایمیل بفرستید؛ فرض کنید یه انجمن دارید و اتکر میاد عضو میشه و براش یه ایمیل ارسال میشه, تو این ایمیل آی پی سرور هست و دوباره آی پی لو میره؛
برای همین برای ارسال ایمیل می تونید از یه وی پی اس به عنوان میل سرور با کمک SMTP استفاده کنید.

از کلودفلر استفاده کنید؛ کلود فلر هیچ وقت اجازه نمیده آی پی های سرور خودش دان بشه!
یکی از خوبی هایی کلود فلر اینه که آی پی سرور شما رو مخفی می کنه؛هرچند یه هکر می تونه از راه های مختلفی باز آی پی اصلی رو بدست بیاره ولی میشه محکم کاری کرد؛
کلود فلر هر چند رو لایه 7 ضعیف عمل می کنه(نسخه رایگان) اما همین که آی پی اصلی شما رو مخفی می کنه خودش یه نعمته؛
تمامی ساب دامین ها و رکوردهاتون مثل mail.domain.com و ... رو از کلود فلر فعال کنید.
بعد از اطمینان با سایت های زیر چک کنید و ببینید آی پی اصلی نشون داده میشه یا نه :
Cloudflare IP Resolver - iphostinfo.com (http://iphostinfo.com/cloudflare/)
CloudFlare Resolver (http://exonapps.nl/cfresolver/)
حالا که مطمئن شدید آی پی اصلی از طریق رکورد های دی ان اس لو نمیره باید آی پی فعلیتونو تغییر بدید؛ چون اتکر همین الان هم آی پی شما رو داره!
همچنین از سرور اصلی نمی تونید ایمیل بفرستید؛ فرض کنید یه انجمن دارید و اتکر میاد عضو میشه و براش یه ایمیل ارسال میشه, تو این ایمیل آی پی سرور هست و دوباره آی پی لو میره؛
برای همین برای ارسال ایمیل می تونید از یه وی پی اس به عنوان میل سرور با کمک SMTP استفاده کنید.


تشکر از توضیحات کامل
مشکل پهنای بانده
این ip مخفی بشه کافیه اصلا دیداس در حدی نیست سرور رو بخوابونه
یک مدل دیداس تابلو روی آی پی مال زمان قل قل میرزا که کلودفلر جلوش رو میگیره یا حداق نمیزاره آی پی بسته بشه
فقط سرور نزدیک 60 ترابایت پهای مصرفی داره
کلودفلر تا چقدر میتونه پهنای باند بده
هاست دانلوده میل نیاز نداره اصلا
پهای باند بالا بده نسخه های دیگش رو هم میخریم
مشکل پهنای باند نبود همین سرویس های کلودپروتکشن شما واسش عالیه

همین که آی پی مخفی باشه اتکر دیگه آی پی نداره که بهش اتک بزنه !
در خصوص پهنای باند هم خود کلود فلر میگه بهنای باند شما را محاسبه نمیکنیم! یعنی همون نا محدود خودمون؛
اما در خصوص هاست دانلود اطلاعی ندارم!

حالا یک سوال
تو کلودفلر a record بگیریم به هاست دوم
آی پی رو مستقیم نشون میده دیگه؟
برای اون چه راهی هست؟
هر 2 سرور از کلودفلر استفاده کنن
تحقیق شده آی پی دیداس نمیشه دامنه دیداس میشه
هر آی پی روی دامنه ست میشه نال میشه

حالا یک سوال
تو کلودفلر a record بگیریم به هاست دوم
آی پی رو مستقیم نشون میده دیگه؟
برای اون چه راهی هست؟
هر 2 سرور از کلودفلر استفاده کنن
تحقیق شده آی پی دیداس نمیشه دامنه دیداس میشه
هر آی پی روی دامنه ست میشه نال میشه
نمی دونم ؛ باید تحقیق کنید ولی سعی کنید از ای پی مستقیم استفاده نشه.

هیچ دیتا سنتری به خاطر حملات رو دامین Http آی پی رو نمی بنده, مطمئن باشید اگه آی پی شما بسته شده اتک لایر 4 رو آی پی داشتید

نمی دونم ؛ باید تحقیق کنید ولی سعی کنید از ای پی مستقیم استفاده نشه.

هیچ دیتا سنتری به خاطر حملات رو دامین Http آی پی رو نمی بنده, مطمئن باشید اگه آی پی شما بسته شده اتک لایر 4 رو آی پی داشتید

لایه 4 است
کلودفلر لایه 4 رو ببنده واسم تا حدودی حالا اگه نسخه تجاریش رو استفاده میکنیم

روی لایه 7 کانفیگم خدا رو شکر خوبه
لایه 4 روتر و اینا رو آسیب میزنه هتزنر شبکش نسبت به ای مدل دیداس جالب نیست مسدود میکنه

بعضی وقت ها قدرتش به 9 گیگ هم میرسه

- - - Updated - - -

متاسفانه بازم ip رو بست

میشه به کلودفلر 2 تا ip داد؟
که اگه یکیش بسته بود اون یکی فعال باشه؟

اینطوری ادامه داشته باشه فایروال سخت افزاری میخواد

اینطوری ادامه داشته باشه فایروال سخت افزاری میخواد


عرض سلام و ادب:53:
دوست و همکار گرامی جناب raminramz

ببینید جهت مقابله با DDOS صرفا داشتن یک فایروال سخت افزاری مهم نیست بلکه مهم تر از آن میزان پهنای باند شماست.
دیتاسنتر Hetzner به میزان 200Mbps برای شما پهنای باند گارانتی نموده است اگر میزان اتک شما در عموم زمان ها بیش از 200Mbps باشد در اینصورت آیپی شما را قطع می کند. این قطع کردن به دلیل آسیب به روتر ها و سوییچ های دیتاسنتر نمی باشد بلکه به این دلیل است که اگر قرار باشد ترافیک 500Mbps به صورت 24x7 به سمت سرور شما بیاید آنگاه میزان پهنای باند شما خیلی بیشتر از 30TB ارائه شده می شود، آنگاه آیا شما حاضر به پرداخت هزینه مازاد آن هستید؟؟؟ شاید بگویید بله اما وقتی میزان ترافیک به 2Gbps هم برسد آیا باز حاضرید هزینه ماهانه 2Gbps را به صورت Full CAP که هزینه ای تقریبا در حدود 1500$ تا 2000$ دارد پرداخت نمایید؟؟؟
راه درست و منطقی مقابله با DDOS افزایش پهنای باند هست یعنی اگر حمله 300Mbps هست شما 500Mbps گارانتی پهنای باند داشته باشید تا شبکه سرور شما با اختلال مواجه نشود.
اما اگر امکان افزایش پهنای باند برای شما وجود ندارد بهترین راه NULL ROUTE کردن آیپی در شبکه BGP می باشد که این کار صرفا از طریق دیتاسنتر امکان پذیر است و دیتاسنتر ها معمولا چنانچه حمله DOS باشد، آیپی حمله کننده و چنانچه حملات DDOS باشد آیپی مقصد را NULL ROUTE یا اصطلاحا Black Hole می نمایند.
تمام فایروال های سخت افزاری ابتدا ترافیک را دریافت می کنند و سپس متناسب با Rule های تنظیم شده ترافیک را DROP می نمایند و این "دریافت ترافیک" یعنی باز هم از پهنای باند شما استفاده می شود و دیتاسنتر هتزنر آن را از 20TB ماهیانه کم می کند. یعنی در حالت فعلی اگر میزان حملات شما 200Mbps باشد و دیتاسنتر هتزنر IP شما را قطع نکند و شما هم یک فایروال سخت افزاری خیلی خوب داشته باشید باز هم چون پهنای باند شما 200Mbps است آنگاه تمام ترافیک ورودی شامل حملات شده و توسط فایروال DROP می شوند و عملا هیچ ترافیکی به سرور نخواهد رسید چون پهنای باند شما صرف 200Mbps است که همه اش شده حملات!!!
از فایروال های سخت افزای جهت جلوگیری از انتقال حملات به سرور ها استفاده می کنند یعنی اگر شما 500Mbps پهنای باند دارید آنگاه با داشتن یک فایروال سخت افزاری میتوانید جلوی اون 300Mbps حمله را بگیرید تا به سمت سرور نیامده و سرور پردازش سنگین نداشته تا با اختلال مواجه نشود. اما باز یادتان باشد در انتهای ماه باید هزینه پهنای باند 300Mbps حمله را نیز پرداخت کنید چون فایروال شما آن را دریافت و سپس DROP کرده است.

از تمام حرف هایم سه نتیجه می شود گرفت!!!
1- اولین قدم در مقابله با DDOS افزایش پهنای باند هست.
2- Hardware Firewall != Anti-DDOS Solution
3- اگر امکان افزایش پهنای باند ندارید تنها راه حل ممکن NULL ROUTE است.

چنانچه در صحبت هایم ایرادی وجود دارد، خوشحال می شوم آن را بازگو فرمایید.
متشکرم;)

لایه 4 است
کلودفلر لایه 4 رو ببنده واسم تا حدودی حالا اگه نسخه تجاریش رو استفاده میکنیم

روی لایه 7 کانفیگم خدا رو شکر خوبه
لایه 4 روتر و اینا رو آسیب میزنه هتزنر شبکش نسبت به ای مدل دیداس جالب نیست مسدود میکنه

بعضی وقت ها قدرتش به 9 گیگ هم میرسه

- - - Updated - - -

متاسفانه بازم ip رو بست

میشه به کلودفلر 2 تا ip داد؟
که اگه یکیش بسته بود اون یکی فعال باشه؟

اینطوری ادامه داشته باشه فایروال سخت افزاری میخواد

نیاز به کلود فلر تجاری نداری؛ رو همین نسخه رایگان فقط بتونی آی پی اصلی رو مخفی کنی مشکلی نداری؛ از یه طریقی آی پی اصلی سرورت لو میره؛ اکثرش به دلیل همون ارسال ایمیل هست؛ اون مورد و بررسی کردید؟ ایمیل از سرور برای اتکر ارسال نمیشه؟

نیاز به کلود فلر تجاری نداری؛ رو همین نسخه رایگان فقط بتونی آی پی اصلی رو مخفی کنی مشکلی نداری؛ از یه طریقی آی پی اصلی سرورت لو میره؛ اکثرش به دلیل همون ارسال ایمیل هست؛ اون مورد و بررسی کردید؟ ایمیل از سرور برای اتکر ارسال نمیشه؟

هاست دانلوده ایمیل ارسال نمیشه

از دامنه میزنه جالبه

فقط ip که روی دامنه هست نال میشه
بقیه چیزی نمیشه
اگه لو بره باید تک تک رو بزنه ببنده تا به اصلی برسه
توی کلودفلر این پکت ها ثبت شده یعنی از دامنه میزنه

تو خود کلود فلر یه گزینه داره مثل Under attack اونو فعال کن