Cześć,
znajoma organizacja pozarządowa uruchamia stronę akcji, która najprawdopodobniej będzie skutkować DDoSem i próbami włamania na tąż stronę.
Poprosili o pomoc w zabezpieczeniu się przed taką ewentualnością. Niestety, nie ma na to budżetu.
Strona (niestety) jest na Wordpressie, ale (na szczęście) z punktu widzenia Jasia Odwiedzającego jest w zasadzie statyczna -- nie ma komentarzy, są tylko wpisy odredakcyjne.
Myślę o:
[ serwer gdzieś ] ---> [serwer pod domeną akcji] <---> [świat] [nginx + wordpress] ---> [ reverse caching proxy ] <---> [świat]
Serwer pod domeną akcji byłby wyłącznie reverse caching proxy, czyli w zasadzie serwowanie totalnie statycznego contentu. Im bardziej go ustatycznimy, tym (jak sądzę) lepiej. Psiakośc, może nawet wget spider czy coś raz na godzinę, by ruch na stronie nie przekładał się w zasadzie w ogóle bezpośrednio na ruch na "backendzie"?
Oczywiście backendowy wordpress dostępny wyłącznie dla redakcji, po jakimś VPNie najlepiej; żadnej możliwości dostania się na niego ze strony akcji.
Z punktu widzenia serwera pod domeną akcji, serwer backendowy jest wyłącznie read-only.
Bardzo potrzebuję Waszych sugestii, czego użyć, jak to najsensowniej zrobić, i o czym jeszcze zapominam.
Może: https://wordpress.org/plugins/really-static/? (nie testowałem)
I potem wrzucać to do jakiegoś CDNa typu Amazon Cloud Front - Jak ktoś w wyniku protestu przeciwko akcji zabije amazona to szacunek :)
Pozdrawiam, v
2015-03-17 20:11 GMT-07:00 rysiek rysiek@hackerspace.pl:
Cześć,
znajoma organizacja pozarządowa uruchamia stronę akcji, która najprawdopodobniej będzie skutkować DDoSem i próbami włamania na tąż stronę.
Poprosili o pomoc w zabezpieczeniu się przed taką ewentualnością. Niestety, nie ma na to budżetu.
Strona (niestety) jest na Wordpressie, ale (na szczęście) z punktu widzenia Jasia Odwiedzającego jest w zasadzie statyczna -- nie ma komentarzy, są tylko wpisy odredakcyjne.
Myślę o:
[ serwer gdzieś ] ---> [serwer pod domeną akcji] <---> [świat] [nginx + wordpress] ---> [ reverse caching proxy ] <---> [świat]
Serwer pod domeną akcji byłby wyłącznie reverse caching proxy, czyli w zasadzie serwowanie totalnie statycznego contentu. Im bardziej go ustatycznimy, tym (jak sądzę) lepiej. Psiakośc, może nawet wget spider czy coś raz na godzinę, by ruch na stronie nie przekładał się w zasadzie w ogóle bezpośrednio na ruch na "backendzie"?
Oczywiście backendowy wordpress dostępny wyłącznie dla redakcji, po jakimś VPNie najlepiej; żadnej możliwości dostania się na niego ze strony akcji.
Z punktu widzenia serwera pod domeną akcji, serwer backendowy jest wyłącznie read-only.
Bardzo potrzebuję Waszych sugestii, czego użyć, jak to najsensowniej zrobić, i o czym jeszcze zapominam.
-- Pozdrawiam, Michał "rysiek" Woźniak
Zmieniam klucz GPG :: http://rys.io/pl/147 GPG Key Transition :: http://rys.io/en/147 _______________________________________________ General mailing list General@lists.hackerspace.pl https://lists.hackerspace.pl/mailman/listinfo/general
W dniu 18.03.2015 o 06:08, Maciej Sawicki pisze:
I potem wrzucać to do jakiegoś CDNa typu Amazon Cloud Front - Jak ktoś w wyniku protestu przeciwko akcji zabije amazona to szacunek :)
Wszystko spoko, tylko przy DDoS-ie zapłacisz jak za woły :)
On 18.03.2015 04:11, rysiek wrote:
Cześć,
znajoma organizacja pozarządowa uruchamia stronę akcji, która najprawdopodobniej będzie skutkować DDoSem i próbami włamania na tąż stronę.
O rety, powiedz chociaż jaka to jest kategoria działań, bo nie mogę sobie wyobrazić jaki temat wywołuje (w Polsce?) taką ostrą reakcję? (scriptkiddies z kibice.net ?)
Weganie? Cykliści? LGBT? #PapieżJestChomikiem? #SexshopDlaKobiet?
pzdr,
Cloudflare?
On Wed, Mar 18, 2015, 08:56 Marcin Koziej marcin@cahoots.pl wrote:
On 18.03.2015 04:11, rysiek wrote:
Cześć,
znajoma organizacja pozarządowa uruchamia stronę akcji, która najprawdopodobniej będzie skutkować DDoSem i próbami włamania na tąż
stronę.
O rety, powiedz chociaż jaka to jest kategoria działań, bo nie mogę sobie wyobrazić jaki temat wywołuje (w Polsce?) taką ostrą reakcję? (scriptkiddies z kibice.net ?)
Weganie? Cykliści? LGBT? #PapieżJestChomikiem? #SexshopDlaKobiet?
pzdr,
-- Marcin Koziej
University of Warsaw Ϟ Akcja Demokracja Ϟ Radiofonia Ϟ Moko Velo Coop New GPG key: http://koziej.cahoots.pl/gpg/ Twitter: @movonw
General mailing list General@lists.hackerspace.pl https://lists.hackerspace.pl/mailman/listinfo/general
Dnia środa, 18 marca 2015 08:14:14 TeMPOraL pisze:
Cloudflare?
Moar info. Nie mam doświadczenia z CloudFlare, a organizacja nie ma budżetu. Jak to się razem kompiluje?
Dnia środa, 18 marca 2015 08:56:36 Marcin Koziej pisze:
On 18.03.2015 04:11, rysiek wrote:
Cześć,
znajoma organizacja pozarządowa uruchamia stronę akcji, która najprawdopodobniej będzie skutkować DDoSem i próbami włamania na tąż stronę.
O rety, powiedz chociaż jaka to jest kategoria działań, bo nie mogę sobie wyobrazić jaki temat wywołuje (w Polsce?) taką ostrą reakcję? (scriptkiddies z kibice.net ?)
Weganie? Cykliści? LGBT? #PapieżJestChomikiem? #SexshopDlaKobiet?
Nie w Polsce. Can't say more na razie.
rysiek pisze:
Cześć,
znajoma organizacja pozarządowa uruchamia stronę akcji, która najprawdopodobniej będzie skutkować DDoSem i próbami włamania na tąż stronę.
Poprosili o pomoc w zabezpieczeniu się przed taką ewentualnością. Niestety, nie ma na to budżetu.
Jak często strona będzie aktualizowana przez autorów? Nie myślałeś o opcji ze static site generatorem?
Generalnie to #chamskareklama http://pidpawel.eu/post/this-site-is-not-powered-by-wordpress.html
Dnia środa, 18 marca 2015 09:39:42 pidpawel pisze:
rysiek pisze:
Cześć,
znajoma organizacja pozarządowa uruchamia stronę akcji, która najprawdopodobniej będzie skutkować DDoSem i próbami włamania na tąż stronę.
Poprosili o pomoc w zabezpieczeniu się przed taką ewentualnością. Niestety, nie ma na to budżetu.
Jak często strona będzie aktualizowana przez autorów? Nie myślałeś o opcji ze static site generatorem?
Rzadko. Ale stronę w Wordpressie już mają i nie chcą jej przepisywać na coś innego.
Generalnie to #chamskareklama http://pidpawel.eu/post/this-site-is-not-powered-by-wordpress.html
Thx, interesting.
Niestety nie ma dobrej, taniej obrony przed DDoS - przynajmniej na tyle, na ile mi wiadomo.
Cloudflare, nawet darmowy plan, powinien Cie w minimalnym stopniu zabezpieczyć.
Alternatywnie wygeneruj całą stronę/bloga statycznie i wrzuć na solidnego CDNa, tak że nic nie będzie stać na Twoim serwerze :).
W dniu 18.03.2015 o 10:23, Sergiusz 'q3k' Bazański pisze:
Cloudflare, nawet darmowy plan, powinien Cie w minimalnym stopniu zabezpieczyć.
Różnie to bywa... Na darmowym planie w przypadku DDoS-u/większego ruchu odpinają i nagle się okazuje, że domena resolvuje do oryginalnego IP (dobra metoda żeby poznać oryginalny serwer to tak btw) więc w sumie ciężko tutaj mówić o ochronie przed DDoS-em :D
$200 to naprawdę nie majątek (o ile strona zarabia) a pozwala przerzucać miesięcznie TB danych ;))) Aczkolwiek muszę przyznać szczerze, CF wcale jakiś mega mocny nie jest. Potrafił się czasami zapchać (serwer oryginalny odpowiadał bez problemu, przez CF requesty szły po 3-6s. Wychodzi jednak najlepiej pod względem jakość/cena.
Zatem jak strona niekomercyjna to cisnąć na CF free, ale trzeba liczyć się z tym, że może być przykra niespodzianka. Jak komercyjna to zapłacić $200 i święty spokój (póki CF nie padnie).
Dnia środa, 18 marca 2015 12:21:17 Tadeusz Magura-Witkowski pisze:
W dniu 18.03.2015 o 10:23, Sergiusz 'q3k' Bazański pisze:
Cloudflare, nawet darmowy plan, powinien Cie w minimalnym stopniu zabezpieczyć.
(...) Zatem jak strona niekomercyjna to cisnąć na CF free, ale trzeba liczyć się z tym, że może być przykra niespodzianka. Jak komercyjna to zapłacić $200 i święty spokój (póki CF nie padnie).
Moar info on CF Free plz. Suckless stories, własne doświadczenia, podpowiedzi jak się zabrać, etc?
Bo na razie widzę, że najsensowniej brzmi: [wordpress] --> [caching proxy / ustatyczniacz] --> [cloudflare] <-> net
Wtedy nawet jak odepną z CF, to ląduje na naszym statycznym kontencie, który też powinien podźwignąć nieco w razie co.
2015-03-18 13:32 GMT+01:00 rysiek rysiek@hackerspace.pl:
…
Od siebie dodam możliwość użycia serwera od OVH. Wszystko w ich ofercie zawiera w pakiecie usługę Anty-DDoS, zaczynając od najtańszych VPS Classic po ~8 PLN/m-c i serwerów dedykowanych z oferty Kimsufi od 5 EUR/m-c (chociaż ciężej je dorwać). IMO byłaby to bardzo dobra opcja na caching proxy.
Moar info on CF Free plz. Suckless stories, własne doświadczenia, podpowiedzi jak się zabrać, etc?
CF Free sprawdza się dość dobrze, ale jeśli DDoS jest na tyle duży, by sprawiać problemy ich infrastrukturze, to potrafią wyłączyć usługę. Na małe DDoSy dobrze się sprawdza, ale przy czymś większym, to już kiepsko. Od siebie mogę jedynie polecić używanie jako serwisu do ukrywania prawdziwego IP serwera.
Generalnie działa to jak zwykły DNS; ustawiasz odpowiednie NS dla domeny, w CF dodajesz rekordy A/AAAA, CNAME, etc., ale dodatkowo możesz zaznaczyć, aby używać CF jako proxy. Konfiguracja banalna.
Jako, że Cloudflare działa jako proxy, powinno się skonfigurować Nginxa, aby widział prawdziwe IP odwiedzających, a nie CF: curl -w '\n' https://www.cloudflare.com/ips-v%7B4,6%7D | awk '{print "set_real_ip_from "$1";"}; END {print "real_ip_header CF-Connecting-IP;"}' > /etc/nginx/cloudflare I dodać "include cloudflare;" gdzieś na końcu bloku http w nginx.conf (ale przed sites-enabled/blokami server). Moar info: https://support.cloudflare.com/hc/en-us/sections/200038166
-
antoszka -
Maciej Sawicki -
Marcin Koziej -
pidpawel -
rysiek -
Sergiusz 'q3k' Bazański -
Tadeusz Magura-Witkowski -
TeMPOraL -
Tracerneo