Проблемы в ДЦ Германии (First-colo)



Обновлено: 1 ноября 2019 г. 14:42
На корневом корневом маршрутизаторе вышел из строя компонент управления. В связи с чем, нарушена сетевая доступность всех IP сетей дата-центра. Инженеры дата-центра занимаются восстановительными работами. Мы будем обновлять информацию в этой новости.

Обновлено: 1 ноября 2019 г. 15:23
К сожалению, замена сбойного компонента на корневом маршрутизаторе — не дала положительного результата. Инженерами дата-центра будет произведена срочная замена маршрутизатора. Работы займут не менее 30-40 минут. Как только у нас появится новая информация о сроках и решениях, мы обязательно дополним эту новость.

Обновлено: 1 ноября 2019 г. 16:44
К работе над данным инцидентом подключились специалисты Arista Networks (производители core-маршрутизаторов).

Обновлено: 1 ноября 2019 г. 17:48
Сетевые подключения в некоторых сегментах дата-центра — вновь доступны. Мы обновим новость когда все сегменты сети в дата-центре будут полноценно введены в работу.

Обновлено: 1 ноября 2019 г. 20:46
Дата-центр партнер, First-colo.net сообщил о том что по последним данным, испытывает DDoS атаку ёмкостью более чем 300 гигабит в секунду. Инженеры дата-центра продолжают заниматься устранением данного инцидента и отфильтровывать вредоносный трафик на свои сети.

Обновлено: 1 ноября 2019 г. 21:09
В данный момент, мы подготавливаем техническую платформу для миграции наших IP сетей в отдельный центр фильтрации трафика.

Обновлено: 2 ноября 2019 г. 0:34
Наши инженеры, совместно с инженерами дата-центра First-colo и центра фильтрации продолжаю заниматься решением проблемы в режиме 24/7. Мы прикладываем максимально усилия чтоб как можно скорее стабилизировать работу сети в нашем партнерском дата-центре в Германии.

Обновлено: 2 ноября 2019 г. 10:26
Примерно с 01:00 (МСК) все наши IP сети проходят через несколько центров фильтрации трафика. Наши инженеры продолжают внимательно следить за состоянием сети и оперативно настраивать отдельные её элементы чтоб сохранять доступность. Если у вас остались проблемы с доступом, пожалуйста, свяжитесь с нашей поддержкой через тикет-систему fornex.com/my/tickets/. Полный отчет об инциденте, условия компенсации и другая информация — будет в рассылке, которую вскоре мы сделаем.



Обновление | 2019-11-01 15:22:36 CET
Что касается нарушения работы сети, проблема может быть еще более ограниченной. Наши сетевые инженеры усердно работают над решением проблем.
Когда приблизительное время восстановления услуг станет известно, мы незамедлительно уведомим вас. Мы стараемся решить проблемы в краткосрочной перспективе и приносим извинения за возникшие проблемы с сетью.

Обновление | 2019-11-01 18:26:06 CET
С 12:00 мы до сих пор получаем мощные DDoS-атаки на более чем 1000 IP-адресов с пропускной способностью атаки более 300 Гбит / с. Наши сетевые инженеры в настоящее время пытаются смягчить атаки различными способами. Мы уже связались с нашими перевозчиками, чтобы уменьшить входящий трафик.

В настоящее время мы не можем дать точное заявление, когда проблема будет решена.

Мы приносим свои извинения за это долгое нарушение работы сети и надеемся на ваше понимание.

Решено | 2019-11-01 19:00:00 CET
Прежде всего, все наши системы в настоящее время стабильны и работают. Отключение сети было вызвано так называемыми DDOS-атаками «Ковровая бомба», которые продолжались с 12:00 до 19:00 CET с постоянной скоростью атаки более 350 Гбит / с. Атаки вызвали немедленные проблемы для нашей сети, как только они начались. Мы сразу начали отлаживать сеть для проблем и смогли определить причину проблем. Но из-за большого количества атакованных хостов нам потребовалось некоторое время, чтобы взять атаку под контроль.

Чтобы уменьшить поверхность атаки для дальнейших атак, трафик от атакованных клиентов был перенаправлен и теперь фильтруется дополнительными приложениями DDOS.

Мы приносим извинения за все неприятности, возникшие в результате этих атак, и надеемся на ваше понимание в этом вопросе.

Тестирование производительности VPS

Наши VPS самые мощные! Мы провели тестирование, и делимся результатами с вами
В тестировании участвовали VPS-32 и VPS-12.

VPS-32


Тариф имеет 8 ядер 4.5 Ггц, 32 GB DDR4 ОЗУ, 400 GB NVMe, 10 Гбит/с сеть.
Стоимость — 3.999 рублей / месяц.

Мощность CPU проверяем с помощью CPU-Z

По мощности он значительно обгоняет Intel Core i7 7700K, который сейчас стоит у ресселеров почти 10.000 рублей / месяц.

Или немного уступает Inel Core i7 8700K

Отличная производительность за 3.999 рублей, лучше не найти.

Теперь проверим скорость NVMe диска тестом CrystalDiskMark, файлом 1 GB и проходом 5 раз.

Получаем больше гигабайта в секунду запись и чтение, в три раза быстрее SATA SSD

На всех наших нодах используется Raid-1, которого нет на Game SoYouStart, поэтому вы не потеряете однажды все свои данные.

Теперь проверим сеть, используем сайт speedtest.net, поэтому тесты не будут точными — всего 4 http потока, и ssl дают о себе знать.

Не смотря на эти ограничения, мы получаем 1.5 Гбит/с на загрузку и 1 на отдачу.

Теперь проверим скорость в Москву


Скорость загрузки более 1 Гбит, отдача 150 Мбит, пинг 33 ms (сервер находится в Германии). Результаты отличные как для http теста.

С Ubuntu получаем результаты намного интереснее:

7 Гбит/с загрузка в один поток, тестирование с speedtest.tele2.net
Таким образом VPS-32, который стоит дешевле популярного тарифа на SoYouStart Intel Core i7 6700K, значительно обходит его.

Теперь проверим VPS-12

Тариф имеет 4 ядра 4.5 Ггц, 12 GB DDR4 ОЗУ, 60 GB NVMe, 10 Гбит/с сеть.
Стоимость — 1499 рублей / месяц.

Проверяем только CPU, все остальное без изменений.

VPS-12 по производительности немного уступает Intel Core i7 4790K, или мощнее Intel Core i7 2600K, а стоит всего 1499 рублей / месяц.

На всех наших тарифах есть собственная игровая защита от DDoS атак UDP/TCP.

Купить можно всегда на нашем сайте: https://waf.ovh/
Написать нам: https://vk.me/wafovh

Как работает удаленная защита?



К сожалению, сейчас Anti-DDoS защита от OVH не справляется с новыми атаками L4-L7.

Например внутри сети OVH VAC не работает, и любой может положить сервер с 1 Гбит сетью двумя серверам по 1 Гбит. От такого спастись почти невозможно — атака L4, без payload. А создать такую атаку может любой школьник, для такой атаки хватит и hping3.

Или как многие знают OVH VAC не фильтрует L7 атаки, поэтому ваш сервер смогут положить банально мощными игровыми ботами, пример такой атаки на нашего клиента с сервером Minecraft —

80 тысяч ботов в секунду, и это с срезанным 70% трафика! Сервер стоял у нас, понятное дело он не заметил такой атаки, но для обычного дедика на OVH хватает 10-20 тысяч ботов в секунду, чтобы он перестал принимать новые соединения.

Пример атаки на мощный сервер с процессором Intel Xeon W-2145, 10гбит сетью:

Включенный VAC, жесткие лимиты в Iptables, настроенный sysclt не помогли, сервер упал.
Ещё OVH пропускают до 20 SYN пакетов в секунду с одного айпи, и можно положить сервер с небольшого ботнета в ~8000 устройств, банально SYN атакой.

Это только примеры некоторых атак, которые применяют, на самом деле их намного больше, поэтому мы создали WAF.OVH — не просто мощные VPS-сервера, но и отличная защита от DDoS атак.

Как подключить защиту?

У нас есть разные тарифы для удаленной защиты TCP сервисов, начиная с 399 рублей в месяц, почти по цене IP! За такую сумму вы получаете — 50мбит/с трафик, 10Гбит/с порт, и отличную защиту.

Сейчас сервер защиты располагается в Германии, OVH, поэтому при использовании туннеля с Hetzner можно не только хорошо сэкономить, но и получить хорошую защиту и низкий пинг. Надбавка пинга при работе туннеля с серверами во Франции, OVH, обычно не более 6ms. Но в скором времени будут добавлены сервера и во Франции.

При покупке вам нужно настроить некоторые параметры —
Backend IP — Айпи вашего сервера, который нужно защитить. Если вас уже атакуют по этому айпи рекомендуем его сменить, или написать нам, чтобы мы помогли вам «правильно» закрывать все ненужные подключения.

Необходимые порты — порты которые нужно пробросить через туннель. Рекомендуем пробрасывать только порты вашего сервиса, например для Minecraft — 25565, для сайта — 80, 443. По SSH подключатся лучше по реальному айпи вашего сервера.

Тип туннеля — на выбор есть 3 типа туннелей GRE / IPIP / L7 (посредствам nginx tcp proxy, без реального IP клиентов). Для OVH нужно использовать GRE. Для всех других, например Hetzner лучше использовать IPIP.

После настройки заказ можно оплачивать, и ждать получения скрипта туннеля по email, обычно это занимает ~30 минут.

Загружаем файл tunnel.sh, переносим на дедик, устанавливаем права 777

chmod -R 777 tunnel.sh

В самом фале меняем некоторые настройки


IFACE — замените название сетевого интерфейса, на название вашего главного сетевого интерфейса (обычно узнать можно с помощью команды ifconfig).

Другие настройки не трогаем, и сохраняем файл.

Далее просто запускаем его ./tunnel.sh start
(Чтобы остановить пишем ./tunnel.sh stop)

Теперь можно менять айпи вашего BungeeCord, или сервиса который используете, на локальный айпи туннеля, который указан в L_OUT


bind_local_address тоже ставим на false, чтобы ваш трафик к локальным серверам не ходил через туннель, перезапускаем сервис.

Последнее — это сменить в вашем домене записи, на защищенный айпи туннеля, и можно не бояться DDoS атак :)

Наш сайт — https://waf.ovh/
Удаленная защита — https://waf.ovh/remote-protection.php
Написать нам — https://vk.me/wafovh

В скором времени мы планируем запустить web-защиту, и CDN, следите за новостями в группе — https://vk.com/wafovh

Что такое DDoS-атака и как ее смягчить?



Распределенная атака типа «отказ в обслуживании» (DDoS) — это злонамеренная попытка нарушить трафик целевого сервера, службы или сети, подавив его потоком интернет-трафика (Cloudflare, 2019). DDoS-атаки очень похожи на трафик на шоссе. Представьте себе регулярное движение, которое движется с постоянной скоростью, и автомобили на пути к месту назначения. Если в конкретную точку въезжает поток автомобилей, это значительно задерживает или мешает находящимся за ними автомобилям добраться до места назначения в нужное время. В 2018 году во всем мире было зарегистрировано более 400 000 DDoS-атак (CALYPTIX, 2018). В 4-м квартале 2018 года на долю Великобритании пришлось 2,18% этих атак, ошеломляющая разница по сравнению с 1-м кварталом 2019 года в 0,66% (Гутников, 2019).

Целью этой атаки является создание перегрузки путем использования всей доступной полосы пропускания, используемой целью, для доступа к более широкому Интернету, с которым она хочет взаимодействовать (Cloudflare, 2019). Большие объемы данных отправляются на цель с использованием формы усиления или другого средства создания огромного трафика, такого как запросы от ботнета (который представляет собой группу устройств, зараженных вредоносным ПО, над которым злоумышленник имеет удаленный контроль).

Последствия DDoS-атаки
DDoS-атаки особенно разрушительны для малого и среднего бизнеса. Используя преимущества бизнес-систем со слабыми мерами сетевой безопасности, эти атаки способны нанести ущерб нескольким бизнес-системам и услугам, предоставляемым этим бизнесом (Banta / vxchnge, 2018). Например, атака на Dyn в 2016 году, которая была признана крупнейшим нарушением работы интернета в истории, уничтожила Twitter, Guardian, Netflix, Reddit, CNN и многие другие сайты (Woolf / theguardian, 2016). Это стало возможным благодаря использованию оружия, называемого ботнетом Mirai, в котором сообщалось о 100 000 вредоносных конечных точек, чтобы сделать атаку на их DNS-серверы настолько эффективной (Woolf / theguardian, 2016).

Число этих атак также увеличилось из-за одновременного увеличения использования Интернета вещей (IoT) и связанных с ним устройств. Эти устройства также используются в качестве общего оружия в DDoS-атаках и часто игнорируются из-за их характера. Эти устройства, включая камеры, датчики, измерители, маршрутизаторы и даже термостаты, часто подвергаются взлому, поскольку они недостаточно защищены и затем включаются в бот-сети, используемые при проведении атак (A10 Staff, 2018).

Среди последствий — влияние атак на деловые отношения между компаниями и их клиентами. С ослабленными системами и безопасностью клиенты могут потерять веру в способность компании эффективно работать и поддерживать целостность и надежность своих данных. Долгосрочным эффектом будет потеря доверия и развитие плохой репутации, что повлияет на будущий бизнес и интеграцию новых клиентов. Среди наиболее целевых были провайдеры телекоммуникационных услуг и услуги облачного хостинга в первой половине 2018 года. Для операторов беспроводной связи было зарегистрировано колоссальные 157 388 (CALYPTIX, 2018). Распространенность этих атак не только препятствует будущим пользователям, но и побуждает их находить альтернативных поставщиков услуг беспроводной связи, которые лучше справляются с количеством и размером атак в течение года.

Способы смягчения атаки DDoS
Различие между обычным трафиком и трафиком атаки является одной из главных проблем в смягчении атаки DDoS. В идеале, никто не хотел бы отключать трафик в случае выпуска продукта на веб-сайте компании, который наводнен нетерпеливыми клиентами. Однако, если эта компания внезапно испытывает приток входящего трафика, который может быть идентифицирован как атака, такие усилия по смягчению атаки, вероятно, необходимы. Сложность заключается в различении реального клиента и трафика атаки. Однако, согласно Cloudflare (2018), существуют методы, используемые для смягчения возможной атаки DDoS. Эти методы включают в себя:

Ограничение скорости. Этот метод существенно ограничивает объем входящего трафика или количество запросов, которые сервер получает в течение установленного периода времени. Благодаря этому вся доступная пропускная способность не будет использоваться во время атаки, и, следовательно, вероятность отказа в обслуживании значительно уменьшается. При использовании этого метода разграничение нормального трафика и трафика атаки может быть довольно сложным. В результате, сервер получит смесь обычного и атакующего трафика. Кроме того, этот метод может быть полезен в случаях «кражи контента» и попыток входа в систему методом «грубой силы». К сожалению, этого метода будет недостаточно для эффективной обработки более сложных DDoS-атак. Тем не менее, это полезный инструмент для включения в ваш план по смягчению последствий DDoS.

Маршрутизация в черной дыре. Возможное решение для уменьшения DDoS — создать маршрут в черной дыре и направить входящий трафик на этот маршрут. В простейшем виде как злонамеренный, так и легитимный сетевой трафик перекачивается при активации фильтрации черных дыр без установки особых ограничений. Таким образом, в случае DDoS-атаки интернет-провайдер может сбросить весь трафик злоумышленника в черную дыру в качестве формы защиты.

Оценка безопасности IoT. Как упоминалось ранее, устройства IoT, такие как камеры, датчики, маршрутизаторы и т. Д., Могут использоваться в качестве средств для DDoS-атак на предприятия. Очень важно, хотя эти устройства служат для повышения эффективности бизнеса, обслуживания клиентов и многого другого, чтобы они были должным образом защищены, поскольку они могут представлять значительный риск для безопасности бизнеса (A10 Staff, 2018).

Другим простым и экономически эффективным способом предотвращения DDoS-атак было бы обращение к поставщику услуг аутсорсинга, способному предоставить организациям широкий спектр инструментов только для борьбы с DDoS-атаками. Благодаря большей пропускной способности и более защищенным маршрутизаторам, управляющим входящим трафиком, безопасность этих поставщиков услуг гораздо более способна противостоять попыткам разрушить их инфраструктуру, чем внутренние ИТ-решения (Felter / vxchnge, 2018). Тем не менее, при выборе услуги аутсорсинга необходимо учитывать некоторые соображения.

Способность компании адаптироваться к потребностям растущего бизнеса, а также масштабам будущих DDoS-атак.
Способность компании создавать правила страницы и последовательно применять их в сети, чтобы оставаться работоспособным в случае атаки
Надежность. Обеспечить репутацию компании, которая поддерживает высокие показатели времени безотказной работы и инженеров по обеспечению надежности сайта, которые постоянно работают над поддержанием сети в режиме онлайн и мониторингом надвигающихся угроз.
Обеспечение компании большой сети, способной к обширной передаче данных, что позволяет им быстро и эффективно анализировать и реагировать на атаки.

Datacenter.com может помочь вам связаться с партнерами Datacenter.com, которые являются поставщиками услуг аутсорсинга. Кроме того, в качестве нейтрального центра обработки данных оператор может предложить ряд интернет-провайдеров. Различая трафик и использование разных носителей, можно легко отбросить одно соединение, которое страдает от атаки DDoS, тогда как другие соединения могут оставаться его соединением.

datacenter.com

A10 Staff (2018) IoT and DDoS: Cyberattacks on the Rise
Retrieved from: www.a10networks.com/blog/iot-and-ddos-cyberattacks-rise/

Banta, T. (2018) How to Protect Data Centers From a New Generation of DDoS Attacks
Retrieved from: www.vxchnge.com/blog/how-to-protect-data-centers-from-a-new-generation-of-ddos-attacks

Calyptix (2018) DDoS Attacks 2018: New Records and Trends
Retrieved from: www.calyptix.com/top-threats/ddos-attacks-2018-new-records-and-trends/

Cloudflare (2019) What is a DDoS Attack?
Retrieved from: www.cloudflare.com/learning/ddos/what-is-a-ddos-attack/

Cloudflare (2019) What is DDoS Mitigation?
Retrieved from: www.cloudflare.com/learning/ddos/ddos-mitigation/

Felter, B. (2018) Best Practices for Preventing DDoS Attacks
Retrieved from: www.vxchnge.com/blog/preventing-ddos-attacks-best-practices

Gutinikov et al (2019) DDoS attacks in Q1 2019
Retrieved from: securelist.com/ddos-report-q1-2019/90792/#statistics

Woolf, N. (2016) DDoS attack that disrupted internet was largest of its kind in history, experts say
Retrieved from: www.theguardian.com/technology/2016/oct/26/ddos-attack-dyn-mirai-botnet

Yandex DDoS Protection – защита от DDoS-атак приложений, размещённых в облачной инфраструктуре




Сегодня Яндекс.Облако вместе с Qrator Labs представляют Yandex DDoS Protection — новый компонент сервиса Yandex Virtual Private Cloud для защиты от DDoS-атак приложений, размещённых в облачной инфраструктуре.

Yandex DDoS Protection сочетает в себе возможности внешней опорной сети Qrator и оборудования, размещённого непосредственно в сети облака. Площадки фильтрации Qrator, развёрнутые в инфраструктуре Яндекс.Облака, гарантируют полную очистку трафика, генерируемого локально, в национальном сегменте Интернета, от «мусора» и аномалий. Задачу по защите ресурсов облака от атак, трафик которых генерируется в других странах мира, решает основная сеть Qrator, обладающая многотерабитной пропускной способностью и возможностями пакетной обработки большой емкости для мгновенной фильтрации самых распространенных DDoS-атак.

Yandex DDoS Protection подключается в момент создания облачного ресурса и применяется к публичным IP-адресам виртуальных машин, сетевых балансировщиков и хостов баз данных, размещенных в Яндекс.Облаке.

Весь входящий трафик защищаемых ресурсов проходит через узлы фильтрации сети Qrator и анализируется вне зависимости от наличия атаки, после чего очищенный трафик перенаправляется на защищаемый ресурс. Yandex DDoS Protection автоматически «очищает» трафик на 2-м и 3-м уровнях сетевой модели OSI, а также защищает от атак вида SYN-флуд.

Постоянный мониторинг позволяет определить нормальный профиль трафика для каждого ресурса и быстро обнаружить DDoS-атаку практически в реальном времени без вмешательства пользователя.

cloud.yandex.ru/docs/vpc/operations/enable-ddos-protection

Обновленная услуга "Защита от DDoS-атак"



О проблеме DDoS-атак в современном мире уже написана не одна сотня статей и многие владельцы веб-проектов с ней сталкивались. Ранее мы работали преимущественно на корпоративном рынке и большинство решений разрабатывалось под крупных заказчиков, в том числе и защита от DDoS-атак с минимальным тарифом от 7000 рублей в месяц.
Однако 3 года назад мы вышли на массовый рынок виртуальных серверов и сейчас приняли решение переформатировать услугу защиты от DDoS-атак под запросы массового рынка.
invs.ru/en/products/protection-against-ddos/
Теперь вы можете обезопасить свой проект от DDoS-атак за 250 рублей в месяц с решением корпоративного уровня. За эту стоимость вы получаете 1 Мбит/c гарантированного очищенного трафика. За 400 рублей вы получаете гарантию очищенного трафика в 10 Мбит/c. Со всеми тарифами можно ознакомиться на странице услуги.
Подключить услугу можно к любому виртуальному серверу из личного кабинета. bill.invs.ru

Новые VPS на процессорах Xeon E3-1245v2 во Франции

vpska.ovh
Новые VPS на процессорах Xeon E3-1245v2

E3-1245v2 (3.4GHz) 1 vCore / 2 ГБ ddr3 / 25 SSD / 1 IPv4 — 300 рублей/месяц
E3-1245v2 (3.4GHz) 2 vCore / 4 ГБ ddr3 / 50 SSD / 2 IPv4 — 600 рублей/месяц
E3-1245v2 (3.4GHz) 3 vCore / 6 ГБ ddr3 / 75 SSD / 3 IPv4 — 900 рублей/месяц
E3-1245v2 (3.4GHz) 4 vCore / 8 ГБ ddr3 / 100 SSD / 4 IPv4 — 1200 рублей/месяц
E3-1245v2 (3.4GHz) 5 vCore / 10 ГБ ddr3 / 125 SSD / 5 IPv4 — 1500 рублей/месяц
E3-1245v2 (3.4GHz) 6 vCore / 12 ГБ ddr3 / 150 SSD / 6 IPv4 — 1800 рублей/месяц
E3-1245v2 (3.4GHz) 7 vCore / 14 ГБ ddr3 / 175 SSD / 7 IPv4 — 2100 рублей/месяц
E3-1245v2 (3.4GHz) 8 vCore / 16 ГБ ddr3 / 200 SSD / 8 IPv4 — 2400 рублей/месяц

Локация во Франции, Anti-ddos, возможность установки Windows

Задать вопрос или заказать можно по тикету в Биллинге или телеграм @risqa

Сервера в наличии

Сервера в наличии на текущий момент:
  • Intel E3-1230/8GB RAM/500 HDD — 50/100 mbit с ддос защитой(или 1000mbit без защиты) — 5000р
  • Intel E3-1230v6/16GB RAM/2 × 240 SSD — 100 mbit с ддос защитой(или 1000mbit без защиты) — 11000р
  • Intel E3-1230v6/32GB RAM/2 × 240 SSD — 100 mbit с ддос защитой(или 1000mbit без защиты) — 12000р
  • Intel E3-1230v6/64GB RAM/2 × 240 SSD — 100 mbit с ддос защитой(или 1000mbit без защиты) — 14500р
  • Intel E3-1270v6/64GB RAM/2 × 480 SSD — 100 mbit с ддос защитой(или 1000mbit без защиты) — 16500р
  • dual CPU x5687/48GB RAM/2x 480 SSD — 100/200 mbit с ддос защитой(или 1000mbit без защиты) — 14000р

к каждому арендованному серверу БЕЗ доплат защита L7 http/https 1 домена.
Объём трафика неограничен.
локация: москва

billing.team-voice.com
team-host.ru