Introducing Cloud Firewalls

We’re excited to announce the release of Cloud Firewalls.

Cloud Firewalls help secure your Droplets and are free to enable. You can define which ports are visible on your Droplets and control which resources can access them. All without having to install and configure more software.


It's designed to be easy to use with groups of resources, scales as you grow, and is perfect for production environments.

Cloud Firewalls are free for all Droplet customers.

To learn more about how to use Cloud Firewalls to secure your applications, be sure to read the announcement blog post. Click below for a product walk through.
www.digitalocean.com/community/tutorials/an-introduction-to-digitalocean-cloud-firewalls

Эффективная защита от шифровальщиков – угрозы №1 для бизнеса в 2017 году.



В середине 2000-х годов зародилось новое направление киберпреступности, связанное с шантажом. Методы основывались на запугивании пользователя путем блокирования рабочего стола вредоносным ПО, либо более простым способом – всплывающей HTML-страницей, открывающейся во весь экран веб-браузера. В обоих случаях пользователь информировался о том, что его компьютер заблокирован, и для продолжения нормальной работы необходимо отправить платную SMS на короткий номер.

Продолжить чтение..

Бесплатный firewall для выделенных серверов!

Для выделенных серверов Hetzner Online бесплатно предоставляет дополнительный инструмент безопасности — пакетный фильтр без контроля состояния (stateless firewall). Firewall позволяет создать собственные настройки фильтрации трафика, например, по IPv4 адресу источника или по TCP/UDP-порту. Возможность управления правилами фильтрации доступна в клиентской панели Robot, во вкладке «Firewall».

Пакетный фильтр без контроля состояния (stateless firewall или static firewall) не распаковывает пакеты с данными, а обращается лишь к информации в заголовках пакета, и, в зависимости от настроек, принимает решение принять или отбросить пакет. Таким образом, firewall предотвращает неразрешённый доступ к серверу.

Важно помнить, что firewall не распознаёт атаки, а лишь обеспечивает соблюдение заранее определённых правил сетевого взаимодействия.

В сочетании с представленной недавно защитой от DDoS-атак, firewall обеспечивает дополнительный уровень защиты сервера от угроз из Интернета.

Экономьте на выделенных серверах и защите от DDOS-атак

Здравствуйте, вам для публикации.
Краткая история. Один наш клиент решил с нашего дедика по ддосить другого нашего клиента. Мы сразу нашли клиента который ддосит и за 10 минут заблокировали его дедик. После чего пошла ругонь в конференции где присутсвовал лоадкор.

У нас есть вся история переписки и куча скринов. Самые интересные приложили.

В краце он обещал лишить нас лицензий, умничал с жалобами в росскомнадзор. Потом стал переманивать наших клиентов. предлагая бесплатные услуги. Потом докапался до нашего сайта что на нем нету ssl при этом самому лоадкору показали как работает его сайт под Windows 10 и браузерем Microsoft Edge i.imgur.com/KmzVnjN.gifv

Потом он признался как он относится к своим клиентам.
И много чего еще.
на данный момент увидев всю его не адекватность мы запустили акцию и ждем реакции от лоадкора, что же он будет делать
Если интересно — можем более подробно всё рассказать — предоставить больше скринов и полную вырезку из текста. А еще если у Вас появится подобная новость на сайте — то лоадкор может вообще взорвется.

«ВНИМАНИЕ! ВНИМАНИЕ! ВНИМАНИЕ!»
АКЦИЯ: «Экономьте на выделенных серверах и защите от DDOS-атак!»


В связи с «грязной игрой» со стороны хостинг-компании loadcore/srvgame наша компания объявляет о беспрецедентная акция

Если Вы являетесь клиентами вышеуказанной компании — то при переходе к нам мы готовы предложить уникальные условия аренды выделенных серверов:
  1. Стоимость аналогичного сервера по конфигурации со всеми дополнительными услугами будет на 20% дешевле.
  2. При постоянной оплате наших услуг в течении 3 месяцев мы дополнительно дадим 4-ый месяц бесплатно. Такой подарок Вы будете получать от нас каждый раз после оплаты 3 месяцев аренды выделенного сервера.

Если Вы не являетесь клиентом вышеуказанной компании но знаете таких клиентов, то расскажите им о нашей акции.
И в случае если клиент перейдет на услуги нашей компании и откажется от услуг вышеуказанной компании — то тогда мы будем начислять Вам 10% от всех платежей всех клиентов которых Вы к нам привели на Ваш аккаунт в нашей Биллинг-системе.
Данные средства Вы можете потратить на оплату наших услуг или вывести на свои банковские карты/qiwi/webmoney
Данная акция действует до 1 января 2017 года.

Условия акции:
  • Акция действует для всех клиентов которые заказали услуги в компании loadcore/srvgame до 18 октября 2016 года.
  • При выдаче скидки клиент должен будет подтвердить наличие активных услуг у компании loadcore/srvgame.
  • После выдачи нового сервера клиент обязуется отказаться от услуг компании loadcore/srvgame в течении 1 месяца после начала аренды выделенного сервера в нашей компании.
Подробнее Вы можете узнать у наших специалистов в Livechat или Биллинг-системе.

С Уважением компания АртПланет artplanet.su




Protect yourself by SYN flood

Distributed Denial of Service (DDoS) attacks are becoming increasingly commonplace as business becomes more and more dependent on delivering services over the Internet. One of the most common types of DDoS attacks is the well-known SYN-flood attack. It is a basic end-host resource attack designed to bring your server to its knees. As a result, your server is unable to properly handle any new incoming connection requests.

SYN Protection in the past
In the past, SYN attacks, by major vendor, was mitigated using conntrack filtering on commodity or AICS hardware. With Netfilter’s connection tracking system (conntrack), we can start filtering out false SYN-ACK and ACK packets before they hit the “listen” state lock. The conntrack system actually has a scalability problem (like the “listen” lock) when it comes to creating (or deleting) connections, which the SYN-flood will hit.

Even after fixing the conntrack lock, the SYN packets will still be sent to the socket causing the “listen” socket lock to occur. The normal mitigation technique is to send SYN-cookies and avoid creating any state until the SYN-ACK packet is seen.

Unfortunately, SYN-cookies are sent under the same “listen” state lock, so the mitigation does not solve the scalability issue. How these limitations can be worked around will be discussed later.

SYNPROXY, New Filtering Era
With SYNPROXY we can increase 20x performance then old technique removing the “listen state lock” part catching packets that the connection tracking system has categorized as “INVALID” and not part of a known connection state. The matching against existing conntrack entries is very fast and completely scalable. The conntrack system actually does lockless RCU (read-copy update) lookups for existing connections.

Essentially, this solves all other TCP-flooding packets except SYN-flooding.

But NOW, How we can solve SYN-flooding?
SYNPROXY essentially does parallel SYN-cookies and not create a conntrack entry before the SYN-ACK packet is received thus avoiding the conntrack new connections lock. Once the initial connection is established the normal conntrack system will take over and do all the needed forwarding.

If you have CentOS 7 or any distribution with kernel > 3.13 and iptables 1.4.21 you have this module built-in.

To enable it we need to tweak sysctl.conf. Insert in /etc/sysctl.conf:
#SYN cookies
net.ipv4.tcp_syncookies = 1
net.ipv4.tcp_max_syn_backlog=4096
net.ipv4.tcp_syn_retries=5
net.ipv4.tcp_synack_retries=2

#SYNPROXY REQ
net.netfilter.nf_conntrack_tcp_loose=0
net.netfilter.nf_conntrack_max=2000000
net.ipv4.tcp_timestamps=1

#OPTIMIZE TCP
net.core.rmem_max = 16777216
net.core.wmem_max = 16777216
net.ipv4.tcp_rmem = 4096 87380 16777216
net.ipv4.tcp_wmem = 4096 65536 16777216
net.core.netdev_max_backlog = 250000


Now you can configure SYNPROXY using public online script avaiable here
github.com/netoptimizer/network-testing/blob/master/iptables/iptables_synproxy.sh

If you want configure yourself go head with these steps:
Step #1: In the “raw” table, we need to make sure connections that need protection don’t create new conntrack entries for SYN packets.
# iptables -t raw -I PREROUTING -i $DEV -p tcp -m tcp –syn –dport $PORT -j CT –notrack


Step #2: Now we need to catch these packets and direct them to the SYNPROXY target module. To do this, use the following rule to catch UNTRACKED SYN and INVALID packets that contain the ACK from 3WHS (and also others, but they will fall-through).
# iptables -A INPUT -i $DEV -p tcp -m tcp –dport $PORT -m state –state INVALID,UNTRACKED -j SYNPROXY –sack-perm –timestamp –wscale 7 –mss 1460


Step #3: Catch the INVALID state packets that fell-through the SYNPROXY module and drop those. Basically, this will drop SYN-ACK based floods.
# iptables -A INPUT -m state –state INVALID -j DROP

Considerations when using SYNPROXY

Enabling SYNPROXY does comes at a cost. The connection establishment phase is going to be slower due to the extra connection setup needed towards the end-host. When the end-host is localhost, then this extra step is obviously very fast but nonetheless adds latency.

The parameters to the SYNPROXY target module must match TCP options and settings supported by the end-host that the TCP connections are being proxied for. Detecting and setting this up is manually done per rule setting. (A helper tool “nfsynproxy” is part of iptables release 1.4.21). This unfortunately means the module cannot be easily deployed in DHCP-based firewall environments.

50% до 30 апреля


Подключили Arbor TMS.
Тех. работы закончены.
Готовы к отражению 100% атак на игровые серверы.

Скидка 50% до 30 апреля
Скидка 50% до 30 апреля — на игровой хостинг:
RUST, CS, SAMP, MTA, ARK, HurtWorld!
Промо код — Arbor
srvgame.ru

И не забываем!
В личном кабинете можно активировать партнерку.
10% ежемесячно cо всех платежей, Вам на баланс ;)
Подарите другу реф ссылку и промо код.

Читать дальше →

Dedicated Servers and KVM Cloud Servers - DDoS Filtering


High Performance KVM Cloud Servers
  • 1 Core Processor / 512Mb DDR4 Memory / 10GB SSD Disk / 1TB Transfer / DDoS Protection / 1 IP
  • 1 Core Processor / 1024Mb DDR4 Memory / 20GB SSD Disk / 3TB Transfer / DDoS Protection / 1 IP
  • 2 Core Processor / 2048Mb DDR4 Memory / 30GB SSD Disk / 3TB Transfer / DDoS Protection / 1 IP
  • 2 Core Processor / 4096Mb DDR4 Memory / 50GB SSD Disk / 4TB Transfer / DDoS Protection / 1 IP

DDoS Filtering PoPs
  • London — Telehouse/Level3
  • Frankfurt — Equinix FR5/Interxion/NewTelco
  • Bucharest — Voxility IRD/NXData-1/NXData-2
  • Washington — Equinix DC2
  • Miami — Terremark, «NAP of the Americas»
  • Los Angeles — Equinix LA1


  • Intel Core i3-4170 / 8GB DDR3 / 120GB SSD/1TB HDD / 1Gbps
  • Intel Core i5-4460 / 16GB DDR3 / 240GB SSD/1TB HDD / 1Gbps
  • Intel Core i7-2600k / 32GB DDR3 / 2 x 120GB SSD / 1Gbps
  • Intel Core i7-4790 / 32GB DDR3 / 240GB SSD/1TB HDD / 1Gbps
  • Intel Xeon E3-1240V3 / 32GB DDR3 / 240GB SSD/1TB HDD / 1Gbps
  • Intel Xeon E3-1270V3 / 32GB DDR3 / 240GB SSD/1TB HDD / 1Gbps
  • Intel Core i7-6700K / 32GB DDR4 / 240GB SSD/1TB HDD / 1Gbps
  • Intel Xeon E5-1650v3 / 16GB DDR4 ECC / 240GB SSD / 1Gbps
  • Intel Core i7-6700K / 64GB DDR4 / 240GB SSD/1TB HDD / 1Gbps
  • Intel Xeon E5-1650v3 / 64GB DDR4 ECC / 240GB SSD / 1Gbps
  • Intel Xeon E5-1650v3 / 64GB DDR4 ECC / 240GB SSD / 1Gbps
  • Intel Xeon E5-1650v3 / 64GB DDR4 ECC / 240GB SSD/1TB HDD / 1Gbps

zare.co.uk