No domingo, eu fui informado pelo provedor kinghost, responsável pelo hosting do www.websecforum.com.br, que estávamos recebendo um grande ataque DDoS, vindos do Brasil e de outros países. O time de suporte informou que o ataque era massivo.
Esses ataques começaram às 11:00 AM de Domingo e tiveram sucesso, já que o site caiu, lá pelas 15:30. O time de suporte da kinghost teve como solução, momentânea, executar o bloqueio de todos os ips que estavam causando os ataques – se foi bloqueio por range ip, eles podem ter parado com boa parte da Internet tentando acessar o site.
O problema não foi resolvido, até agora, e mais, a kinghost simplesmente bloqueou o site e disse que foram ordens da diretoria pois eles não conseguiram suportar o ataque DDoS.
Eu não consigo nem acessar o servidor para pegar os meus dados e migrar para outro provedor.
Vocês sabem como uma empresa de hosting faz para bloquear um ataque DDoS de grandes proporções: Ter muito banda internet. Simples, não ?!
Estou no aguardo dos logs e de todos os dados para serem analisados e é claro, esperando a boa vontade de alguém da suporte da kinghost para entrar em contato comigo e resolver o problema que para mim só tem duas soluções:
O voltam com o site ou me expulsam de lá, claro que me ressarcindo. 🙂
Update: Acabei de verificar o Google Analytics do Web Security Forum e tive a seguinte surpresa:
Estranho, não ?! No Sábado e no Domingo não tivemos tantos acessos assim..
Julio Cesar
11 abr 2011Estranho mesmo!
Polaris
11 abr 2011Locaweb não seria o caso?
Fabio
11 abr 2011Seria interessante que provedores tivessem uma política clara a respeito de DDOS nos contratos de prestação de serviço.
Julio
11 abr 2011Ta vendoo…foram inventar de querer ensinar a protejer e os filhas da….. derrubaram seu SITE. Usamos KingHost aqui na empresa (Pequena) e também é uma porcaria, o suporte então nem se fala, povo ignorante que parece que fez um cursinho de Hardware e está ali trabalhando. Mude de servidor..como estamos querendo mudar também.
luiz rabelo
11 abr 2011cara, não sei se o google analytics iria mostrar o ddos, ddos não gera request… ou estou errado??
Alan
11 abr 2011Estamos com serissimos problemas de hospedeiras no Brasil. Além de caro o serviço é horrivel.
A locaweb, de todas que conheci, é a piorzinha.
Servidor dedicado é caro, depende do quanto o site traz de retorno…
Juliano
11 abr 2011Gustavo, quando temos um DDOS spoofado, a unica maneira de conter, é atuando nos roteadores de borda, indo em direção às operadoras, visando evitar maiores danos nas outras estruturas envolvidas. A forma de bloqueio é pelo IP de destino, não pelas origens. Nesse caso, o ataque não se dá por esgotamento de link, mas por um troughput muito alto de pacotes, visando sobrecarregar os equipamentos de roteamento envolvidos.
O Google analytics não te mostra estes números, pois como a origem é mascarada, os PCs usados pela botnet não fecham uma conexão TCP completa, ficando apenas em SYN. Ele não tem por objetivo carregar teu site, tampouco ler o javascript do Google. O objetivo é indisponibilizar o serviço e o que tiver perto dele, não gerar estatísticas de acesso. Como você pode ver nos logs que recebeu, inclusive as portas de acesso foram aleatórias, não se limitando à porta 80 TCP.
Fabio, sim, uma politica neste sentido já está sendo criada na KingHost.
Cleber
12 abr 2011Em alguns casos é comum direcionar o trafego para >null no roteador de borda, mas nem sempre resolve 100% o problema. Atuar junto à operadora que provem as conectividades também pode auxiliar na correção do problema do ataque.
Juliano
13 abr 2011Cleber, justamente foi o que a KingHost realizou.
Hawk
27 jun 2011Só o “expulsão” é que ficou estranho no texto.
Gustavo Lima
27 jun 2011Vc tinha razão.. acabei trocando.. obrigado..