Welke keuze bij DDOS-bestendig maken?

Memcache is geen oplossing tegen een DDOS. Een echte DDOS attack is vaak weinig aan te doen.
Het klinkt eerder alsof het aantal bezoekers te hoog is voor de server.

Een VPS of bare-metal is wel fijn, maar optimalisatie van de code kan ook een boel schelen

Hoe heb je vastgesteld dat het een DDoS betreft? De sharedhostingmarkt is nooit erg duidelijk met wat je qua resources krijgt voor je geld - en daarnaast trekt het gros van de sites helemaal geen bezoekers. Tien 'dode' sites hosten is financieel aantrekkelijker dan een actieve..

Verder heb ik 0 ervaring met 'managed' services, maar ik heb het vermoeden dat het 'managed' aspect in veel gevallen ook een beetje een wassen neus is als je het afzet tegen een VPS met een control panel.

Ik kan bij Yourhosting in ieder geval niet eens vinden wat 'managed' inhoud voor het pakket wat TS voorstelt, pas als ik doorklik naar de (nog duurdere) zakelijke managed services wordt er wat uitgelegd.

Maargoed, niemand kan je hier zomaar zeggen wat de 'beste' keuze is; for all we know gaat je site plat vanwege een fanatieke crawler of een erg karige shared hoster..

Ik zou eerst eens vragen uit welke dat precies blijkt dat het om een DDoS gaat. 20k bezoekers op een avond is niet echt veel te noemen en een beetje website moet dat mer gemak aan kunnen. Als je dus vermoed dat het hosting platform ontoereikend is kan je beste naar een VPS of zelfs dedicated server kijken om de boel zelf te onderhouden en in de gaten te houden.

Maar ik zou beginnen met kijken waaruit blijkt dat dit een DDoS is, welk gedeelte zwaar is voor de website, is het een I/O probleem, te zware scripts, inefficiente database queries etc..etc...

De gratis versie van CloudFlare heeft ook al DDoS protectie.

DJVG schreef op zondag 10 april 2016 @ 07:37:
Ik zou eerst eens vragen uit welke dat precies blijkt dat het om een DDoS gaat. 20k bezoekers op een avond is niet echt veel te noemen en een beetje website moet dat mer gemak aan kunnen. Als je dus vermoed dat het hosting platform ontoereikend is kan je beste naar een VPS of zelfs dedicated server kijken om de boel zelf te onderhouden en in de gaten te houden.

Maar ik zou beginnen met kijken waaruit blijkt dat dit een DDoS is, welk gedeelte zwaar is voor de website, is het een I/O probleem, te zware scripts, inefficiente database queries etc..etc...

Ik heb hier op mijn 100mbit vezeltje thuis nog sites lopen draaien die een veelvoud van die bezoekers aantallen trokken (icm de gratis opties van Cloudflare). Nog is een keertje meer dan 100k in 2 uur binnen getrokken op een heftige geoptimaliseerde wordpress site.

Ik vind eerlijk gezegd de voorgestelde optie van hen nogal zwaar en nogal duur. Bij concurrenten heb je al een VPS voor een tientje per maand, en dat moet prima afdoende zijn met de bezoekers aantallen die jullie trekken.

Als het ze trouwens gaat om de system load: wordpress is wat dat betreft imho nogal droevig, en zeker als je met een woocommerce website werkt (weinig dynamisch dus) kan je het beste gaan optimaliseren voor caching.

Zijn het niet WordPress hack pogingen? Dat zou het grote verschil in requests (wat de hoster ziet) en page views (wat je in analytics ziet) verklaren. Wordfence of andere 'auto blocker' installeren en xmlrpc deactiveren zou dan al een hoop schelen.

Blune schreef op zondag 10 april 2016 @ 08:41:
De gratis versie van CloudFlare heeft ook al DDoS protectie.

Nee, eigenlijk niet. De gratis versie komt niet met DDoS beveiliging als je naar de verschillende pakketten kijkt van Cloudflare.

Goede DDoS beveiliging gaat je sowieso meerdere honderden euros kosten.
De keuze gaat aan je budget liggen, wat is je maximale budget?

Wanneer je niet veel verstand hebt van het ondervangen van DDOS aanvallen, dan is een managed oplossing iig aan te raden:) Wij hebben goede ervaringen met de managed oplossingen van fxw

Hier een lijst van de grotere hosting bedrijven die DDoS bescherming aanbieden en die redelijk te betalen zijn. Echter lever je wel in op support, tenzij je meer wilt betalen natuurlijk.

OVH
SharkTech
BuyVM
Incloudibly
KoDDoS

Het "probleem" met DDOS aanvallen is, dat de ene aanval de andere niet is.
Een eenvoudige DDOS aanval is makkelijk te tackelen, maar bij de meer geavanceerde aanvallen zie je dat er verschillende aanvalsmethoden worden gebruikt en uiteindelijk met de meest effectieve door wordt gegaan.

Een enkele oplossing voor een DDOS aanval is er m.i. niet. Een goed ingesteld DDOS filter kan wel een hele boel zooi tegenhouden, maar dit moet door middel van tweaken, vallen en opstaan, goed worden ingesteld en dat gaat veel geld kosten.

Aan de andere kant kan ik mij bijna niet voorstellen waarom ze een woocommerce site met een lastige (en duur in te kopen / te verkopen) DDOS aanval zullen aanvallen.

Verder is het ook oppassen met het uitzoeken van een host welke DDOS bescherming zegt te bieden. Sommige hosts zien daaronder enkel een pingflood protectie tot een bepaald aantal Mbit's (of lossen dit op door in de firewall ICMP uit te zetten), wat eigenlijk geen DDOS filter genoemd mag worden. Daarbij heeft een DDOS filter achter een 10Gbit lijntje ook geen enkele zin, op het moment dat de 10Gbit naar het rack van je hoster/server volloopt en daarna pas bij het filter aankomt, zal je alsnog offline liggen doordat de uplink vol zit.

Ik heb een server bij een Nederlandse provider welke een DDOS filter aanbied voordat het verkeer een 10Gbit uplink bereikt waardoor ook veel grotere DDOS aanvallen geweerd kunnen worden, maar omdat het verkeer gefilterd wordt op basis van het herkennen van foute en goede verkeerspatronen is het voor de hostingpartij een instel klus wat eenmalig een investering vereist om alles goed in te stellen. Na het instellen werkt het wel heel goed is mijn ervaring, laatst 12Gbit inkomend verkeer werd moeiteloos gefilterd, betaal ongeveer 180 euro per maand. Ik weet niet of ik hier namen mag noemen?

Als een provider Memcache als DDOS protectie aandraagt is dat weinig serieus te nemen in elk geval.

Ik kan persoonlijk een VPS of dedicated server bij OVH zeer sterk aanraden. Had ook altijd last van ddos aanvallen, en bij OVH heb ik hier in mijn eigen traffic bijna niet meer van gemerkt. Het nadeel is wel dat je eigenlijk geen support krijgt dus het is een beetje afhankelijk of je hier de kennis zelf voor hebt.

Toch een vraagje, hoe heeft je hostingpartij de request een ddos op de website vastgesteld. Vaak werken die tools namelijk met resolvers en valleen ze het IP aan, niet het domein. Dan zal het zo kunnen zijn dat het niet om jou webshop gaat.

Ik vind het eerlijk gezegd nogal verbazingwekkend dat een klein webwinkeltje slachtoffer zou zijn van DDOS aanvallen.

Verkoopt hij producten die dat op kunnen roepen? Vijanden?

Ik kan me juist goed voorstellen dat het eerder een hogere load is op het shared hosting paketje en dat de hoster je gewoon naar een duurder product wilt krijgen...

Een VPS is alsnog geen slecht idee, maar ik zou flink rond kijken. Er is heel veel mogelijk voor heel weinig geld.

Ik heb ook mijn twijfels bij een echte DDOS-aanval.
Wat mij logischer lijkt is dat ze geautomatiseerd wordpress aan het vallen zijn. Daar hebben ze bij ons pas geleden ook heel erg last van gehad. Ik zou persoonlijk ivm veiligheid en performance een ander pakket gebruiken.

20K bezoekers is in ieder geval niks. Elk beetje VPS kan daar mee overweg. Bij 200.000 wordt het interessant. Maar serieus gooi dat Wordpres bij oud vuil. Pas geleden was hier een oudere wordpress site vervangen door een laravel site. Er zat gewoon bijna een factor 50! snelheidsverschil in.

Mocht je meer willen weten, PB me maar. Ik heb een eigen hosting bedrijfje en dingen als VPS'en en aanvallen afweren is dagelijkse kost.

laptopleon schreef op maandag 11 april 2016 @ 11:21:
Ik heb nog geen reactie op de vraag om details over de DDOS.

Ik heb me ook afgevraagd wat de DDOS'ers er mee opschieten. De site-eigenaar is niet door derden bedreigd door dat dit zou gebeuren of iets dergelijks.

De site verkoopt merchandise van een youtube vlogger. T-shirts en zo. De vlogs gaan over games en grappen die hij uithaalt met zijn ouders etc. Niet bepaald schokkend materiaal.

Voor alle duidelijkheid: Er zijn volgens analytics.google alleen de eerste avond 5000 bezoekers geweest. De maanden daarna meestal maar een paar honderd per avond, hooguit 1.000. Maar de provider waar hij mee overlegt deed een offerte waarbij ze uitgaan van hooguit 20.000 bezoekers.

Nogmaals, ik denk dat je eerst moet onderzoeken waar het verkeerd gaat voordat we kunnen meedenken aan een mogelijke oplossing. Misschien is de huidige hostingomgeving ontoereikend omdat er problemen zitten in het ontwerp van de website (I/O, code, queries etc..etc..) of dat het platform van de hoster overbelast is. We kunnen uitsluiten dat het om een echte DDoS gaat want 5000 bezoekers is niks.

Ik zou de website eens profilen en kijken wat er verbeterd kan worden. Als je zelf geen kennis hebt om dingen te onderzoeken kan je altijd iemand anders er naar laten kijken of je mag mij even DMtje sturen

Is na de cloudflare implentatie het onderliggende IP adres wel veranderd? Anders kunnen mensen natuurlijk gewoon om cloudflare heen. Is het daarnaast 100% zeker dat dit de website is die aangevallen wordt en niet iets anders op de shared omgeving?

20K bezoekers zou geen enkel probleem mogen zijn voor een WordPress/WooCommerce site. Dan gebruikt de hoster (imho) wel brakke hardware voor de hoeveelheid sites op de servers.

@terror538: Ook kleinere sites kunnen platgegooid worden. Vooral webshops zijn een lucratief doelwit. Alleen ontvangt de eigenaar na zo'n aanval vaak een bericht met een bitcoin adres waarnaar geld overgemaakt moet worden om verdere aanvallen te voorkomen.

@TS : Ik vermoed dat die 20K een extrapolatie/schatting van de provider is, naar aanleiding van een "drukke" avond. Het best kun je toch proberen na te gaan hoeveel bezoekers er nu geweest zijn, en wat zij op hebben proberen te vragen.

laptopleon schreef op maandag 11 april 2016 @ 17:25:
[...]


Waar ik later bedacht: Bij de gratis versie blijft de hosting bij de oorspronkelijke partij, alleen de DNS wordt omgeleid via CloudFlare. Het IP blijft dus altijd eenvoudig te achterhalen.

Update: Volgens yourhosting kreeg men 300.000 hits op de homepage van de site, in een paar uur tijd.

Wat ik me dan afvraag is: Waarom zie ik dat niet terug in analytics.google? Of wachten de DDOSsende computers het laden van de pagina's niet af, waardoor de analytics code niet wordt aangeroepen? Of negeert analytics DDOS-ers op één of andere manier?

Als de DNS werd omgeleid dan heeft het inderdaad geen zin: Je moet dan ook verhuizen naar een ander IP welke je verstopt, anders kunnen ze alsnog langs CloudFlare.

En ze openen de pagina vaak niet in een traditionele vorm, soms gaat dit ook helemaal niet op webserver niveau maar op andere poorten zoals DNS, mail of iets anders. En als ze al de HTTP poort gebruiken gebeurd dit niet via een webbrowser maar een tool welke zo veel mogelijk effort doet om zo veel mogelijk verzoeken te sturen: De plaatjes, stylesheet en javascript code wordt dan inderdaad niets mee gedaan. Wellicht kan je dit terugzien in je access log die de webserver software (IIS/Apache/nginx) genereerd indien je provider deze aanbiedt.

laptopleon schreef op maandag 11 april 2016 @ 11:21:
Ik heb nog geen reactie op de vraag om details over de DDOS.

Ik heb me ook afgevraagd wat de DDOS'ers er mee opschieten. De site-eigenaar is niet door derden bedreigd door dat dit zou gebeuren of iets dergelijks.

De site verkoopt merchandise van een youtube vlogger. T-shirts en zo. De vlogs gaan over games en grappen die hij uithaalt met zijn ouders etc. Niet bepaald schokkend materiaal.

Voor alle duidelijkheid: Er zijn volgens analytics.google alleen de eerste avond 5000 bezoekers geweest. De maanden daarna meestal maar een paar honderd per avond, hooguit 1.000. Maar de provider waar hij mee overlegt deed een offerte waarbij ze uitgaan van hooguit 20.000 bezoekers.

Aan de hand hiervan vind ik een DDOS toch een stuk logischer (helaas). Youtubers hebben altijd last van aanvallen op IP's, mensen kunnen op een of andere manier nogal slecht tegen het succes van een ander.
Gezien je nu aangeeft dat er een verhuizing heeft plaatsgevonden en cloudflare gebruikt word, heb je een kans van slagen. Let wel op dat alle DNS records hier dan langs moeten lopen anders zit je binnen een dag met hetzelfde gedonder. Stuur anders even via een DM het adres om te kijken of ik je nieuwe IP kan vinden.

laptopleon schreef op maandag 11 april 2016 @ 17:25:
[...]


Waar ik later bedacht: Bij de gratis versie blijft de hosting bij de oorspronkelijke partij, alleen de DNS wordt omgeleid via CloudFlare. Het IP blijft dus altijd eenvoudig te achterhalen.

Update: Volgens yourhosting kreeg men 300.000 hits op de homepage van de site, in een paar uur tijd.

Wat ik me dan afvraag is: Waarom zie ik dat niet terug in analytics.google? Of wachten de DDOSsende computers het laden van de pagina's niet af, waardoor de analytics code niet wordt aangeroepen? Of negeert analytics DDOS-ers op één of andere manier?

300.000 in een paar uur is niets Ik heb dus hier thuis sites gehost voor actiegroepjes, en als je dan even op de NOS en de radio genoemd wordt dan gaat het ineens heel hard... Merk je verder niets van. En dat was dan op een 100mbit lijntje (servers en WP wel flink geoptimaliseerd, dat wel)

300.000 hits in een paar uur dan heb je het over gemiddeld pakweg 10mbit in die paar uur. Dat knalt de lijn dus niet dicht. Dan heb je het dus over een shared hosting oplossing waar de site niet voor goed getuned is (ga ik gemakshalve even vanuit) en die eigenlijk nogal over geboekt is...
Ik neem aan dat je SSL (want: webshop, heb je het niet aan staan: ga je schamen!) aan hebt staan, wellicht heb je een standaard redirect gemaakt naar je https versie. Het opzetten van een SSL verbinding is nogal CPU intensief (en iedere click is een hele rits verbindingen die opgesteld wordt!). Dat kan er wel voor zorgen dat die server over zijn nek is gegaan. Aanrader is dan ook om alleen SSL te verplichten waar het nodig is: bij eventueel inloggen van zowel admin of gebruikers, en bij het verzenden van vertrouwelijke gegevens; oftewel de checkout.

Als je trouwens wilt vasthouden aan wordpress (ben ik niet zo'n fan van, beter als het een pure webshop is gewoon een puur webshop pakket gebruiken) kan ik je W3 Total Cache aanraden. Duurt even voordat je door hebt hoe het werkt en wat de caveats zijn, maar het kan de boel flink versnellen.

laptopleon schreef op dinsdag 12 april 2016 @ 00:16:
[...]

Aangezien zoals gezegd alleen de DNS via CloudFlare loopt is de IP eenvoudig te vinden.

Niet helemaal waar (is mijn ervaring).
Wanneer je de records instelt op DNS through cloudflare (meen dat die functie zo heet), is het IP niet te achterhalen.

Zoals in bovenstaande afbeelding de oranje wolkjes.

Gooi alle records op die instelling en laat dan nog eens een CF resolver draaien. Ik weet bijna zeker dat het IP dan niet naar voren komt. Wel kan het zijn dat je IP nog uitlekt als je de mailserver gebruikt etc, maar dit moet de meeste 15 jarigen toch wel tegenhouden.

Cloudflare heeft een CDN, zolang je de origin niet blootstelt (dus de dns via cloudflare laat lopen) dan moet het inderdaad een stuk lastiger zijn. Cloudflare geeft zero fucks om die paar honderd megabit.

laptopleon schreef op dinsdag 12 april 2016 @ 00:16:
[...]

Aangezien zoals gezegd alleen de DNS via CloudFlare loopt is de IP eenvoudig te vinden.

@terror
De site heeft *kuch* geen SSL certificaat *kuch*. Ik moet bekennen dat ik hier ook geen ervaring mee heb. De sites die ik bouw verkopen 99 van de 100 keer niet (rechtstreeks) iets en als dat gebeurt, gaat de betaling sowieso via een specialistische partij. Tegen bijvoorbeeld spam helpt een SSL-certificaat ook niet.

Persoonlijk zal ik zelf niet graag zaken doen met een zaak waar er geen SSL op de checkout zit. Hoewel het onwaarschijnlijk is is dat iemand mijn gegevens mitm onderschept komt het gewoon slordig over Daarnaast is het tegenwoordig gratis te doen (StartSSL en bv lets encrypt) als ik een mini webshop als klant zou hebben zou ik wat scripts maken voor lets encrypt en 5-10 euro per jaar vragen aan mijn klant voor een SSL setup die veiliger is maar niet per se professioneel overkomt (als wat grotere webshop wil je uiteindelijk wel EV verificatie etc. dit maakt echter niets uit qua encryptie).

Zoals ik al zei wordt de site nu wel gecached (waar mogelijk) en dat is te merken aan de vaak zeer snelle laadtijd, hoewel hij alleen al door de VPS ook niet trager zal zijn geworden.

Top! Als je meer performance nodig hebt kan je er evt. nog een proxy voorhangen (dat is wat cloudflare doet). Een gangbare setup is o.a. varnish -> nginx -> php

Eerlijk gezegd voel ik er weinig voor om er nog een systeem naast te gaan leren, omdat dat ook betekent dat klanten er mee om moeten kunnen gaan. Voor veel van mijn klanten is Wordpress al een hele uitdaging en WP staat als zeer laagdrempelig bekend.

Als het echt niet anders kan zal ik er wel naar moeten kijken, maar er zijn toch talloze voorbeelden van WP/Woocommerce sites? Dan moet deze eenvoudige site toch ook kunnen lijkt me. Dan zou ik nog eerder proberen dit child theme / deze opzet te optimaliseren.

Er zijn inderdaad talloze voorbeelden van WP+woocommerce, ik moet toegeven dat ik enigszins een aversie heb tegen WP. Overigens heb ik het zelf ook draaiend gehad zonder problemen.
Vooral omdat WP probeert alles te kunnen in plaats van 1 ding /heel/ goed te kunnen. Oftewel: WP is gebruiksvriendelijk, kan alle kanten op, maar is voor niets geoptimaliseerd (en is ook lastiger te optimaliseren dan b.v. een Drupal installatie) en kan niets echt gigantisch goed.
Dat is prima voor de blogosphere en de kleine algemenere websites/webshops. Maar voor grotere webshops (die dus puur webshop zijn) kan het handig zijn naar andere pakketten te kijken.

Zoals het nu klinkt dan voldoet WP+Woocommerce overigens, maar het is wel handig om je wat in te lezen zodat je, mocht de webshop flink groeien, je klant kan adviseren in de opties en waarom.