[Westman]

Citat:

Originally posted by weetabix@Sep 15 2005, 22:37
jag kan förstå varför en del webbhotell vill hantera dns... som tex vid ddos då det inte är helt ovanligt att dom byter ip på webbservrarna.

Men samtidigt så är det ju ingen direkt nackdel att kunden sköter sin egen DNS - själv eller genom ombud. Det enda som kan bli lite jobbigt är att försöka hjälpa kunder att ställa in sina DNS-entrys om de måste göra det via kontrollpaneler (som man aldrig har sett).

Personligen tror jag att de webbhotell som kräver att man flyttar allt till dem egentligen är ute efter att säkra kundens affärer på längre sikt. Helt enkelt beroende på att de ser alla andra alternativ som konkurrenter. Man behöver dock inte konkurrera, det går utmärkt att samexistera utan att vara samarbetspartners. Vi har rekommenderat bl.a. Crystone och Loopia till en del kunder utifrån deras behov och önskemål. Varför? De var billigare än oss på just de specifika sakerna och erbjöd helt enkelt mer för pengarna.

Webm@ster, det finns massor med webbhotell som erbjuder det du eftersöker. Däremot kanske de inte kostar 9:- per månad utan närmare 49:- per månad.

[patrikweb]

Citat:

Originally posted by weetabix@Sep 15 2005, 22:37
jag kan förstå varför en del webbhotell vill hantera dns... som tex vid ddos då det inte är helt ovanligt att dom byter ip på webbservrarna.

Nja, inga webbhotell lär byta IP för en ddos. Dock kan det vara vanligt att vissa siter/nät som får stora ddos emot sig byter pekar om sina domäner emot 127.0.0.1 under tiden.

[weetabix]

hur hanterar du själv en ddos om du skulle få den på ett av dina ip-nummer som är knutna till ett par hundra kunders webbar?

[SpaceDump]

Eftersom jag mest troligt inte skulle veta specifikt vilken site det rörde sig om så skulle jag helt enkelt blackhola ipnumret som är attackerat.

Om attacken sen skulle hålla i sig (erfarenheten säger mig att en ddosattack mot en websida kan hålla i sig ett tag tyvärr) så skulle jag peka om webbarna mot annat IP-nummer och hålla tummarna för att jag de nya ipnumren inte får attacken istället.
Skulle även sprida ut det lite då så att jag kanske inte har så många på ett enda ipnummer utan i slutändan kan använda uteslutningsmetoden för att få fram vilken site det är som attackeras.

Så skulle jag göra och har gjort.

//Anders

[patrikweb]

Fungerar inte allt för bra, inte om man har många kunder. Om du byter IP och pekar om alla domäner så har du bara fått helvete extra arbete om nu inte attacken är specefik mot IP men personerna lär märka att du byter om dom är ute efter verkligen sänka.

Och om dom verkligen är smarta sattsar dom på länknäten du har för att du inte kan smidigt skydda dig. Smidigast är ha 2 linor en för NT och en för GT, för nästan alldrig NT trafik som består av riktigt fet ddos.

Men smidigast är att vid större ddos be upstream rate-lima eller blockera det längre ut i deras nät där det finns kapacitet som dom inte kan fylla.

[SpaceDump]

(Jag har ett gäng länkar numer)

Två GT
Två NT
Och en separat länk direkt mot Telia.
Så, tåtarna för det finns iaf på den fronten, hyffsad konnektivitet.

Hittar man bara siten som attackeras så skippar man att peka om den.
Bra kommunikation med upstreams är givetvis A och O i det här fallet.

Telia ratelimitar dock ingenting längre.

Ovanstående har tillämpats två gånger, dvs, det jag skrev tidigare, båda gångerna med lyckat resultat.
En snabbanalys av webbloggarna innan gjorde att jag kunde klura ut vilken site det var och helt enkelt skippade att "flytta" den medans jag flyttade de andra och blackholade det attackerade IPnumret.

//Anders

[patrikweb]

Telia rate-limar icmp etc mycket väl i alla sina routrar just för att en ddos inte ska kunna sänka delar av sitt nät. Dock kanske dom inte blockerar separat för kunder som ber om special block.

Dock lär dom göra det om ddos är så stor så den sänker hela distro router du sitter mot och alla kunder emot den.

Även B2 verkar ha någon roligt system för skydda sig, om man sänder en hel del syn emot dom blockeras man (räcker med en liten syn portscan mot lite länknät). Även om man sitter från annan isp då nullas man vid routern isp'na byter trafik.

Dock kommer man få problem med ddos så länge asien och sådana länder får vara kvar på internet. Dom länderna vet knappt att man ska ansöka om ip eller vad filtrering är.

[Gonte]

Citat:

Originally posted by Webm@ster@Sep 15 2005, 13:11
Har varit i kontakt med ett antal webbhotell som kräver att man även flyttar sin domän till dom, i detta fallet *.se domän, men finns det inget hotell där man själv kan få peka om de via Loopias kontrollpanel?

Jag virrar bort mig lite i den här tråden (är väl för trött för att fatta vad alla skriver om), men för att besvara frågan så funkar det iallafall hos http://www.avello.se, jag har själv ett par sajter där och till samtliga är domänerna reggade hos Loopia...

[jonny]

Det fungerar hos i princip alla webbhotell.
Enklast för kunden är i normalfallet att dnsen hanteras av webbhotellet.

Sedan kan ordet "flytta" ha lite olika innebörd gällande domännamn, i många fall handlar de om att peka om domänen till rätt namnservrar - redelegering.