Servidores de TeamSpeak 3 com Proteção contra ataques DDoS

A SoulHosting oferece a melhor opção em compra de Servidores de TeamSpeak 3 com proteção DDoS - com o surgir dos anos se ficou muito comum esse tipo de pratica na internet, chegando a um ponto hoje que quem não possuir proteção para evitar esses ataques terá seu servidor afetado, ainda mais numa epóca como hoje onde isso é tão comum e acessível para muitas pessoas que tem intenção de prejudicar.

 

Sabendo disso a SoulHosting investiu em um DataCenter especializado em Proteção contra ataques de DDoS, e com isso conseguimos ter um uptime de até 100% em nossos servidores.
a SoulHosting oferece hoje a melhor opção no Brasil em servidores protegidos contra DDoS, garantindo um bom preço acesível , bom atendimento e qualidade no serviço.

 

Se você ainda não sabe da importanancia em contratar seu servidor em uma empresa que vende servidores de TeamSpeak 3 com proteção, saiba um pouco mais abaixo e entenda por que é importante ter tal proteção.

 

Abaixo uma explicação completa sobre oque é ataques de Ddos e também oque é feito para se defender desses ataques, esta explicação foi escrita e feita pelo DataCenter o qual hospedamos nossos servidores hoje, e que é considerado um dos melhores do mundo para tal.

 

Post escrito por ctave OKlaba, fundador e CEO da OVH (DataCenter onde hospedamos nossos servidores)

 

Por que atualizar a proteção anti-DDoS?

Após o incidente Wikileaks, o Anonymous apontou para alguns dos pontos fracos da Internet. Ao democratizar ataques DDoS, eles mostraram como é fácil derrubar um site. Alguns adolescentes, portanto, descobriram um novo tipo de videogame em que a arma é o LOIC (Low Orbit Ion Cannon) eo alvo é um site de prestígio.

E como isso tem trabalhado antes?

Antes de 2011, os ataques DDoS foram muitas vezes lançados por grupos de hackers para ter de volta uma rede de robôs (botnet), assumindo o controle de um servidor de IRC. Temos também tinha clientes alvo de um grupo de criminosos pagos por seus concorrentes.Seu objetivo era tomar o seu site para baixo para obter os seus visitantes.

Teria que ser considerado como uma forma de atividade do crime organizado?

Como na vida real, os ataques DDoS na Internet foram e sempre serão vinculados ao cyber banditismo. Estes ataques são feitos por homens pagos para fazê-las. E contra eles, há outros homens que protegem as infra-estruturas dos clientes. Nós transpor o mundo como ele é hoje em dia na Internet.

Como é que as proteções evoluiu ao longo do tempo?

Até 2011, os sistemas de proteção anti-DDoS foram baseados fora das limitações de certos tipos de tráfego de origem e / ou endereços IP de destino, que iria parar 99 de 100 ataques. Proteções estavam disponíveis para todos e gratuito para clientes. Depois de 2011, um monte de pessoas novas foram introduzidas para DDoS e me interessei por esse tipo de atividade.

Quais foram as consequências?

A democratização dos ataques. Os novos tipos de ataques foram escritos e se espalhou na Internet. Finalmente, sites apareceu que permitia a qualquer um comprar os recursos necessários para gerar um ataque a um alvo durante cinco ou 10 minutos. Por qualquer razão, qualquer pessoa com uma conta Paypal agora podem lançar um ataque contra um alvo. Em nosso nível, percebemos que no final de 2012, nossas proteções não foram eficientes o suficiente para evitar que esses novos tipos de ataques.

Como você continuar a dar proteção renovada para seus clientes?

Nós sempre consideramos proteções anti-DDoS como um recurso padrão, não uma opção. Para estar protegido contra todos os tipos de ataques não devem ser um luxo que apenas alguns clientes podem pagar. Ao mesmo tempo, mesmo com as proteções anti-DDoS eficientes, os nossos clientes são o alvo dos ataques mais graves, diversificados e ilimitadas porque os hackers estão se adaptando e modificando o tamanho de seus ataques em conformidade. Por isso, tive que ir com tudo desde o ir buscar.

Este problema parece impossível de resolver ...

À primeira vista, sim, é impossível de resolver. Mas, se os investimentos são mútua entre todos os nossos clientes, o custo para o serviço anti-DDoS por cliente vai ficar bastante baixo. Portanto, a idéia é fazer o oposto de todos os nossos concorrentes: não oferecer uma opção cara, mas para integrar a proteção anti-DDoS no custo total do serviço.

Quanto custam as infra-estruturas anti DDoS?

Se nós só usar as soluções de mercado, teríamos que investir cerca de 2750 mil dolares para 100 Gbps/100 Mpps de proteção. Hoje em dia, a capacidade de protecção de 100 Gbps não é suficiente. Além disso, nossos datacenters cobrir cinco zonas: Paris (P19, GSW, DC1), Roubaix (RBX), Strasbourg (SBG), Gravelines (GRA), para que quatro zonas na França, além da zona de Montreal (BHS) na América do Norte.

Você, portanto, precisa investir 2 milhões dólares cinco vezes, a fim de proteger todos os seus centros de dados?

Na verdade, teríamos de investir mais de US $ 10 milhões para obter 500 Gbps/500 Mpps de capacidade de protecção total para as cinco zonas abrangidas pelos nossos datacenters. Se somarmos a nossa equipe de suporte 24/7, isso significaria um aumento de custos de cerca de US $ 10 por mês. Isso é demais para nós.

Vamos falar sobre o aspecto técnico, como é que você, finalmente, fazê-lo?

Desde 2011, temos vindo a desenvolver algumas funções de rede não-relacionados para DDoS, nos processadores Tilera. Estes são os processadores com 48 ou 60 núcleos programáveis ​​que chegar ao mesmo nível de desempenho do que os algoritmos escritos em hardware no ASIC * (application specific integrated circuit).

Como tem Tilera mudou o processo de proteção anti-DDoS?

Como um investimento, em vez de $ 2,75 milhões para 100 Gbps/100 Mpps, podemos ter o mesmo nível de proteção para $ 103,000! Os custos de investimento são divididos por 26! Ele é enorme. Mas as plataformas Tilera são simplesmente hardware capaz de gerenciar uma grande quantidade de pacotes por segundo. Não há nenhum software neles e por isso temos que escrever tudo desde o início com os desenvolvedores especializados.

Quanto tempo leva para reescrever tudo sob Tilera?

Dois anos. É um longo tempo e os nossos clientes não tem tempo para esperar tanto tempo para acessar as proteções anti-DDoS. Por isso, concentramos nossa atenção sobre as proteções anti-DDoS que bloqueiam os ataques mais ferozes na largura de banda. Reduzimos o tempo de desenvolvimento para dois meses.

E para todos os outros tipos de ataque?

Quanto ao resto, aqueles que não requerem uma grande capacidade de largura de banda, que utilizam as soluções padrão do mercado. O nosso valor acrescentado era de imaginar e pôr em prática essa combinação de tecnologias que reduzam o investimento e torna a proteção anti-DDoS disponível para todos.

Hum, uma combinação ...! Você pode explicar isso?

Na verdade, nós criamos uma mistura de diferentes tecnologias para obter uma proteção de cerca de 500 Gbps/500 Mpps, disponíveis para cada um dos nossos clientes dentro de 3 a 6 meses e sem afetar os preços. Temos também decidiu usar três infra-estruturas anti-DDoS em três das nossas zonas e proteger os restantes duas zonas através das outras três zonas.

Onde você implementou as infra-estruturas anti-DDoS?

Montamos uma proteção 160 Gbps em Estrasburgo (SBG), Roubaix (RBX) e Montreal (BHS), o que equivale a um total de 480 Gbps. Em caso de um ataque a um IP em Paris ou Gravelines, mas também em um IP em Roubaix, Estrasburgo ou Beauharnois, o tráfego é limpo em todos os três infra-estruturas, ao mesmo tempo.

De onde vem o nome "VAC" vem?

Cada um dos 160 Gbps infra-estruturas é chamado de "VAC". O termo VAC vem da palavra vácuo. Temos VAC1, VAC2 e VAC3 em três locais diferentes na Europa e América do Norte. Todos os três trabalhos VAC em paralelo para gerenciar todos os ataques a cada um de nossos clientes.

Como os ataques tratado?

Se o ataque vem do Oriente e da Europa Central, como a da Rússia, Polónia, Roménia, Itália, Suíça e Alemanha, são aspirados por VAC2, em Estrasburgo. Se o ataque vem da Europa Ocidental ou do Norte, por isso a partir de França, Bélgica, Holanda, Reino Unido, ou a Espanha, ele é tratado por VAC1, que está em Roubaix. Finalmente, se o ataque vem do Norte ou América do Sul, Ásia e Austrália, é passa por VAC3, na zona de Montreal (BHS), em Quebec.

Que tamanho são os ataques a seus sistemas?

Antes que possamos falar sobre o tamanho dos ataques, a rede precisa ter um excedente de capacidade de capturar o ataque e redirecioná-lo para o VAC. Se o ataque é muito poderoso, uma infra-estrutura anti-DDoS agradável será inútil, porque a rede já saturada pelo montante e que o serviço será desclassificado para todos os nossos clientes.

Qual é a capacidade da rede na OVH?

Hoje, a nossa capacidade média de interligação entre a nossa rede ea Internet é de cerca de 2,5 Tbps. Até o final do ano, teremos 3,5 Tbps e acreditamos que até o final de 2014, que deve ser de 5 Tbps.

Não é a rede já utilizada por todos os clientes?

Sim, mas a nossa rede é explorada no "OVH para Internet" direção. Por outro lado, os ataques vêm da "Internet direcção OVH" direcção. Em outras palavras, realmente temos um excesso de capacidade de mais de 2 Tbps na direção que precisamos para lidar com os ataques DDoS.

Então, qual é o tamanho dos ataques que você costuma receber?

Nós às vezes se ataques direcionados para os nossos clientes com um tamanho de mais de 70-80 Gbps. Este tipo de ataques é interrompido sem um problema e que o cliente vê nenhum impacto sobre os seus serviços.

Como você se certificar de que os usuários com quem você está conectado não são eles mesmos limitados em termos de capacidade de rede?

O excesso de capacidade de mais de 2 Tbps é espalhado através de 20 PoPs (Pontos de Presença) em toda a Europa e América do Norte.Paris, Frankfurt, Varsóvia, Amsterdã, Madri, Nova York, Chicago, Los Angeles, Miami ... onde quer que a nossa rede está fisicamente presente.Nestes PoP, estamos ligados com diferentes usuários.

E assim?

Um ataque DDoS vindo de milhares de endereços IP de origem chega de todas as partes do mundo. Ao contrário dos nossos concorrentes, nós não concentrar a chegada do ataque em nossa rede através de um PoP em uma cidade. Aqui, um ataque DDoS entra em nossa rede no local mais próximo da origem do ataque, por exemplo, em Miami, Los Angeles, Toronto, Praga, Viena, Madrid, Paris, etc O ataque é, portanto, se espalhou por todas a capacidade da rede todo o mundo, de modo que não sobrecarregue os usuários, nem a rede. E então, é aspirado e limpo pelo VAC mais próximo.

O que significa a limpeza de parte do ataque envolve?

A VAC é constituído por muitas peças de equipamento de uma série que olham para cada pacote de IP para decidir, dependendo do conteúdo do pacote, se é legítimo, se é um pacote ligado a um ataque, ou se precisamos para liberar um algoritmo de autenticação para o pacote.

O que acontece em cada um destes casos?

No caso de um pacote legítimo, ele é aceito e encaminhado para a próxima peça de equipamento, e então o último aparelho da VAC redireciona para o servidor do cliente. No caso de um pacote de que, evidentemente, é parte de um ataque, os pacotes IP são apagados. No terceiro caso, estes são os pacotes que precisam autenticar porque eles podem ser legítimas, ou parte de um ataque. Por isso, o VAC libera um algoritmo de autenticação para determinar o que fazer.

Por exemplo?

Por exemplo, usamos um algoritmo chamado "Syn Auth" para bloquear os tipos Synflood de ataque, que consistem no envio de uma grande quantidade de pacotes SYN a partir de fontes IP falsificados. Aqui está como funciona: uma vez que o VAC recebe o pacote SYN, ele apaga-lo e envia um pacote RST para o IP de origem que reinicializa conexão a fonte de IP. Este mecanismo de recuperação de conexão padrão é interpretado pelo endereço IP de origem, e ele responde com um novo pacote SYN com o mesmo número de seqüência SYN como o primeiro pacote. O VAC lembra o primeiro pacote e percebe que o segundo pacote é reenviar o mesmo número de seqüência.Conseqüência: o endereço IP de origem é adicionado à "lista branca" do VAC por uma hora. Todas as ligações a partir do IP de origem para o IP de destino são automaticamente aceitos. No entanto, se o IP de origem reenvia pacotes SYN que não têm nada a ver com os pacotes anteriores SYN, o VAC gera exatamente o mesmo algoritmo para todos aqueles pacotes SYN e, portanto, elimina-los todos. O ataque é então impedido e os pacotes legítimos manter passando.

Será que não há falsos positivos neste algoritmo?

Além do cliente "SSH", que reproduz a seqüência corretamente, mas não reinicializa automaticamente a nova conexão, todos os outros clientes TCP pode gerenciar este algoritmo sem nenhum problema.

O que você pode fazer para o SSH?

Nós só temos que executar novamente o cliente "SSH" ea conexão é estabelecida.

Não é muito limpo.

É a conseqüência da escolha do cliente fez ativando a opção "mitigação permanente". De facto, se um cliente escolhe a ser protegido 24/7, mitigação funciona todo o tempo. E já que o SSH é usado exclusivamente pelo cliente para gerenciar o servidor, é um compromisso que ele escolheu para ter em seu servidor.

Por outro lado, um cliente pode escolher auto-mitigação?

Sim, no caso de auto-redução, a OVH detecta o ataque e, em seguida, ativa a sucção no VAC. Após o fim do ataque, OVH pára a atenuação após 15 minutos. Em vez de 15 minutos, o cliente pode escolher entre "imediatamente", "1h", "6h" ou "26h". No caso de "atenuação permanente", o cliente escolhe usar o VCA 24/7.

Com a redução permanente, o que acontece quando ocorre um ataque?

Se o cliente tiver ativado a opção permanente mitigação e não há realmente um ataque, que detectá-lo e ativar, do nosso lado, auto-mitigação, bem como a mitigação permanente. Não há nenhuma mudança no processo, mas, se, durante o ataque, o cliente desativa a opção permanente de mitigação, a mitigação ainda continua por causa da auto-redução.

Qual é a diferença entre anti-DDoS e anti-DDoS Pro?

Com Pro, o cliente tem automaticamente mitigação permanente. Ele também tem acesso à Rede Firewall que lhe permite autorizar determinados endereços IP ou aplicativos para se conectar ao seu servidor e bloquear todo o resto. Finalmente, temos estoque de todas as informações sobre os fluxos que foram aceites e apagados pelo VAC para cada IP mitigados, por sete dias. É um serviço com um valor acrescentado muito elevado para analisar um ataque após o fato.

Isso é tudo?

Sim, isso é tudo, mas é enorme. OVH é o único no mercado que oferece redução permanente de todos os seus serviços. Mitigação permanente é muito caro, porque ele usa os recursos VAC 24/7, mesmo quando não há nenhum ataque. No caso de auto-mitigação, o cliente apenas usa a protecção anti-DDoS durante um ataque.

Mas em termos de qualidade da mitigação, há uma diferença entre as duas ofertas?

Quando se trata de o próprio serviço, eles são exatamente os mesmos. Por padrão ou Pro, o cliente tem acesso a toda a proteção contra qualquer ataque, não importa o comprimento do ataque, o tamanho do ataque, ou o tipo de ataque. Nós integramos nos alertas de serviço no início de mitigação, no final de mitigação, com os relatórios de mitigação, incluindo curvas de tráfego do que entrou no VAC eo que saiu dele. Também adicionar uma amostra de 10 linhas do tráfego que foi apagado e aceito.

Qual é a capacidade do VAC?

Nossa rede tem uma capacidade excedente de mais de 2 Tbps. Temos três VAC na produção, para que possamos gerenciar até 480 Gbps/480 Mpps.

Quanto tempo demorou para desenvolvê-lo?

Testes em VAC1 eo desenvolvimento em Tilera levou três meses. Após a primeira VAC foi validado, lançamos a produção nas duas outras VAC. Tudo foi feito em cinco meses.

Cinco meses não parece ser uma longa experiência.

Temos vindo a lidar com ataques a todos os níveis, desde o primeiro dia na OVH, há 14 anos, se é sobre a coluna vertebral, os servidores dedicados ou hospedagem mútua. Temos uma longa experiência em proteções L7 para sites contra qualquer tipo de ataque apreciativo.Estamos desenvolvendo o software que faz proteções L3/L4 que estamos girando na Tilera. Para escrever um algoritmo que começa até 10 milhões de vezes por segundo em cada porta 10G Tilera, é preciso saber como codificar, mas também a forma como a Internet funciona em detalhes de cada pacote. Finalmente, se um cliente usa auto-mitigação e ele está atrasado, de-ajustado ou simplesmente não funciona muito bem, o cliente não necessariamente vê-lo desde a mitigação só é ativado durante o ataque, o que significa alguns minutos aqui e ali. Com mitigação permanente, lidamos com casos muito complicados, para diferentes clientes com uma variedade de serviços. É uma experiência indisponível para nossos concorrentes porque eles só têm auto-mitigação.

Quais são os resultados até agora?

Durante os betas, testamos para as configurações corretas e nós temos que verificar o funcionamento global do VAC. Em seguida, atento as configurações para alguns casos particulares relacionados com alguns clientes e integrá-los na configuração final. Também fixa algumas falhas. O VAC agora funciona perfeitamente bem.

 

 sobre o Manager?

O VAC está emparelhado com o v6 API, o que nos permite automatizar as atenuações. Adicionando as novas regras de Rede Firewall, ativando a mitigação, desativá-lo em um endereço de IP ou todos os endereços IP é muito fácil de fazer com o v6 API. Em paralelo, o gerente toma as funções disponíveis do v6 API para torná-los utilizáveis ​​dentro de alguns cliques.

Qual é a próxima?

O presente VAC proporciona um unidirecional, ou assimétrica, proteção e alguns ataques requerem um bidirecional, ou simétrica, proteção.

Você pode explicar qual é a diferença?

Com a proteção unidirecional, o VAC só tem os pacotes no "Internet para o servidor do cliente" direção, mas permite que o servidor responder diretamente na direção oposta. Para todos os níveis L3/L4 de proteção, para verificar a soma de verificação do pacote, etc, é perfeito. Se estamos a falar de camada 7 (L7), por exemplo, não estamos falando apenas de cabeçalho do pacote IP, ou o conteúdo do primeiro pacote, mas estamos falando sobre a conexão entre dezenas de pacotes.

Como funciona o algoritmo nesses casos?

A decisão sobre se se trata de um ataque ou não só pode, por vezes, ser tomada após a conexão é feita. Para mitigar de forma unidirecional do L7, o VAC tem que autorizar o ataque para chegar no servidor do cliente, para, então, determinar se a conexão é legítimo ou não. Os recursos do servidor são, portanto, realizou-se durante o ataque, para, então, ser liberado.

Qual é a solução para evitar este?

O bidirecional, ou proteções simétricas. Estamos atualmente trabalhando na criação de L7 Web e DNS proteções que podem ser ativados "on the go", sem qualquer reconfiguração no servidor do cliente. Isso iria bloquear ataques a aplicações, por exemplo, um DDoS no URL de um site, ou a slowloris, que consiste na ativação de um máximo de conexões em um servidor, para, em seguida, lentamente escrever o pedido. Sabemos como mitigar esses tipos de ataques à nossa infra-estrutura e só deixar as conexões legítimas alcançar o servidor.

Quando é que essa proteção estará disponível?

Os betas estão acontecendo agora, e nós acreditamos que o serviço será estável até o final de setembro e disponível para a Web / SSL.Então, vamos trabalhar no DNS e, talvez, outros protocolos.

O mundo da Internet Service Providers (ISP), portanto, mudou muito?

Estamos de fato desafiando as normas desse mercado, fazendo a proteção anti-DDoS acessível para todos os nossos clientes, ao mesmo tempo que geralmente é um serviço muito caro. Mais uma vez, nós fizemo-lo por questionar as tecnologias estabelecidas e criando uma solução técnica inovadora completamente diferente e que funciona melhor com as necessidades dos clientes em termos de preços e capacidade de mitigação. 

* Aplicação Específica para Circuito Integrado: é um circuito eletrônico que integra em um único chip todos os elementos ativos necessários para a construção de uma função ou um conjunto eletrônico. 
Um ASIC pode integrar muitos função de uma placa, ou substituí-lo, e até mesmo integrar novas funções em uma embalagem menor.

 

Está satisfeito ? está sendo alvo de ataques de DDoS em uma empresa que não lhe oferece proteção ?. Então esqueça esses problemas e venha alugar um servidor de teamspeak3 com proteção DDoS na soulhosting !


Tags: Servidor de Ts3 com proteção , Comprar TS3, Alugar ts3, comprar ts3 protegido , servidor de teamspeak 3 protegido , alugar teamspeak 3 barato