Bruke virtuell server til å skjule ekte IP

[RaveX]

Har noen servere dundrende i boden, som kjører alt mulig. Har fungert strøkent i mange år, men har i det siste opplevd noen ddos angrep. Telenor mener jeg må ha deres bedriftslinje og betale tusenvis av kroner / mnd for å få en helt enkel ddos beskyttelse på linja mi, noe som er uaktuelt. 

Har i lenger tid vurdert å flytte over til dedikerte servere rundt omkring i verden, men per nå bruker jeg altfor mye ressurser til at jeg har råd til dette. Å leie servere er dyrt, hvertfall når man får så mye ytelse per krone ved å kjøpe flett nytt AMD basert utstyr som man da eier. 

--
Nok jabbing nå. Her er casen min : 
Jeg har alle nettsider og slikt bak cloudflare, noe som fungerer strøkent, men jeg kjører en del spillservere, som gjør det latterlig enkelt for selv en 6 åring å finne ekte ip, og betale 5 euro til ymse nettsider for å ta ned linja mi i noen timer. Dette er jeg lei, og jeg ser derfor på løsninger. I hodet mitt, tenker jeg at en god virtuell server i ett større datasenter med god ddos beskyttelse er løsningen, og leser rundt at mange har gjort dette. Målet mitt er å bruke den eksterne ip adressen til denne virtuelle serveren for å kontakte min egentlige ip, slik at tjenestene jeg hoster ikke avslører sin ekte ip like lett. 

Min server -> Min router -> Internett -> Virtuell server -> Bruker i andre enden. 

Dette skal kunne gjøres med Openvpn. Jeg er selvfølgelig avhengig av å kunne åpne en rekke porter. 

Finnes det noen guruer her inne som har noe fornuftige løsninger på dette, eller kan bruke litt tid på å se på / hjelpe meg å sette dette opp, mot en penge ?

[process]

"DDOS mitigering" består som regel i å nullroute måladressene - det er forsåvidt et enkelt problem, men løsningen er (for de fleste rimelige leverandører) utelukkende å ha masse ekstra kapasitet, som er dyrt.

EDIT: Det du spør om kan løses med openvpn, evt wireguard eller lignende, men da med en del overhead (nett + compute), ekstra latency og tvilsom nyttegrad - med unntak av å kunne beskytte hjemmeforbindelsen.

Endret 12. april 2020 av process

[tingo]

19 hours ago, RaveX said:

kjører en del spillservere, som gjør det latterlig enkelt for selv en 6 åring å finne ekte ip

spørsmålet er jo: vil en VPN tilkobling løse dette problemet? "løse problemet" kan her bety to ting:

1) spillserveren får en privat IP-adresse (gjennom VPN-tunnelen) og det er den seksåringene klarer å finne. Ettersom private ip-adresser ikke rutes over internett så er problemet løst.

2) Det blir "umulig" å finne den ekte ip-adressen til spillserveren - problemet er løst

Dersom spillserveren "sladrer" om IP-adressen så er valg 1 og foretrekke.

[MegaMann2]

On 4/13/2020 at 1:13 AM, process said:

"DDOS mitigering" består som regel i å nullroute måladressene - det er forsåvidt et enkelt problem, men løsningen er (for de fleste rimelige leverandører) utelukkende å ha masse ekstra kapasitet, som er dyrt.

 

 

Litt upresist.

Nullruting er en vanlig enkel måte å stoppe et angrep på, men det vil gjøre tjenesten din utilgjengelig for legitime brukere. Det er ikke alltid ønskelig eller akseptabelt for en kunde.

Da må se på andre metoder. Det er som du nevner da vanlig å ha masse ekstra kapasitet, men ikke last-mile mot kunden, men internt hos ISP på ytterpunktene av dems nettverk. Gitt følgende eksempel, en kunde har 1Gbit, og får et angrepet på 40 Gbit. Når angrepet da oppstår, så on-demand ruter man den trafikken til denne kunden gjennom en vaskeplattform som kan takle enorme mengder trafikk. Den plattformen inspiserer og filtrerer ut trafikk som man kan kategorisere som deltakende i DDoS. Den resterende trafikken vil da bare være legitim og være under kapasiteten som kunden betaler for.