Ako si iza CG-Nata, zahvali se svom provajderu što je vas pet hiljada stavio iza iste javne ip adrese.

Ne, ovo je nesto novo i meni radi proveru browsera, iako nisam iza cgnat. Doduse za sada samo checking od 1-2s i pusta me bez slicica aviona, kamiona...

Morace to da stoji par nedelja dok ruski spameri ne odustanu. Potpuno su zatrpali forum botovima, nemam bolji nacin da ih isfiltriram trenutno, ovo je jedino sto je delovalo.

Neki nezadovoljni korisnik se navrz'o na ES, sta ces...

Pa probaj da dozvoliš ćirilicu na primer :)

Meni je CloudFlare izgleda blacklist-ovao tunel, pa mi ne prolaze avioni kamioni i semafori, ne da mi da uđem.
Sad sam prebacio na drugu IP adresu pa mi radi normalno provera.

Kako šta? Izvini se nezadovoljnom korisniku i on će ti oprostiti što te je spamovao.

P.S.
Privet rossiйskim spameram!

Izgleda da neko radi na tome da rastera korisnike foruma.
Svaka cast, Gojko

Pa nije ES jedini forum sa ovime, zapravo i overclockers.com isto.

Ko jos normalan overklokuje u 2020?
S druge strane svi jos uvek vole elitni security.

scoolptor:"Ko jos normalan overklokuje u 2020?
S druge strane svi jos uvek vole elitni security."

Koliko vidim dosta njih. Ljudi se pale da izvuku masine na maks pa to ti je :P
No taj sajt je za IT vise nego sto je bas posvecen overclokovanju. Mislim nesto kao onaj nas benchmark.
No nebitno to nije tema, tema je da i kod njih isto ide ova cloudflare captch-a.

Eto,
izgleda da ima nekih rusa, koji bi da testiraju zvoje znanje i umece.

Mislim da ove semafore, auta i ostale djakonije
nece moci da prodju.

Jes da je naporno prilikom logovanja na ES.

Dovoljno je da kliknes na jednu slicicu ne treba na sve...

Branimire,
Ako je tako, to je dobro/super,
(nisam probao)
ja jedva nakliktao sve, sa dva para naocara :)

Kod mene je uglavnom bilo bez kamiona i aviona ali je jutros na kompu a kasnije i na mobilnom tražilo da ih isklikćem. Nemam vremena za to i ako ne prođe direktno, gasim i idem dalje, nije mi sve ovo toliko važno da bih tražio kamione na sličicama. Ako se oduži, ali i ako nastavi sa kamionima, izbegavaću forum.

Valjda je lakši način da se ne dozvoli pisanje neregistrovanim članovima a za registraciju stroga kontrola i to je to. Ionako je sve manje registrovanih, evo trenutno 15 registrovanih i 852 gosta. Gosti neka čitaju i neće da smetaju.

calexx,
E, Slavoljube,
Nocu ume da bude i do 1250 neregistrovanih,
a registrovanih jedva jedan do dva.

Ja sam se isto pitao,
Šta rade ti neregistrovani od 1200+ kusur clanova/posetilaca?

To ne moze Google, Yahoo ili Bing.

Nemam pojma o cemu je rec?

Living:"Šta rade ti neregistrovani od 1200+ kusur clanova/posetilaca?"

Web crawler-i...

"To ne moze Google, Yahoo ili Bing."

Izmedju ostalih botova i oni...

Branimire,
A cemu to sluzi?
Kakve koristi ima neko od toga?

Da li taj nema pametnija posla, svira "onu stvar",
ili zeze ceo forum?
Ne znam?

A kada će rss da krene opet sa radom? Iskreno, nemam ni vremena a ni živaca da prelistavam ceo forum.

Proradice kad bude iskljucena ta zastita :(
RSS link se takodje preusmeri na proveru browser-a/capcha-u ali RSS readeri ne mogu da se snadju sa tim.
Ne znam sta ti spameri konkretno rade i da li bi imalo smisla osloboditi samo RSS linkove provere (ako je (D)DoS, ne bi bilo dobra ideja jer bi mogli krenuti da napadaju tako).

Šta tačno radi tokom provere brovsera?

Cuj ja drzim na anonimnom ip-ju ,svom, web server na portu 8080, pa opet me nadje dosta crawlera.
Sta rade? Pa prikupljaju informacije koje mogu naci? Zasto pa recimo indeksiranje web strana
za pretrazivace ili ko zna sta jos?

edit:
ali ima dosta njih koji pustaju one automatizovane alate za nalazenje rup-a u web stranicama/serverima
Znaci motiv je i hakovanje strana.

U slucaju slabije mobilne internet konekcije, te slicice se uopste ne ucitavaju, pa je pristup ES-u nemoguc. Napominjem da drugi sajtovi ucitavaju vecinu slika sa takvom konekcijom, kao i da ES leti, ako mu se uopste uspe pristupiti, a obicno nije moguce doci do toga. Ako ce ovo da potraje par nedelja, onda da pretrpimo, probavamo sto puta dok nas ne pusti, proredimo dolaske i slicno, a ako ce da ostane za stalno - ja sam se vec psihicki pripremio da prestanem da dolazim nakon deceniju i po dolazenja.

takodje ima jos jedan bug. Predjem listu novih tema i isklikcem na interesantne "open in new tab", potom svaki od tih tabova trazi da prepoznajem slicice i ako uspem, on vise ne zna sta je trebao da otvori, nego me u svakom tabu vrati na naslovnu. Mozda neki timeout ili sta mu je ne znam. Tako da je ovo neupotrebljivo. Odjavljujem se na dve nedelje, tj. obavestavam da nisam u mogucnosti da obavljam moderatorske duznosti dok ovo ne prodje. Ne znam da li je tehnicki moguce makar moderatore osloboditi ove torture, jer da klikcem po slicicama da bi mi bilo dozvoljeno da obrisem neadekvatne sadrzaje i obezbedim postovanje pravilnika - malo je previse. Narocito kad je konekcija spora. Trolovi i ostali krsitelji pravila, pravac na deo foruma koji ja uredjujem, jer kako kaze stara narodna poslovica - gde macke nema, tu misevi kolo vode

A sta ti imas 33.6kbps konekciju?

Zapravo mi je samo prvi put ponudjeno 2 bloka slicica i vise nikad ... samo ono: sacekaj malo ! Ne pravi nikakve probleme ako ne pokusas ti njemu da napravis. Mnogo sajtova to isto radi bez i da znas za to ...

>>> Šta tačno radi tokom provere brovsera?

Pa, kao proverava bot/human? Ali to su ti corava posla - poodavno mozes sa Selenium WebDriver ili slicnim zagospodariti brouzerom i praviti stetu kao svaki craw. Sada ti oduzimaju startno vreme sa nekim interaktivnim pitalicama ili prosto narede brouzeru da odspava par sekundi i nakon toga posalje kuki koji je dobio. Ili mu posalju neki kod u JSu koji trazi par sekundi da se izvrsi. Nakon tog , prvog, kontakta si vec podpisan i CF tacno zna koliko si rikvesta poslao i koliko su smisleni. Tek posle duze pauze ce traziti da opet malo pauziras i pocnes sve iz pocetka.

Ceo ovaj mehanizam na CF nije nov pa ni problemi .... Ako si lepo zamoljen da odspavas a ti rucno otvaras nove tabove ili navalis da klikces po nekim dugmadima kao da si u ugrici ....pa, mislim da je jasno da si se potpisao na pogresanu stranu. Takodje, ovaj mehanizam koristi dosta tacno vreme, a Win u 21 veku ume da zeza sa sinhronizacijom vremena. Posebno sa zonom i letnje/zimskom smenom. Sasvim dovoljno da nikad ne prodjes ovu proveru ... Takodje razni zastitni programi nadgledaju sta brouzer radi i onemogucavaju njegovu komunikaciju sa CF.

Cloudflare to zove "JS Challenge" gde ti browser pokazuje neko vreme animirane "3 tacke" (JS :-) pre nego sto si upucen na sajt koji si hteo da posetis.

Time se postizu dve stvari:

1. Potvrda zahtevi dolaze od softvera koji implementira HTTP protokol i poseduje JS virtuelnu masinu (u najvecem broju slucajeva: browser a ne DDoS bot)
2. "Rate limiting" za "dzabe" (dzabe za Cloudflare, ne dzabe za vlasnika sajta) - dok ti cekas da tajmer "odzvoni", paketi ne stizu do sajta

Da prijavim, da se preko Safarija ne vidi dobro Madzone, dok ostalo sljaka, odnosno da se ne ucitava css ili/i je broken neki js, nisam gledao detalje. Preko Chrome je ok.

A zar ne moze neki waf ili fail2ban da se postavi, pa da se dodaju u firewall te adrese koje vise od recimo 5 puta pogode neki pattern. Ja sam tako resavao kad su mi razvaljivali neki Magento i par WP sajtova.

Mislim... meni ne smeta CF, nisam bockao captcha ni jednom, ponekad mi izleti taj screen pa sacekam sekund. Jaka stvar...
Ulogovan sam non stop pa mozda zato.

Veci razlog da ne dolazim na forum su one reklame preko cele strane sa sitnim “x” koji jedva ubodem. Pa sam poceo da bockam krstic za iskljucivanje celog taba umesto njega.


Edit:
@dejanet meni isto ponasanje na tel, Samsung Note, browser Chrome. A najcesce odatle posecujem.

Moze naravno, ako ti mrezna infrastrukura (kablovi + metal) moze izdrzati desetine gigabita u sekundi. Ako nemas srece: cak i stotine gigabita (najveci napad do sad je bio na GitHub: 2.3 Tbit/s)

Ako ti je link manji, bice zagusen DDoS saobracajem, pomesanim sa mallo regularnog koji uspeva da "prodje" = downtime.



Ako se radi o profesionalnom napadu, sumnjam da ti firewall ima memorije za sve dolaze IP adrese, cak i kad bi mogao da ih automatski dodajes.

Dzaba ti i da moze, ako je napad veliki, osim ako nisi Tier-1 ISP ili CSP najverovatnije ti se isplati da platis nekom drugom (recimo CF-u) da ti izigrava regulator protoka.

Ja nemam problema sa time, to adblocker uspesno eliminise...

Ako se dobro sećam, ES je bio hostovan na Hetzner-u. Imaju neku DDoS zastitu

Pri tom Gojko reče da ga napadaju spameri, a ne da je DDoS

Ovo.

Imao sam napad pre par meseci na neki ICO sajt, koji je odbio da plati ucenu. Dzaba sve, imao sam "clean" masinu, koja je bila "samo" load balancer (reverzni proxy), jednostavno se NginX na toj masini, fail2ban, sve zagusi. Usput se skuca i n php worker masina iza, jer iole ozbiljan napad ima bar ~4K masina sa kojih napada, najcesce samo jedna ili dve su u istom, subnetu....

CloudFlare je najjevtinije resenje, ubedljivo. Ko ima para, Akamai ili Arbour su fantazija, ali.... pare su vrlo ozbiljne. :)

Nije valjda da se neko takav obrusio na ES? :D

Ne bi bilo prvi put ;)

Misim da je daleko lakse setovati CF. Ako hoces ti sajt radi i sa velikim napadima, sa Hetznerom imas vise posla i manju zastitu.

@nkrgovic, kazes odbili da plate ucenu? Ako to vec rade moraju da racunaju da ce morati NEKOM da plate... hmmm, novi biznis model? (salim se, Marko Kras, Cezarov poslovni partner je to vec radio :-)

Te "kucne" (pod "kucne" mislim i na DC) varijante tesko da mogu da izdrze vece napade. Nece nginx i fail2ban da pomognu kada te gadjaju sa djubretom koje ti zagusi sve linkove koje imas.

Plus, sve i da imas mrezu, morao bi imati infrastrukturu koja moze da se izbori sa stotinama Gbit/s. Finansijski nema nikakve logike osim ako se ne zoves Akamai ili AWS ili neko slican.



Kao sto rekoh, Marko Kras 2000 godina kasnije :-)

"Nice website you have here..."

Veceras kad sam ustao oko 2 imam problema zbog packet loss-a, ne prolazi nikako provera, pa sad razumem pctela, jer na losoj konekciji
zaista ima problema.

@Ivan :

Ne kaze se dzabe "Bogat kao (Marco) Crassus" - fraza "bogat kao Krez" je ostala do danasnjih dana u srpskom, a da mnogi ne znaju ni po kome je nastala... Covek koji je u politiku usao na ciste talente, ako se ja secam, otplativsi dugove Gaja Julija, nekih... mozda 80 talenata? S'tim da je rimski talenat oko 50-60kg srebra.... pola tone, give or take.

Da, nesto moras da stavis, kako god hoces. Cloudflare je extra, uglavnom zato sto vecina napadaca "skonta" vremenom da im se ne isplati - pa sami odustanu. Pri tom, ne pricam o "kucnoj" varijanti, klijent ima ceo rack u Hetzneru, load balancer 4-5 aplikativnih servera, par DB, plus jos svasta okolo... ono, relativno pristojno. Ali dzaba. Ova druga resenja su osetno bolja, posebno ako se spoje u varijanti da imas svoje IP adrese, svoje (visetruke) linkove i sve ostalo - ali za bilo koji projekat "sa jevtinijim ulaznicama" - CloudFlare je fantazija. E sad, ako hoces ultra-low latency, onda ti CF bude malo problem.... ali za te pare, je super.

Novi momenti, sada mi CF kaže "This web property is not accessible via this address." Pa treba "resend" kũrac-palac... Previše je to cimanja za pristup ovom jadu od foruma.

He he, sad i refresh mora da prođe CF validaciju!

Da desava se kada ne pristupas direktno domenu vec nekom podlinku, recimo svom profilu.
Moras da ides direkt na www.elitesecurity.org , na carinski prolaz :D

Dobar biznis je razvio CloudFlare. Ima li alternativno dobrih/pribliznih resenja da je neko probao? (*zlu ne trebalo)

Neznam ima svega 2 3 foruma koje posecujem mozda 1 2 puta nedeljno ovo je najbolji i najefikasniji forum evo ja mogu da kazem za sebe ja cu dolaziti meni je ovaj forum najvise pomogao od svih drugih beznacajnih gde cekam mesec dana na odgovor uzas.Meni nije tesko da cekam cloudflare nekad bude dugo pa navratim kroz deset minuta nista ako je to nacin onda tako kolko god da treba nedajmo ovaj forum ljudi najbolji je.

Ipak je SlobaBg uticao na tebe,
malo si uljudio gramatiku.

Mogu da mislim kako pises na drugim forumima.
Nego, ovo je ipak prvenstveno IT forum
a ne forum samo za elektroniku ili elektrotehniku.

Posto Gojko dopusta to,
Ti i Bordzi, gradite Avalski toranj iz fundamenta,
pa kad stignete do pola neba,
onda Vam BOG prekine komunikaciju,
i sve pada u vodu.

Sabirate, delite signale, te SRB pa HR,
tesko vas je citati, a da covek ne odustane.
___________________________________
Ja bi Vama iskreno pomogao, ali sam odustao,
iz razloga, sto postavljate pitanja od pre ihahah vremena.

Te MUX ovaj, te MUX onaj,
pa kao prijem los, pa sutra dobar.
Naporno je to sve citati i razmatrati.
kacite Loge kratke, dugacke, uske pa siroke,
(nisam siguran da znate sta to znaci "uska, siroka, dugacka pa kratka").

Definitivno mislim,
da oboje niste u stanju da odradite Antenski sistem za sopstvenu lokaciju
a da valja!

Samo eksperimentisete, za djabe!

Nista lose ne mislim, samo da Vam je BOG u pomoci!

Moderatori,
Izvinite na mali OFF, u odnosu na "Cloudflare i Captcha na ES-u?".
Morao sam da im kažem, jer ne znaju gde su.
pOz

U principu ako se nakon nekog vremena pristupi nekoj stranici koja nije početna, javlja se problem koji je Sloba naveo. Zato na kraju uvek odem na početnu stranu :)

Branimire,
a koja je pocetna strana od dva naloga? ES-a?

Da, dzaba - ne znas sta ti je gore:

a) ISP/CSP ti ima "prakticno beskonacan" link = tvojih "5-6 servera u rack-u" ce biti odvaljeni sa opterecenjem. Skoro svi paketi ce biti DDoS saobracaj.

ili

b) ISP ima manji kapacitet = jos gore, onda ce ceo ISP imati muku

Hetznerovi kapaciteti se mere u Tbit/s (https://www.hetzner.com/unternehmen/rechenzentrum/) - sto znaci varijanta a) :-)

pa ova koju dobiješ kad uđeš na sajt...

Ddos se generalno izvodi na dva načina. sporom gradnjom broja konekcija i/ili gađanjem servisa koji je usko grlo.
Pošto ti botnetovi nisu dobro sinhronizovani, ja sam se
branio prostim restartom servera nakon recimo 1000 dos-a,
i onda im treba jedno sat dva da ponovo izgrade taj broj konekcija :)

Ako to gadja neko ko ima iole dobar botnet, on svima posalje "naredbu" i onda krene. Posle sat vremena su svi sinhronizovani :) .

Osim ako ne radi slow loris ili tako nesto, nema cekanja. Dobijes par hiljada racnara koji te gadjaju, non-stop. Nema brige, ako se resetujes dobijes nove konekcije za 30-60s.

Znaci, ovo tvoje da im treba sat vremena je kao ona sto na medicini odgovara "penis" iz anatomije pa kaze "prosecna duzina oko 17-18cm".... E, isto sto je njoj rekao profesor: "Koleginice, to ste imali srece". :D

Znaš kako, kad sam to implementirao niko od klijenata se više nije žalio na ddos... a bilo ih je i sa više od 50k adresa...

Imao si srece ili ti klijenti nisu preterano zanimljivi.

Veliki napadi danas mogu da regrutuju stotine i stotine gigabita u sekundi djubreta.

Ne mozes ti toliko linkova i rutera da kupis koliko profesionalni DDoS-eri mogu da prikupe "zombi" masina.

Znas kako pratio sam sta rade, da sam primetio drugu strategiju verovatno bih trazio druga resenja. Znaci u slucaju da su krenuli da bombarduju
samo banujes bez problema. znaci moraju jedan req i to svi istovremeno. Tako nesto je nemoguce izvesti zato sto mora da komunicira sa
50k hostova. Kazem najmanje godinu dana sam posmatrao sta rade. A klijenti su bas bili mete za tako nesto, Nikola zna posto je radio sa mnom.

To je bilo pre... vise od 10 godina i bio je slow-loris tip napada. Da, nisu bilio zanimljivi klijenti.

Danas zombiji vrlo uredno komuniciraju sa glavnim serverom, i nije im problem da naprave BRDO zahteva. Toliko da, mozes ti da ih banujes, ali sam proces banovanja ce te zakociti. Jednostavno, dobices toliko saobracaja od samih GET-ova da ce ti to prezauzeti masinu. Toliko toga ima. Danas, obicno, masina koja je zarazena je u 10-20 zombi mreza i konstantno trazi instrukcije od svake. S'tim da je nacin komunikacije takav da ih ne dobija redovno, vec recimo jednom u par dana.... Ali kad dobije, onda ne pusta. Takodje, imas par stotina hiljada zarazenih masina, pa ti je svaki dan na raspolaganju par desetina hiljada - dovoljno da te zagusi. Pazi, nisu to samo racunaru, to su ruteri, stampaci, fax masine, svasta... Ima ih. I nisu nikako zgodno "grupisani", to su neciji zarazeni npr. neupecovani ruteri koji vec godinama stoje i prave problem. Razbacati po celoj US i zapadnoj evropi, na regularnim adresama kucnih korisnika. Pa ti smisli sta ces....

Za ovo nema resenja na klijentskoj strani, nema veze kakav si programer, ako ti u sekundi stize par hiljada zahteva koji su svi "GET / HTTP/1.1 Host:www.tvojdome.tld" niti imas sta da filtriras, niti mozes da se tek tako odbranis. :) Stavise, ako ih se nakupi dovoljno, bukvalno moze samo request trafic da te ugusi.... :/ Zato se i prave zastite koje proveravaju da li je "klijent" pravi browser, recimo. U jos napadnijoj metodi od ove, a koju CF isto podrzava, mozes i da zahtevas CAPTCHA da bi se uopste pristupilo sajtu - ovo je ekstremno, ali nekad jedino moguce.

Ima jos resenja, tipa kesiranje na samom CDN-u (ali zna da pravi problem), tipa rate limit po IP-u (ako mozes da cuvas 2^32 adresa i da radis rate limit za svaku od njih - na masini koja to moze da trpi...) i slicno. Nijedno od tih resenja nije jevtino.

Nikola, ja sam se time bavio do 2017,ne pre 10 godina....
Kažem nikad nisam video botnet koji je napao odjednom
sa mnogo konekcija, zato što to lako možeš da banuješ ka dual core msšina može bez problema da obradi 40k reqsa u sekundi. Znači ti getovi nisu ništa. Ono što može da dosuje je ako gađaju određeni servis koji uzima vreme, ali ni to nisam video da pokušavaju. Svakako da sa jednim ipjem možeš da lako oboriš nešto što recimo upisuje u bazu i nema middleware kao front end. No kažem nisam video ništa sofisticirano... veći je problem sinhronizovati mnogo hostova nego se od toga braniti...

Nikola je apsolutno u pravu, tesko da ista mozes da uradis sa klijentske strane. To sto nisi video, ne znaci da ne postoji i da ne rade, prakticno imas da zakupis za par stotina $ odredjenu brzinu ili broj konekcija sa kojim ces da DDoS nekog odredjeno vreme...

Problem je što ti nisi video a kažeš mi da postoje tamo negde. Ja sam ih video najmanje 30ak,ostali me nisu zanimali jer više nisu pravili problem :)

Na storone klienta možno mnogoe sdelatь. Posmotrite эto video, i vы budete znatь, čto delatь.

@maksa, nikola:
Pa throttling(rate limiter) je, ono, skoro, pa obavezna stvar kod rest api-ija i web-a generalno. Vracas response code 42x, ne pustas konzumaciju nikakvih resursa(db, page procesing, static files...). To je sastavni deo, posteno napravljene web app-a.
Za te situacije ne moras da pazaris 3rd party resenja.

Ne mora da se radi o napadu, narocito ako je manji obim req/s, najcesce situacije su: zaj*bo rest klijent kod korisnika ili crawler nije "polite" ili kinez pokusava da zavali gomilu djubreta preko kontakt forme. Za prvo throttling, za drugo malo security tehnika na kontakt formi ili drugoj public formi. Sustina je razumeti i izbeci copy/paste resenja, vec napisati iz glave.

Za ddos je druga prica, strada infrastruktura, napisao je Dimkovic.

dejanet:"Za ddos je druga prica, strada infrastruktura, napisao je Dimkovic. "

cek ti mislis na napad brutalnim slanjem jednosmerih paketa koje ces ti uredno da dropujes ali ce zagusiti link?
Tako nesto nisam video... no verovatno neko mocan to moze da izvede.

ima takvih jos..
evo ja ovde odustadoh..

deja:"@maksa, nikola:
Pa throttling(rate limiter) je, ono, skoro, pa obavezna stvar kod rest api-ija i web-a generalno. Vracas response code 42x, ne pustas konzumaciju nikakvih resursa(db, page procesing, static files...). To je sastavni deo, posteno napravljene web app-a.
Za te situacije ne moras da pazaris 3rd party resenja."

a kako detektujes da si dosovan, tj da server vise ne prihvata konekcije? Moji napadi koje sam sretao su specijalno kraftovani da prevazidju upravo ovakve odbrane.
Ono sto sam ja napravio je da napade koji su kraftovani da prevazidju ovakve odbrane, detektujem tako sto bih video da raste broj konekcija i da onda
kada se dostigne maks konekcija restartujem server. I to je pokrilo sve napade sa kojima sam se susretao...

Ja sam video kod kolege ovde, neko im je je*ao sve po spisku a provajder T-Online (B2B), bukvalno nista nije moglo da se mrdne. To je bilo pre 7-8 godina. Danas sumnjam da bi proslo posto bi verovatno samo odmah platili T-Online zastitu koja bi saobracaj odvukla negde drugde.

Kolicina saobracaja koju milioni zombi masina mogu da naprave je impresivna.

Problem je, sve i da imas opremu i linkove koji mogu da izdrze, ti tu opremu placas - i to je placas ne da izigrava metu za DDoS-ere vec da radi nesto pametno.

Zamisli tonu najskupljih rutera, sviceva, hiljade distribuiranih servera i visestrukih optickih linkova koji rade... nista korisno za tebe, ali ti i dalje placas racun + gubis posao od musterija koje ne mogu da pristupe tvojim sajtovima.

E zato ljudi placaju CF, Akamai i ostale koji pool-uju infrastrukturu pa prakticno placas manje i ne gubis posao.

I ja sam primetio da mnogi ne znaju kako je nastala fraza... Ali vole da pišuuu!
Krez, kralj Lidije

Pa jedino na ruteru to moze da se ukine, softverski sa servera ne mozes nista. Paketi stizu pa stizu iako beskorisni, bw se trosi pa trosi. No ziasta mora da bude jako mnogo masina, pogotovo sto danas linkovi nisu malog bw-a.
No mislim da je ovde na ES drugi problem , a to su ovi spam botovi kako sam cuo od Gojka ovde. To nije DOS klasican nego spamovanje po forumu. A forum zastiti je mnogo teze nego neki servis koji mozes da sakrijes
ili sprecis pristup bazi ili naprosto mi smo imali servis kojio je isao u batch obradu nije moralo real time da se odgovara...

A Bane, kako se branis od desetak hiljada racunara koji salju regularan GET? Imas botnet, koji ti salje desetine hiljada GET-ova. Kako odgovaras na to? Kako znas da je u pitanju "bot" a ne regularan browser? Posalje samo GET, Host header, uredno popunjen i neki user agent recimo za firefox. Sta onda? Banujes sve koji rade GET / ?

E, o tom napadu ti pricam, ja sam to imao pre par meseci recimo. Mala zombi mreza par hiljada racunara (to je malo u odnosu na neke druge), cepaju GET svake sekunde. Regularni racunari, korisnici ne znaju da im se taj mallware vrti na racunaru.

I da, sa ovim se sam se ja sreo, licno, video, gledao logove..... Nije prica iz trece ruke. Meni je pomogao Cloudflare sa ukljucenim captcha. Throtling je OK ideja, ko ima load balancer koji ima resurse i mogucnosti da radi throtling per IP, za ceo internet (sve IP-ove koji postoje) i kome ne smeta da plati link koji ce da se zagusi sa 4xx responsima. Takodje, vodite racuna, throttling mora da ima jako velike limite - pitanje je da li bi ste uhvatili ovo. U proseku sa jednog IP-a u ovakvom napadu, u 10 minuta, dodje recimo 100-200 requestova, sto je dovoljno malo da je pitanje da li da radis throttle - jer to moze da bude i jedna srednja/velika firma iza jedne IP adrese - ili jedan komsiluk iza CG-NAT-a, ako imas sajt koji moze da bude popularan nije nenormalna kolicina. Problem je sto botnet ima, lupam 2000-3000 racunara ili vise. Da, kad smo kod linka, taj botnet i primi odgovor - tim racunarima nije problem, sto znaci da tvoj link treba da svake sekunde posalje par stotina ili hiljada kopija iste strane, pa placas i taj bandwidth.

Nikola:"A Bane, kako se branis od desetak hiljada racunara koji salju regularan GET?"

Nije problem ako se zatvara konekcija. Kazem dual core masina moze da obradi takvih 40k u sekundi. Zapravo to moze i na jednom jezgru.
A zavisi najvise od bw. Problem je ako taj get zahteva i nesto da se radi osim da se samo vraca content. E onda moras da razmisljas.
Kod nas je islo tako sto je isao samo req a onda je islo u batchu na kasniju obradu. No glavna strana nikako nije bila dostupna,
za to je morao login da se prodje ;)
Forum zastiti je malo teze ako mogu da drljaju po diskovima, tu ne moze ni nekoliko stotina reqs-a na prosecnoj masini...
Mislim ono pricali smo o tome kako radi amazon i ti veliki sto imaju jako mnogo transakcija ...

Ti kapiras da se taj bw placa? :) Nije problem zakesirati celu stranu za neulogovane korisnike (kao sto su botovi), ali njih ima mnogo - plus se i bandwidth placa, plus imas i normalne korisnike kojima treba da radi....

Rezon "uzmem ja par TB/s da placam, cisto da ne mogu da me DDoS-uju" nije bas ekonomski isplativ. Zapravo, ovo je sustina kako se koristi npr. CF : Napravis ga kao proxy, zakesiras celu front stranu za neulogovane korisnike i da... to je to. A posto ni njima bw ne raste na grani, dodas malo js provera, cisto da se ne bi smarali sluzeci botnetima.

Ja bi uradio ovako al ja se nepitam.Zvao mup iz sup a i trazio odljenje za tehnoloski kriminal i te tehnologe na robaju

Pa sad bw se trosi, e sad nek gledaju da se ne zamere previse :P
Nego da se nadodam, najveci problem je kad samo otvore konekciju i ne salju nista, onda lako popune fond konekcija i dos-uju
server. Mislim ono mi smo stavljali do 12 sekundi da cekamo, posto je to dozvoljavalo ali i sa 12 sekundi su stizali da izbilduju
fond konekcija pa je morao restart :P

Prvo treba da nadjes ko je operator botneta, sa obzirom da nemas pristupa tim masinama tesko ces moci naci, tim
pre sto moze preko nekog vpn/a proxy-ja da radi..

Puno srece. Podnosis krivicnu prijavu protiv N.N. lica, za napad sa vise hiljada adresa iz celog sveta, a lik ne znas ko je, eventualno ti se javio na telegram..... :) Da, da... to ce MUP da resi.

Connection drain je problem, stoji - ali problem je i traffic, zapravo. Sve i da iskesiras sve u RAM (a pocetnu stranu za neulogovanog korisnika mozes), opet treba neko da plati te Tb/s ... Oni sa par hiljada racunara nabace brzo, ukupno, iz celog sveta, dovoljno da zaguse link (tvog servera/reka ka provajderu) da regularni korisnici imaju problem. Tako da, super da ti saljes njima ali :

- Placas kao lud, posebno ako imas svoje IP adrese pa moras da imas svoj BGP ruter
- I dalje regularni korisnici imaju los ili nikakav pristup, jer botovi pojedu sav bandwidth

E - zato lepo preusmeris na CF, koji ima Tb/s i koji radi proveru pre nego sto saobracaj dodje do tebe - i ti nemas problem.

Koliko okvirno košta zakup botneta sa nekih 80 računara? Zanima me jer mi je trenutno napadnut jedan sajt za koji sam mislio da nije potrebna nikakva zaštita jer klijent nije zanimljiv. To mi je božja kazna, zaslužena, jer sam se na prvoj stranici podsmevao Gojku. Za sada nginx + fail2ban završavaju posao, ali vidim da broj blokiranih IP adresa polako raste.

Ja ne znam cene, ali ono sto sam cuo je da za vec par desetina dolara mozes da dobijes "low intensity" napad na par nedelja..... Takodje, ako dovoljno moljakas po nekim sajtovima (4chan mislim da vise nije aktuelan) mozes da dobijes i free, tipa "ako nema nista drugo - gadjaj Buzz-a".

Stavi CF. Nije za izmet, a free plan ti je, verovatno, dovoljan.

@Branimir Maksimovic,

Ideja iza CF-a je jako prosta: tvoja infrastruktura (linkovi, ruteri, svicevi, kutije, struja, ...) treba da se koristi za obavljanje tvog posla, sta god da je.

Znaci ti tu infrastrukturu placas X EUR mesecno.

Posao preko te infrastrukture ti donosi Y EUR mesecno, ali samo ako ta infrastruktura biva dostupna za posao.

Znaci, racunica ti je laka - napadi obaraju % infrastrukture slobodne za posao + to ti obara i zaradu zato sto manje infrastrukture imas za komercijalu.

U najgorem slucaju mogu da ti zauzmu 100% infrastrukture, u kom slucaju placas 100% troskova a imas 0% zarade. Ocigledno nije dobro :-)

Zato postoje firme poput CF-a, Akamai-ja i sl. koje ce ti prodati njihovu infrastrukturu kao "stit" od napada. Kako ovo moze da ti se isplati? Zato sto CF "pool-uje" svoje resurse i imaju daleko vecu infrastrukturu nego sto ti mozes ikad imati. Ti, prakticno, delis troskove toga sa gomilom drugih zato sto necete svi biti napadnuti u isto vreme :-)

Kao tajm sering suncobrana :-)

Racunica je tu skroz cista. Ovaj biznis je maksimalno optimizovan i predstavlja mozda ne nesto najblize ali vrlo blizu idealnog trzista van berze ili aukcija. Veliki igraci koji kupuju CF/Akamai servise imaju jako dobru ideju koliko sta kosta i zasto im se isplati da "outsource-uju".

Ovo ti je bio odličan predlog, hvala ti na savetu. CF je izuzetno jednostavan i izgleda da mi uopšte neće biti potrebno da uključim Under Attack Mode.

Imam predlog u vezi sa Cloudflarom. Ako su posetioci ES-a najvećim delom iz Srbije, zašto ne ukloniti CAPTCHA za Srbiju, a ostaviti za sve ostale? A ako neko pokrene napad iz Srbije, onda IP adrese proslediti policiji.

U prilogu je slika podešavanja. Iz nekog razloga neće da umetne sliku u tekst.

Hm, problem je kad se pise duza poruka ili posle nekog vremena. Kad posaljes poruku posalje te na CF i kad te vrati na ES, 🖕. Srecom pa je FF zapamtio kad sam uradio back...

Ma sve pet i to ali, ddos terorizam je ipak pobedio, jer paranocicno proveravanje captchom na svakih 5 minuta, govori da CloudFlare sistem i nije tako neprobojan...

Mislim da je Under Attack Mode poslednja opcija. Ako ništa drugo, Gojko bi verovatno mogao da uradi ono što sam preložio u prethodnom postu, da isključi CAPTCHA za Srbiju na osnovu geoip.

Mislim da je "problem" CG-Nat. Ja imam fixni javni IP samo za sebe i na poslu i kod kuce i nijednom mi nije izasla captcha. Tri tackice i js da, captcha ne.

Ja imam javni ip, kao da je fixni posto se vezuje za mac adresu i nikad se ne menja. Captcha redovno izlece i ovde i na poslu.
Eto promenio sam mac adresu na ruteru da promenim konacno ip adresu nakon 2 godine :P

Onda nemam pojma... Meni ne iskace captcha nikad za ES.

Sve jedno, to je CF "under attack" mode, koji ima neku svoju logiku. Nije savrsena, nije ni CF savrsen - ali je skroz korektan. Za free plan je fantazija. :) Iskreno, meni je Pro plan vrh, za 20$ stvarno vredi. Koristio sam i Binis kad mi je trebao, 200$. Koristio i LB, i svasta... Generalno, CF ima fenomenalan price/performance. Za malo para dobijes vrh uslugu - 20$ je za sajt iz Srbije povoljno, to je ponuda koju svaki startup moze da uzme da ne misli. Ali da, opet - ima i free plan :).

Verovatno ne osvežavaš stranicu često, ni meni ne iskače stalno, ali nikako da uhvatim pravilo po kom to ide...

Meni se čini da baš posle duže neaktivnosti iskače.

P.S.
Tek pošto sam napisao, vidim da si ti isto to rekao :)

Cloudflare mi prijavljuje za MTS IP adresu (sa mobilnog) da je sa Kosova, dok kada pokrenem u konzoli



dobjam:

GeoIP Country Edition: RS, Serbia

Hm, nijednom mi nije iskocila provera od kako osvezavam na poslu. Izgleda da nema provere za staticke adrese...

Pa Kosovo je Srbija? :D

Ja pristupam sa IPv6 adrese i dobijam taj ekran sa 5 sekundi, a malo pre mi je iskocila i captcha ... sto je cudno, s obzirom da su sve IPv6 adrese staticke.

Beri:"Ja pristupam sa IPv6 adrese i dobijam taj ekran sa 5 sekundi, a malo pre mi je iskocila i captcha ... sto je cudno, s obzirom da su sve IPv6 adrese staticke. "

Pa u tome i jeste stos. Zato smtp serveri nikada nece preci na ipv6 ;)
Nema banovanja spamera :P

Da se samo osvrnem.
Zastita mora da postoji, u najmanje tri stvari: 1. koliko konekcija moze da napravi u sekundi 2. koliko requesta u sekundi moze da napravi 3. koliko dugo moze da drzi konekciju. (1 ip)
Ako nema zastite, svako moze da otvori 4-8 k konekcija i da uplombira server ocas posla.

Ne znam kakvo je iskustvo iz Srbije, ali sa NZ bukvalno svaki put kada otvorim sajt moram da radim captcha. I pritom imam checkbox plus dve stranice kliktanja.
Razumem da mora biti zastite, ali ovaj UX je uzasan.

@Branimir
Da li broj konekcija u sekundi realizuješ preko iptables? Za broj 2 sam siguran da treba podesiti na nivou veb servera, a pretpostavljam i da je tako i za 3 (keep-alive).

@plague
Isto je i iz Srbije.

Buzz, sve je to reseno u web serveru. Stvar je u tome da smo silom prilika morali da napisemo svoj, a onda sve to mozes tu da uradis.

Plague, ako si na dinamickoj ip adresi isto je svuda. Eto jedan post mi propao kada sam poslao, iskocila captcha, i otislo.

Bane ima svoj web server :) - tako da je njegov rezon ne bas portabilan... ;)

NginX ima i rate limit i limit za broj keepalive requestova i sve. Posto su te zastite per connection a ne per IP, s'jedne strane imaju vise smisla (jer NAT), ali sa druge i dalje mozes da budes blokiran ako neko krene da otvara mnogo konekcija sa iste adrese.... Zato ti trebaju protection mehanizmi koji prevazilaze opseg web servera, a masivno skalabilan reverzni proxy tipa CloudFlare je skroz dobro resenje, posebno za pare koje kosta. ;)

Ni CF nije svemoguc, dovoljno velik botnet ce se osetiti u svakom slucaju, ako je bot pristojno napisan (tipa ume da renderuje js), ali CF definitivno pomaze. Vodi racuna da CF, verovatno (nema javnih informacija) ima spisak adresa koje su izvor cistog botnet saobracaja i da te adrese, verovatno, filtrira u startu.

Mislim da su najveći problm dinamičke stranice. Iza Nginx-a se obično nalazi PHP-FPM ili nešto slično. Uz limit_req Nginx može da izdrži veliki broj konekcija i da blokira one koji premašuju zadato ograničenje. Međutim, svaki prvi zahtev biće prosleđen FPM-u.

Što se tiče ES i CAPTCHA testa, možda to uopšte nije loše. Ako ništa drugo, povećaće se kvalitet postova :)

Ova tema govori u prilog toj tezi.

Tehnicki mozes da kesiras taj location na par minuta, ili da dignes nesto vise cache-aware tipa varnish ili kako vec. Mozes da imas kes samo ako nema setovan neki cookie ili header, pa da tako ne radis kesiranje za ulogovane korisnike. Malo vise posla, ali izvodljivo.

Ali opet, zasto bi izbacivao stotine megabita u sekundi, satima, da hranis botnet koji to ne gleda? Sto bi placao taj traffic?

Jel ovo privremeno iskljuceno ili za stalno ?

Nadam se da je za stalno , nedostaju Botovi , pisu kvalitetnije postove od mnogih clanova

Jedan ip mozes da obuzdas. Al ako ih ima 10k+ e onda je problem. Znas ako imas neki servis ne moze tu nista da se uradi, ako oni izgledaju
ko legitimni klijenti. bw ce da se trosi pa ce da se trosi, i to ako placas po bw ce da te kosta kako kaze Nikola.

Slažem se, zaštita bez CDN proksija me zanima samo iz radoznalosti.

Kako funcioniše Cloudflare ako imam jedan domen i više sajtova na poddomenima? Pretpostavljam da bi trebalo da funkcioniše bez problema. Jesi li isprobao možda?

Probao sam i vise domena i vise poddomena na istom NginX server, uz SNI i TLS 1.3 . Nema nikakvog problema. CF proxy ispred se setuje odvojeno, CF izdaje svoje certr-ova i uredno prosledjuje Host: header i TLS SNI.

Nego, jel ukinuta captcha? Nešto mi se ne pojavljuje više?

Jedino ako me je poslušao Gojko i ukinuo za Srbiju. Ne pojavljuje se ni meni sa IP iz Srbije, ali zato kada idem kroz USA Proxy pojavljuje se. Ako me je poslušao za ovo, onda verovatno ima nade i za ćirilicu :)

Ukinuto je sudeci po tome da je proradio RSS :)

Najbolje ako je Gojko ukinuo za Srbiju, a sebi, Ivanu i jos nekim moderatorima i istaknutim clanovima koji zive u holandiji ostavio

Nego, jesi ti bese imao i predlog da se IP adrese iz Srbije sa kojih dolaze napadi dostavljaju policiji? Moze li neko objasnjenje zasto bi to policiju trebalo da interesuje i koje su posledice ako je naprimer tvoj racunar/telefon/ruter/televizor zarazen pa salje zahteve bez tvog znanja? Zar nisu ti zahtevi pojedinacno potpuno legalni i bezazleni, problem nastaje jedino iz razloga sto ih stigne mnogo sa mnogo lokacija jednovremeno? Otprilike kao kad bi hiljadu zombija uslo u prodavnicu da pita koliko kosta jedna zvaka. Svaki od njih pojedinacno ima pravo da udje i da to pita i policija nema nista sa tim , ali kad oni potpuno popune prostor prodavnice, ti ne mozes da udjes da kupis hleb 😀

Jesam. Imam ja i glupih predloga :) Neko treba duradi nešto i da ukloni taj malware. Dođe lepo policajac,

- Dobar dan,
- Dobar dan,
- Jeste li u toliko i toliko sati otvorili stranicu na tom i tom sajtu
- Nisam
- Gospođo, osnovano sumnjamo da je Vaš računar član botneta
- Čega?
- Botneta.
- Šta da radim?
- Jeste li primenili poslednji apdejt za Windows 10?
- Ne.
- Zašto?
- Koristim Linux.
- Mislio sam da na Linuxu ne postoji malware.
- Grešite, kernel pre verzije 3.7 može biti meta Drvoruba.
- U redu, sada ste prošli samo sa opomenom, ali uradite clean install i pređite na noviju verziju kernela... Vratiću se...

Kao što rekoh, imam i glupih predloga, a nisam ni nešto talentovan za pisanje.

Zahtevi su pojedinačno legitimni ako su ih poslali ljudi svojom voljom, ali ako neko koristi moj računar da bi slao zahteve bez mog znanja, onda sam i ja oštećena strana. Policija bi trebalo da juri počinioca koji je to instalirao na moj računar bez mog znanja, a svi tragovi vode do Tor releja. Mada, ako sam stavio piratski SW sa zapakovanim malverom, onda sam saučesnik, iako nisam toga ni svestan.

Policija nema nadležnost van granica države...

Realno, policija ne može ništa da uradi u većini slučajeva. Ja znam samo za jedan slučaj od pre više od 10 godina. Sasvim slučajno sam pre jedno 5 godina upoznao i policajca/inspektora i "hakera". Haker je u vreme kada je upao na sajt i pobrisao sadržaj bio maloletan i dobio je uslovnu kaznu. Taj sajt je imao ozbiljne sigurosne propuste, a (tada) klinac je od svoje kuće uradio SQL injekciju. IP adresa je ostala u logu i policajcu je ostalo samo da izda nalog provajderu i sazna identitet počinioca. I dan danas taj policajac to prepričava kao svoje veliko dostignuće :)

Izvodjio sam danas listu IP adresa iz Srbije sa kojih mi je sajt napadnut. Od par hiljada adresa, desetak je iz Srbije. Mislim da su to uglavnom TOR releji i nema svrhe da šaljem tu listu policiji. Verovatno bi me samo cimali da dajem neke izjave i ko zna, možda bih na kraju i platio neku kaznu :)

@BuzzLightyear,

U teoriji (i ignorisuci razlike izmedju virtuelnog i pravog sveta), neka "IT policija" bi mogla imati ovlascenja kakva ima policija u "realnom" svetu.

U tom slucaju "IT policija" ne bi bila tu da daje nekakve opomene ili da kaznjava zrtve "virtuelne provale" vec da ih obavesti da su zrtve "virtuelne provale" i da je njihova imovina koriscena za izvrsavanje "virtuelnog krivicnog dela". Stavili bi "virtuelnu policijsku traku" dok ne sredis imovinu i stavis joj "virtuelni alarm"... ne mogu vise da izmisljam lose analogije.

Naravno ovo nema nikakvog smisla zato sto nema tih resursa "IT policije" koji bi mogli da se ovim bave.

Jos gore, umesto da se trose drzavne pare, ako si uspeo da ubedis javnost da je OK da svaki pojedinac ili firma placaju reket AV firmama za "zastitu" ("virtuelna mafija" ?) zasto bi ikada to hteo da menjas? :-)

Zanima me da li većinu uređaja u botnet mrežama čine uređaji čiji vlasnici ne znaju šta se dešava jer su im računari inficirani ili su to oni koji su svesno pristupili botnet mreži? Malo sam guglao i našao neka rešenja koja podrazumevaju da napadač instalira program kod sebe i onda zajedno sa ostalim srodnim dušama DDOS-uje.

Mislim da svesno pristupanje botnet mrezi kosta mnogo para, zato sto onda moras da platis isto sto i onaj koga gadjas.....

pazi ima ih sa preko 50k unikatnih ip adresa, vidjao sam...

Osim ako te neko ne placa za to (cak i ako ima zainteresovanih, sumnjam da su neke pare) zato bi uopste hteo da ti oprema bude koriscena za DDOS napade?

Bez kinte, bukvalno si nekome poklonio najam opreme, struju i interenet link za njihove potrebe.

Slanje zahteva je jeftinije od odgovora. Napadač samo odbacuje odgovore, dok žrtva troši resurse za generisanje odgovora.



Podelio si troškove sa njima jer svi želite nekome D'DOSanđujete. Recimo nas je trojica i svako od nas ima jedan sajt koji želi da blokira. Pokrenemo program i pustimo da radi, a program vrti sajtove u krug.

Našao sam HOIC koji omogućava nešto slično (link do stranice na Wikipediji). Čini mi se samo da program ne nudi automatsku sinhronizaciju.

Ne znam da li postoji, ali mogao bi da se napravi sistem gde napadači plaćaju korišćenje tako što dele svoje resurse sa ostalim napadačima. Ostaviš program uključen i na taj način skupljaš poene, koji se konvertuju u vreme. Podesiš za program visok nice broj, tako da te ne ometa u korišćenju računara. Dok je program uključen u pozadini floduje nepoznate sajtove. Kada nakupiš dovoljno poena, onda možeš da pokreneš svoj napad i koristiš resurse svojih kolega. Udruženi zločinački poduhvat sa velikim brojem nepoznatih ljudi, a kao što smo već zaključili policija je nemoćna. Sve to plaćaju mama i tata kroz račun za struju.

Ovo što sam naveo je samo mogućnost. Mislim da je verovatnije da najveći broj botova čine računari koji su pokupili malware sa piratskim softverom.

Buzz:"Slanje zahteva je jeftinije od odgovora. Napadač samo odbacuje odgovore, dok žrtva troši resurse za generisanje odgovora."

Oni odgovore moraju primiti, pa da ih odbace. Ako salje req pa zatvara konekciju, nista nije uradio////

U redu, ali žrtva pre nego što pošalje nazad HTML u velikom broju slučajeva mora da izvrši gomilu nekog koda (SQL, PHP/Python...)

Još jedna bitna stvar. Ako bi napadač koristio sistem koji sam opisao u prethodnom postu, napadač bi imao mogućnost da optimizuje svoje troškove, tako što bi akumulirao resurse. Ako bi recimo za mesec dana akumulirao mogućnost da na 24 časa zaustavi server žrtve, akumulirano vreme bi mogao da razvuče u narednih 30 dana. Žrtva ne bi mogla da zna tačno vreme napada, pa bi morala sve vreme da ima na raspolaganju mnogo više resursa nego što joj je inače potrebno. Svaki zastoj žrtvu košta mnogo više nego što je napadač u to uložio jer gubi trenutnu zaradu i buduće i postojeće klijente.

U suštini ono što sam opisao je kao Cloudflare, ali za DDOSade.

_{[Ovu poruku je menjao BuzzLightyear dana 11.09.2020. u 20:19 GMT+1]}

Nadam se da cete to lepo srediti :( srecno.

Znas kako, napadac mora da kraftuje napade tako da izgleda kao regularan user. Vec sam vise puta ponovio nisam nikada video da napadaju odjednom,
nego se neprimetno uvlace i polako grade fond konkecija. Znaci treba im jedno 2 sata da obore server koji moze da primi 8k konekcija, koji ima sve one 3 zastite.
bw se trosi, servisi idu. Ali ne znam racunicu klijenata, mozda nisu placali po potrosnji nego samo bw, ne znam vec kako to ide. U svakom slucaju ne verujem
da 50k ip adresa isto placa ISP i to, pre ce biti da su to neke zaboravljene kante u nekom cosku neki Xp-ovi, tako nesto.

Pošto CDN radi keširanje, koliko je pametno prebaciti sav statički sadržaj (koji se nakon kreiranja retko ili nikada ne menja) na neki object storage (npr S3/Digital ocean spaces/Linode Object storage...) i preko njega mountovati FS (npr s3fs ili goofys)? Cena samog skladišta je mnogo niža, a inbound saobraćaj je kod većine provajdera besplatan. Koje su loše strane?

Ovaj, ja ne znam skoro nikog ko ne koristi object storage za statiku. Naravno, CF ispred - bilo CloudFlare bilo CloudFront. ;)

edit: Verzionisanje statike se podrazumeva, ali to ti sad rade alati sami (gulp, sass, stagod sta bilo u trendu kod js ekipe).

Mene brine s3fs, hoće li to da pravi probleme? Želeo bih tu da čuvam fajlove koje otpremaju korisnici i koje generiše postojeći sistem, a ne želim ništa da menjam, već da "prevarim" sistem da "misli" da i dalje koristi POSIX fajl sistem.

Ukljucih tor, what an experience, pa pola sajtova sad trazi captchu :(

edit:
i sto je fazon nakon ovog posta tor ip je blokiran :P