CISHost

Производится проверка шифрования трафика на всех этапах: Сервер — Cloudflare — Браузер. На сервер устанавливается доверенный сертификат от Cloudflare Origin Certification authority (CA), а между Cloudflare и браузером трафик шифруется открытым центром сертификации от Google Trust Services Certificate Authority (GTS CA 1P5) (ранее Let's Ecrypt).

В отличие от режима Flexible трафик шифруется на всех этапах: Сервер — Cloudflare — Браузер. Однако, достоверность шифрования между сервером и Cloudflare не гарантируется доверенными центрами сертификации, так как сертификат является самоизданным и не может быть проверен независимым доверительным источником.

Не требует подключения на стороне сервера. Подключается только внешний сертификат Google Trust Services Certificate Authority (GTS CA 1P5) (ранее Let's Encrypt).

Cloudflare предоставляет возможность подключения wildcard-сертификатов Google Trust Services Certificate Authority (GTS CA 1P5) (ранее Let's Encrypt), распространяющихся на домен и поддомены. Сертификат выдается на 3 месяца с дальнейшем автопродлением со стороны Cloudflare.


В данной статье будут рассмотрены различные способы подключения SSL сертификата к сайту

Если по каким-либо причинам Вы решили удалить сайт из Cloudflare, то это делается следующим образом

CloudFlare «ускоряет» работу сайта путём кэширования сайта в своих CDN по всему миру. Если Вы видите, что внесенные изменения на сайте не отображаются в браузере, нужно почисить кеш как самого браузера и CMS, так и в самом Cloudflare. Для этого:

Cloudflare -сервис, который предоставляет защиту сайтов от DDoS-атак. Реализован в виде прокси-серверов, через который проходит весь трафик к вашему сайту, при этом CloudFlare сам отфильтрует весь ddos-трафик, а «белые» запросы перенаправит на сервер хостинга. Для этого нужно произвести несложные настройки:

Наc часто спрашивают, на какие атаки распространяется защита VDS со стороны датацентров, обозначенных тут: www.cishost.ru/about/where-servers?

Отвечаем:

ICMP Echo Request Flood (Ping Flood) — массовая отправка ICMP-запросов, требующих от устройства принятия пакета, его обработки и формирования/отправки пакета с ответом, вызывающие перегрузку;

IP Packet Fragment Attack — массовая отправка неверно-фрагментированых пакетов, что вызывыает снижение производительности;

SMURF — отправка ICMP пакета на широковещательный адрес посредника (всем компьютерам сети) с подменой адреса отправителя на адрес жертвы, что вызывает зависания машины жертвы или нарушения функционирования всей сети;

IGMP Flood — отправка множества SYN-пакетов с подмененного ip-адреса на компьютер жертвы, что вызывает многократную попытку отправки подтвержения, что вызывает отказ обслуживания;

Ping of Death — отправка фрагментированного увеличенного ICMP-пакета, что вызывает переполнение сетевого стека компьютера жертвы и аварийную остановку)

TCP SYN flood/TCP Spoofed SYN flood — генерация SYN-запросов с игнорированием или перенаправлением на несуществующий адрес SYN+ACK пакетов, с целью поддержания полуоткрытого соединения, чтобы не допустить установления легитимных соединений;

TCP SYN ACK Reflection Flood — посылка пакетов с подменой исходного ip на ip жертвы на роутеры cети, отправляющие SYN/ACK ответ на указанный IP, при этом ACK-ответ не передается и посылаются повторные SYN/ACK пакеты, что вызывает захват всей доступной полосы пропускания;

TCP ACK Flood — производится отправка SYN1-пакетов с поддельных IP, атакуемый компьютер направляет ACK2 с номером «наш SYN1+1» + свой SYN2, злоумышленник перехватывает поступающий ACK2, формирует ответный корректный SYN3 = ACK2+1 и ACK=SIN2+1 и устанавливает соединение с поддельных IP, что приводит к перегрузке канала сервера;

TCP Fragmented Attack — отправка искусственно фрагментированной датаграммы состоящей ищ 2-х фрагментов, второй из которых не проеверяется фильтрами и содержит SYN-запрос;

UDP Flood — множественная отправка UDP-пакетов на порты удаленного хоста, который для каждого полученного пакета должен определить активность приложения и послать ответ, что приводит к отказу в обслуживании;

UDP Fragment Flood — отправка большого числа фрагментированных UDP-пакетов, которые требуют от компьютера жертвы их обратной сборки, что приводит к исчерпанию ресурсов;

Distributed DNS Amplification Attack — массовая отправка DNS запросов, с использованием исходящего адреса жертвы, большому количеству легальных серверов;

DNS Flood, DDoS DNS — массовая отправка запросов с большого количества машин на DNS-серверы;

HTTP(S) GET/POST Flood — заводнение множеством GET/POST-запроcов, поступающих от большого числа устройств, в результате чего возникают ошибки, падает производительность, происходит исчерпание ресурсов сервера.

Оборудование Arbor и Tilera содержит также элементы искуственного интеллекта, которые позволяют фильтровать и незнакомые типы атак.

Уважаемые пользователи, сервер g6.cishost.ru находится под воздействием сильной DDoS атаки. Мы принимаем все возможные меры по ее предотвращению и сотрудничаем со специалистами дата центра. Приносим извинения за доставленные неудобства.

Уважаемые пользователи! 26 сентября, с 14 до 18 часов по Москве не работал наш основной сайт и биллинговая система. На выделенный сервер была осуществлена мощная DDoS-атака. С нашей стороны были приняты кардинальные меры по борьбе с подобными атаками, в будущем подобной проблемы не планируется. Спасибо за терпение, приносим Вам свои извинения за причиненные неудобства.

Хостинг-провайдер CISHost.ru