Full (strict) SSL/TLS encryption mode

Производится проверка шифрования трафика на всех этапах: Сервер — Cloudflare — Браузер. На сервер устанавливается доверенный сертификат от Cloudflare Origin Certification authority (CA), а между Cloudflare и браузером трафик шифруется открытым центром сертификации от Google Trust Services Certificate Authority (GTS CA 1P5) (ранее Let's Ecrypt).
Читать дальше

Full SSL/TLS encryption mode

В отличие от режима Flexible трафик шифруется на всех этапах: Сервер — Cloudflare — Браузер. Однако, достоверность шифрования между сервером и Cloudflare не гарантируется доверенными центрами сертификации, так как сертификат является самоизданным и не может быть проверен независимым доверительным источником.
Читать дальше

SSL от Cloudflare

Cloudflare предоставляет возможность подключения wildcard-сертификатов Google Trust Services Certificate Authority (GTS CA 1P5) (ранее Let's Encrypt), распространяющихся на домен и поддомены. Сертификат выдается на 3 месяца с дальнейшем автопродлением со стороны Cloudflare.


В данной статье будут рассмотрены различные способы подключения SSL сертификата к сайту
Читать дальше

Как очистить кеш Cloudfalre



CloudFlare «ускоряет» работу сайта путём кэширования сайта в своих CDN по всему миру. Если Вы видите, что внесенные изменения на сайте не отображаются в браузере, нужно почисить кеш как самого браузера и CMS, так и в самом Cloudflare. Для этого:
Читать дальше

Как спрятать сайт за Cloudflare



Cloudflare -сервис, который предоставляет защиту сайтов от DDoS-атак. Реализован в виде прокси-серверов, через который проходит весь трафик к вашему сайту, при этом CloudFlare сам отфильтрует весь ddos-трафик, а «белые» запросы перенаправит на сервер хостинга. Для этого нужно произвести несложные настройки:
Читать дальше

AntiDDos

AntiDDoS
Наc часто спрашивают, на какие атаки распространяется защита VDS со стороны датацентров, обозначенных тут: www.cishost.ru/about/where-servers?

Отвечаем:

ICMP Echo Request Flood (Ping Flood) — массовая отправка ICMP-запросов, требующих от устройства принятия пакета, его обработки и формирования/отправки пакета с ответом, вызывающие перегрузку;

IP Packet Fragment Attack — массовая отправка неверно-фрагментированых пакетов, что вызывыает снижение производительности;

SMURF — отправка ICMP пакета на широковещательный адрес посредника (всем компьютерам сети) с подменой адреса отправителя на адрес жертвы, что вызывает зависания машины жертвы или нарушения функционирования всей сети;

IGMP Flood — отправка множества SYN-пакетов с подмененного ip-адреса на компьютер жертвы, что вызывает многократную попытку отправки подтвержения, что вызывает отказ обслуживания;

Ping of Death — отправка фрагментированного увеличенного ICMP-пакета, что вызывает переполнение сетевого стека компьютера жертвы и аварийную остановку)

TCP SYN flood/TCP Spoofed SYN flood — генерация SYN-запросов с игнорированием или перенаправлением на несуществующий адрес SYN+ACK пакетов, с целью поддержания полуоткрытого соединения, чтобы не допустить установления легитимных соединений;

TCP SYN ACK Reflection Flood — посылка пакетов с подменой исходного ip на ip жертвы на роутеры cети, отправляющие SYN/ACK ответ на указанный IP, при этом ACK-ответ не передается и посылаются повторные SYN/ACK пакеты, что вызывает захват всей доступной полосы пропускания;

TCP ACK Flood — производится отправка SYN1-пакетов с поддельных IP, атакуемый компьютер направляет ACK2 с номером «наш SYN1+1» + свой SYN2, злоумышленник перехватывает поступающий ACK2, формирует ответный корректный SYN3 = ACK2+1 и ACK=SIN2+1 и устанавливает соединение с поддельных IP, что приводит к перегрузке канала сервера;

TCP Fragmented Attack — отправка искусственно фрагментированной датаграммы состоящей ищ 2-х фрагментов, второй из которых не проеверяется фильтрами и содержит SYN-запрос;

UDP Flood — множественная отправка UDP-пакетов на порты удаленного хоста, который для каждого полученного пакета должен определить активность приложения и послать ответ, что приводит к отказу в обслуживании;

UDP Fragment Flood — отправка большого числа фрагментированных UDP-пакетов, которые требуют от компьютера жертвы их обратной сборки, что приводит к исчерпанию ресурсов;

Distributed DNS Amplification Attack — массовая отправка DNS запросов, с использованием исходящего адреса жертвы, большому количеству легальных серверов;

DNS Flood, DDoS DNS — массовая отправка запросов с большого количества машин на DNS-серверы;

HTTP(S) GET/POST Flood — заводнение множеством GET/POST-запроcов, поступающих от большого числа устройств, в результате чего возникают ошибки, падает производительность, происходит исчерпание ресурсов сервера.

Оборудование Arbor и Tilera содержит также элементы искуственного интеллекта, которые позволяют фильтровать и незнакомые типы атак.

DDoS атака на сервере g6.cishost.ru

Уважаемые пользователи, сервер g6.cishost.ru находится под воздействием сильной DDoS атаки. Мы принимаем все возможные меры по ее предотвращению и сотрудничаем со специалистами дата центра. Приносим извинения за доставленные неудобства.
Читать дальше

DDoS-атака на основной сайт

Уважаемые пользователи! 26 сентября, с 14 до 18 часов по Москве не работал наш основной сайт и биллинговая система. На выделенный сервер была осуществлена мощная DDoS-атака. С нашей стороны были приняты кардинальные меры по борьбе с подобными атаками, в будущем подобной проблемы не планируется. Спасибо за терпение, приносим Вам свои извинения за причиненные неудобства.

Хостинг-провайдер CISHost.ru
Читать дальше