ME ATACAN POR LA WEB DE LA VELADA (también codi.link)
HTML-код
- Опубликовано: 4 июл 2024
- Te cuento cómo casi me cobraron miles de euros por un ataque de denegación de servicio (DDoS) a la web de La Velada del Año y . Te explicaré cómo funciona este tipo de ataque, cómo detecté que me estaban atacando, qué medidas tomé para evitar pagar una fortuna y como te puede ayudar a ti esto
▶ No te pierdas más directos en: / midudev
00:00 - Intro
00:29 - MI ATAQUE POR LA WEB DE LA VELADA
20:58 - Cómo lo solucione?
24:11 - Por qué Cloudflare?
29:27 - Vercel, Render y Netlify son caros
31:03 - “Podías haber desactivado la web”
37:58 - Cómo gestione el estres del momento? Наука
Midu es una cosa increible, enseña sobre un ataque, lo atacan. Y convierte eso en una clase de ciberseguridad, la positividad en persona. Admirarte es poco crack
Gracias majo ❤️
@@midulivepor eso supongo que la persona que dijo que no tenía que ver contigo quiso decir que no fue quizás que te odiaba y tal, sino que fue como algo al azar.
pero besale los pies, picale una torta de cumpleaños, regalale un lambo, pidele la bendicion
Esta muy bueno, pero no es ciberseguridad, en realidad mostró porque no usar este tipo de servicios.
@@midulivesera que Firebase funcione en este caso 🤔?
Subscriptor: Midu puedes crear un tuto de seguridad en tu web?
Midu: No quiero,
Subscritor *Ataca con DDos a la pagina de la velada*
Midu: Tutorial de como evitar ataque
🤣
😬 red flag y de paso se llama Miguel también 😮🤔
@@JulioVinachi pido perdón necesitaba el tuto
Es cruel, pero es algo que tenía que pasar.
Vercel: avisar al 25% o 50%?, na para eso aviso al 75% para poder cobrar más 🤑🤑🤑🤑🤑🤑🤑🤑
La verdad es que más avisos vendrían bien para evitar sustos.
Firebase, puedes establecer alertas por montos en dolares, y puedes poner varios.
@@midulivepues solo hay uno que le conviene no avisar jajajaj
@@midulive En las diferentes nubes publicas puedes poner alertas para que te avisen tanto de cpu, request, billing y lo que te imagines, ellos se lavan las manos, tuviste que haber puesto budgets, suele pasar xd
La envidia siempre es de abajo hacia arriba.
La gente que te envidia te ve desde abajo. Ellos te odian pero en el fondo lo que te demuestran es admiración por la posición superior en la que tú estás (y ellos NO). Y lo que hacen es el reflejo de lo que realmente son; Personas de baja autoestima. Infelices, (tampoco vamos a esquivar el concepto). Y... a la vez es un buen indicador de que estás haciendo las cosas bien. O al menos, mejor que otros...
Curso CloudFlare 🙏
Midu, es increíble como siempre vez el lado positivo a todo, Gracias por tus enseñanzas, Me atacaron a mira como enseño a evitar tus ataques, y puedes seguir atacando pero que sepas que no me afecta, enseñas mucho no tanto a la comunidad que te sigue, si no a la comunidad que te quiere afectar.
Próxima tarea investigar sobre CloudFlare se ve súper increíble la verdad.
por este motivo es mejor es usar cloud consolidadas y meterle servicios que eviten estos tipos de ataques. Cámbiate a Aws y armas tu arquitectura ahí
que es aws?
@@alberto5056 Amazon Web Services
@@alberto5056 Amazon Web Services
Amazon Web Services
Es mucho como cloud basta.
Ya Nate Gentile hace un tiempo publico algo parecido, un hacer les hizo un ataque , lo bueno es que el tenia cloudflare que le proporcionó herramientas que le permitieron superar el ataque
Cloudfare es de risa lo bypaseas con la polla
El mundo siendo mundo frente a las personas que valen la pena. Que bronca y que bueno que lo reconvertiste en enseñanza. Gracias.
Cloudflare amigo. El must have de todo dominio. Eres un crack. 👍❤
13:38 pobre del Guillermo 🤣🤣🤣🤣🤣🤣
Hará 2 años les comenté a Vercel el problema de los ataques DDOS. Me respondieron hace 1 mes después de 2 años. Parece que han hecho una herramienta para ayudar a evitar esto, pero ya me pasé a otros proveedores desde hace tiempo precisamente por lo de este vídeo, así que ni idea de si funcionará.
Una pregunta, qué proveedores usas o recomiendas gracias.
@@mauriciomunozordonez9581 hay cientos de servicios, lo mejor es no apegarse a ninguno. Hay proveedores que tienen límites pero con políticas anti DDoS, y otros que no tienen límite de ancho de banda. Lo importante es leer la letra pequeña. Personalmente no me caso con ninguno, voy cambiando con el tiempo.
Muchas gracias por enseñar algunas medidas con lsa que lo resolviste. Como siempre impecable
De verdad chicos que esta informacion que nos da es valiosisima , les juro que lo van a aplicar en su vida profesional y muchisimo.Se agradece Midu. Crack !!!
Excelente, lo que importa ante esa eventualidad es la advertencia y la solución, gracias por el aporte midu.
Que grande Midu como saca de lo negativo algo positivo! Por cierto! Llevo mucho tiempo pensando en proponer un contenido del que no encuentro buena información y que muchas veces me hace echarme atrás en algunos proyectos. Podrías hablarnos sobre consumos? Optimizaciones? Y como interpretar los pricing que podemos elegir por ejemplo en vercel? Muchas gracias!
che que buen canal ,te encontre de casualidad explicando este asunto del backdoor que el tipo venia cocinando por años, estudio diseño grafico (na que ver con esto) pero migre a linux Mint hace unos 10 años cansado de tener que crackear softwares, asi que siempre me interesa un poco la seguridad (por eso me vine a linux) , y veo que explicas todo muy "bonito" o entendible para las mentes cortas como yo....me suscribo, y espero que sigan tus exitos¡¡¡
Tú mismo decías que Vercel era prácticamente regalado y que tenía un precio ridículo. Yo mientras pensaba; seguro que no tienes una web con alto tráfico, porque si no sabrías que es carísimo. por eso mucha gente se cambia, yo incluído.
Cual estas usando en caso de tener alto trafico?
No me creo del todo que esas sean palabras mías cuando siempre he avisado tanto del coste de la transferencia, las bases de datos o la optimización de imágenes en Vercel. Es posible que dentro de un contexto (para proyectos pequeños, si estás empezando, blablabla) tuviera sentido pero así en general no me encaja.
De hecho hace poco pasó un caso en Netlify e hicimos un vídeo donde hablamos también de Vercel: ruclips.net/video/JIFREanXdRI/видео.html
No me lo preguntaste a mi pero la mejor opción sin duda es cloudflare pages
@@alvaroavila7304 Railway. Tiene sus cosillas también, pero en general, lo prefiero.
Railway@@alvaroavila7304
Lo de Vercel es una locura. Puedes llegar a pagar un dineral por una página web que fácilmente puede funcionar en un VPS de 10€ al mes...
Sí, para una página web así 0 sentido todo esto cuando un VPS va sobrado y es más que suficiente.
que Vps recomiendas
Contabo
Hola Midu, ayudante a sentir jejeje, en conclusión, la mitigación que implementaste es a nivel de desarrollo, pero si bien es una buena práctica por parte de los desarrolladores, son los equipos de infraestructura quienes deben velar por la mitigación de ataques de denegación de servicio. Por mi parte no uso Vercel y dado lo que expones, tampoco lo usaría, de seguro CloudFlare tiene implementado estrategias de Mitigación para este tipo de ataques, gracias a esto sus precios, recordemos que los ataques de DDoS tienen como objetivo botar una web, el tema del costo es una consecuencia de la infraestructura misma. saludos! gracias por tu contenido!
Para proyectos profesionales es mejor nubes profesionales.
Para eso se configura un WAF que cubre los ataques DDOS y además se agregan reglas para que ciertas IP no puedan hacer más de tantas peticiones por segundo igual con el apigateway configurar planes de uso.
podrias darnos algunos datos de cuales serian nubes profesionales?
@@rodrigomarsan1143 Nubes dónde sus servicios no sean completamente administrados: AWS, Azure, Google Cloud, Digital Ocean
@@rodrigomarsan1143aws, azure, google cloud
@@rodrigomarsan1143 Aws o azure
Pero hay gente que no se quiere comer la cabeza complicándose. Claro las consecuencias están ahí, no te comes la cabeza, pagas más.
Me trajiste recuerdos de cuando hice mi primera instancia de rds en AWS y se me olvido apagarla.
Es 100% culpa de Vercel. Por eso si uso Next prefiero ponerlo en un vps con bandwith ilimitado como los de OVH
midu hola, quería saber que programa utilizas para mostrarnos cuanto se demoran las subidas a producción en tiempo y espacio, es la herramienta que utilizas para "rastrear" los despliegues
Creo que Vercel está bien para páginas con tráfico pequeño y medio, pero para páginas de este tamaño debe de ser Cloudfare o AWS si o si
Tu si sabes 🗿
Midu estuvo muy interesante el video y de cómo te defiendes la verdad, la envidia de las personas que no aman el trabajo de uno programando lo que sea sin límites de imaginación como para que alguien venga y te tumbe todo lo que realizaste :)
Admiro como le respondiste y como hablabas a lo largo del video
no entiendo a gente que traten de perjudicar a personas como Midudev ( o a cualquier persona) pero sobre todo a Midu que aporta tanto con sus conocimientos y los comparte. Una lástima.
Hay gente que de plano se siente ofendida por todo y se sienten inseguros de si mismos que lo mejor que pueden hacer es tratar de hacer menos o dañar a los demás con tal de sentirse mejor, la salud mental es algo que se debe tomar en serio.
Midu una pregunta, estoy teniendo problemas de vida de cache entre cloudflare y cloudfront de aws, ya desactive el cache en cloudfront, pero sabes si hay manera de desactivarlo en cloudflare? mi escenario en particular es que no veo los cambios reflejados hasta despues de unas 8-12 horas
Para los que dicen que no le mueve a Vercel como cliente y no se qué. Gente el soporte a veces es lo que marca la diferencia en una empresa de Tecnología porque problemas hay siempre, y si como empresa no puedes brindar un soporte rápido y efectivo SEA el cliente que SEA, entonces dejas mucho que desear, más si pagas sus productos, sean 20 dls, 30 dls, etc, estás pagando un producto y como cliente mereces soporte adecuado.
Para producción lo mejor es AWS o Azure, con máquinas escalables, con limites de uso/gasto y con un CDN/WAF delante.
Solo vine a ver si alguien ya lo había comentado. Totalmente de acuerdo.
😢 eso es envidia que triste que en ver de en vez de inspirarse buscan es de destruir a otro. Y odian sin sentido alguno bendiciones midu a seguir adelante. En lo que pueda ayudar con conocimientos de honey pot y proxys inverso me avisas y soluciones con firecloud me avisas vamos crack adelante
El problema es que en hosting también hay ataques , no tanto, pero hay , yo que vulnero sistemas para empresas , muchos también usan hosting y también es fácil hacer ataques DoS o sql inject
Midu podrías hacer un tuto sobre lo de "preconnect" por favor?
saludos crack!
Yo lo que nunca entenderé de este tipo de servicios es que no se pueda poner límite de consumo o gastos mensuales, es decir si por algún motivo yo estoy pagando 20€ al mes y me paso de los límites, pues cortame el servicio, pero no me cobres el doble de lo que pago por cada GB...
Algunas plataformas sí permiten hacer esto, pero desconozco si vercel lo tiene
No es la idea, al menos no por defecto. Deberian darte las herramientas para que puedas hacer eso si quieres. Pero la realidad es que si ese trafico es real tu lo quieres, tu quieres que si tu saas le va muy bien tenga ese trafico.
Si tu desarrollas un software para venderlo y de pronto te llegan millones de visitas no quieres que vercel te mate el proyecto ya que con eso es muy dificil que te recuperes despues.
@@bdotexe A ver es la idea antes de que te cobren 17000 euros como a un chaval, es caro vale, pero debería haber una opción de capar los gastos.
El doble no, 20 veces mas. 1000 GBs a 20 dolares es 0,02 dolares el GB. Una vez pasado el tera te cobran 40 dolares por 100 GBs; eso son 0,4 dolares el GB
Si alguien conoce una plataforma qué sea capaz de limiatarlo compartanla pls, que ya me dan miedo estas cosas jajaja
Content Security Policy (CSP) podría ayudar bastante, evita que los recursos puedan ser usados fuera del dominio asignado, evita ejecución de código en linea (consola), evita inyección de scripts desde dominios no admitidos, entre otros. Siempre y cuando sepamos del tema la aplicación de esta política es muy fácil.
Hola Midu, tienes algún video explicando todo esto de alojar las aplicaciones en estos servicios y calcular los precios?
Consulta ayudaria con un server server proxy inverse un nginx? Asi controlar el numero de peticiones y transferencia de datos?
No estaría mal una característica de la aplicación de VERCEL, donde pueda mandar alerta si el proyecto es nuevo y de estos picos tan grandes, por más que haya que estar pendiente que sería lo suyo!! COVERTISTE un problema en una clase magistral midu!!!!
Aplaudo que conviertas esto en una enseñanza pero en todo momento fue tú responsabilidad.
Hola! Alguien que sepa del tema me podría corregir? Pero esto no se "arreglaria" si la empresa que proporciona el servidor configurara una IPS que bloqueara ips que manden un alto trafico?
@midudev no explicaste que alternativas podriamos usar ah vercel :c, seria muy interesante que se pudiera subir un proyecto a otro servicio y ver los pasos a pasos de como se sube para buscar una alternativa a vercel, ya que hay muchos desarrolladores incluyendome por ejemplo cuando creo un proyecto de Next js, me ata mucho a vercel
pero una pregunta, por ejemplo yo tengo una botnet que hace 500 millones de request en layer 7 osea te saldria casi 100k no?
Excelente video. Consulta fuera del tema? Que terminal usas? Se ve muy elegante
Midu por qué no usa Cloudflare Pages en vez de Vercel?
Te han escuchado, hay nuevo pricing en Vercel :D
No se porque pero cuando dijo "no tiene sentido", se me vino a la mente el capitulo de south park donde sale un abogado con la defensa chewaka
Que grande Midu!
Al activar este factor de seguridad, ahora no puedes medir el rendimiento de la pagina en pagespeed por ejemplo ???
De este mal rato Midu sale un curso de Ciberseguridad! Midu se que vas solucionar crack!
Justamente ayer estaba pensando q pasaria si en mi web q estoy construyendo alguien empieza a consumir recursos deliberadamente.. entonces se me ocurrió limitar las peticiones q tengan ciertos rango y si llegan a cierta cantidad de peticiones exageradas bloquear la conexion a la api. 😮
No habrá opción para limitar el ancho de banda por IP pública?
Podrias implementar tu propia plataforma de monitorización de Grafana, y habilitar alertas de Grafana. Supongo que conocerás la herramienta. Saludos cordiales 💪👍
Que dolor de cabeza, recuerdo que una vez realice pruebas con AWS y por algun motivo tuve mucho trafico que sobrepaso la cuota gratuita, y me cobraron aproximadamente 30 dolares(eran 17 base mas 13 del ancho de banda), y al hablar al chat en 10 minutos el dinero ya estaba en proceso de ser reembolsado
Cómo puedo poner esa lupa en mi puntero del mouse ?? vaya gozada, sobretodo pensando en gente como mi padre que ya ve regulero
Siempre he pensado que Vercel estaba muy verde... Sus precios son disparatados cuando haces algo enfocado al gran público. Para pagar esos precios, prefiero pagar un proveedor de servicios consolidado, que tendrá precios similares y muchísimas mejores características. Buenísimo Midu por no casarte con ellos y contar los problemas que has tenido!
No tenes una manera de gestionar alarmas desde Vercel?
En mi empresa nos sucedio algo similar, aunque lo mitigamos a tiempo, el trafico se quintuplico durante 5 dias.
Y se podían hacer request fuera del dominio?
Midu, porque no pones todas las imagenes en un s3?
me intereso lo de cloudflare como hago para subir mis imágenes y pedirlas desde ahí?
Mi experiencia web, en los 2010/2014 fue contratar VPS dedicado al pais de su target, luego los admins que configuren el vps adecuado por el trafico, ataques etc.., el programador no tienen que saber de todo, porque no llegamos a tanto, solo exponer lo que se quiere y lo monten los especialistas de su campo
Midu, estamos llegando a las clases/aulas, de como hacer deploy de Nextjs em otras plataforma, tal vez usando Docker, me gustaria ver como controlas el banco de dados, prisma com Docker, esse tipo de cosas. Lo he intentado, de forma estática es papa, pero al full, no me sale kkk
La venganza de S4vitar jajajaja
El problema es el ataque, no los precios de consumo de transferencia, hay herramientas para bloquear esos ataques ? Si ellos ganan por transferencia , permitirán esas transferencias.?
Es lamentable la clase de gente que hay, pero aca juega que no todo es codigo, la infraestructura y la seguridad es muy importante, ser inteligente que plataforma elegimos y las prestaciones que da, y saber que tan importante es tu proyecto para delegarlo a cualquier SAAS o Cloud.
Está interesante el tema
No hubiera sido una opción poner un cloudflare con el proxy delante? Así como idea.
Por eso no uso esos servicios en mi VPS aunque me cuesta más meter CI/CD al final solo me tiran el server y ya, además con nginx puedes evitar todo esto desde la configuración.
Una alternativa y en mi caso es analizar los request ya que en muchas ocasiones son IPS muy acotadas y las filtro en iptables. Y respecto a los precios por exceso de ancho de banda, si es un abuso.
Yo tengo unos cuantos proyectos en vercel, que lastima que esto suceda, ahroa mismo me planteo sacarlos de ahí porque la verdad no me transmite seguridad este tipo incidentes. Y lo de que en 72hrs no te responden un ticket de support es FATAL. Cuando yo tengo webs en namechip donde pago literal 5$ al mes y el support es un chat en linea en tiempo real.
En mi server, el cortafuegos bloquea las ips que hacen más de X peticiones por minuto.
Porqué Vercel no lo hace? O si lo hace porqué no da las alertas.
Analizando los logs es increíblemente la cantidad de peticiones denegadas que aparecen de china e india.
09:47 Pero que raro como veo mas los videos en RUclips que en el live se imaginan que sean los del BOOTCAMP...
como hacen para averiguar las imagenes, si no son usadas en la web?
¡Gracias!
entonces la velada los organizadores no te pagarían los gastos de la pagina?
esto en OVH esta resuelto detectan eso y ponen en contigencias las IP que ellos detectan que estan haciendo esas peticiones
Deberían de hacer algo estilo AWS que puedes programar una alarma que cuando el trafico llega a cierto punto y tu consumo empieza a cobrarte mas de una cantidad te manda un correo.
Como puede ser que no tengan aviso periódicos automáticos?? Yo estuve usando la versión gratuita de railway para la facultad, y me avisaba básicamente cada dólar gratis consumido, de 5 dólares
!
12:30 y no eres poca cosa men, muchos devs también te vemos, consumimos tu contenido, y trabajamos para empresas grandes, y si viene un proyecto, una web o una app nueva, por supuesto que vamos a tener en cuenta tus comentarios a la hora de elegir herramientas, Vercel ahora en mis juntas de refinamiento voy a descartarlo como una opción.
Es una debilidad con Vercel. No tiene alertas ni protección contra ese pico se consumo. Ya han salido varios casos similares.
Vercel no es pa un ambiente de produccion serio
En Firebase por ejemplo si te pasas de la ciota gratuita, de lleno el servicio deja de funcionar. Luego tendrias que pagar el plan pago y puedes limitar las cuotas de lectura de documentos, imagenes, etc
En este video me di cuenta de la gran nobleza que tiene, me sorprendía escuchando lo que decía, todo mono
Me acabe de preguntar como se que si es un DDoS o simplemente tuve alta demanda por un campaña que hice ? como mitigo eso o diferencio, o eso afectaria si por ejemplo como dije hago un campaña y pufff tengo 1 millon de visitas en mi web eso bloquiria a esos usuarios pensando que son DDoS ?
Alguien sabe como hace la especie de zoom algunas veces? Algun programa o algo?
Acaso Vercel no puede bloquar las ip que están solicitando masivamente los mismos recursos??
Todo un tema, yo tuve un ataque en uno de mis proyectos y tuve un trafico de 4tb al día y me dí cuenta por que mi internet estaba lento, al final no tuve un costo extra por que el server está en mi casa pero si lo tuviese en vercel 4tb x 5 días son 20tb * 400 USD/tb habría pagado 8k, eso es una locura, yo pago el 1% de eso en mantenimiento de todos mis proyectos al mes y que son relativamente grandes.
eso me recuerda quer tengo que revisar mi Azure y mi AWS
Vercel no tiene algo como un WAF?
No entiendo cómo alguien puede ser tan envidioso. SOS un crack midu te super admiro
Es lamentable que no hubo alerta de pormedio y poder reaccionar a tiempo. Obviamente es a proposito del servicio.
Para estos casos los servicios cloud te rentan un servicio llamado "Web Application Firewall (WAF)", en temas de ciberseguridad es necesario.
Un poco tarde pero puede que te sea interesante el montarte tu propio server con coolify y meter un CDN de por medio como cloudflare, tendrías la funcionalidad de vercel/netlify por mucho menos coste
Si vercel te cobra un sobre pricring, entonces tiene un conflicto de interes respecto al cliente.
Te dan una herramienta para evitar un exceso, con eso blanquean un poco, pero su rédito está en que uses y cobrar.
No van a mejorar procesos, que justamente le hacen generar dinero.
Acciones a tomar :
* configurar numero maximo de conexiones concurrentes por IP/Cliente (en tu webserver NGINX )
* Configurar numero maximo de conexiones concurrentes en el server ( para prevenir DDOS)
* Configurar request rate limit para permitur solo X numero de requests por IP/minuto (NGINX)
* Limitar el tamaño maximo de los requests (NGINX)
* usar un blacklist en tu webserver para banear las IP del atacante ( si es que no son muchas)
Por el tema de las imágenes o cualquier recurso multimedia, lo dejaría en otro lugar, un CDN con políticas de retención. No digo que sea la solución a todo, pero siempre me ha gustado ese enfoque para hacer el bundle más pequeño.
Queremos la IP del atacante! Los fans del tito s4vi nos queremos divertir... 😂😂
Echate un curso de cloudflrase por fa midu
Tengo una web con cloudflare, y lo hace de manera automática, cuando detecta que una IP hace peticiones de manera constante y sospechosa, lo detecta como anormal y la pone en una especie de lista negra.
Dato curioso, no tienes que ser usuario premium para esta funcionalidad
Esta visto que vercel tiene problemas con las imagenes, ya he visto varios videos en donde el billing se sube sin saber por porque, ellos lo tienen como una feature pero cuesta. Ahora bien, a nivel de producto de vercel le falta pensar más en la seguridad contra estos tipos de ataques.
Definitivamente hay gente que solo quiere ver el mundo arder. No hay nada más peligroso que una mente desocupada.
Plantando pepinos en el huerto... si que fue realmente inoportuno el ataque jajaja