Sinnvoller DDOS Schutz?

[Timo1983]

Derzeit laufen gegen Server wieder eine DDOS-Attacke mit in der Spitze mehreren hundert mbit Stärke. Zur Bedeutung der Bandbreite verweise ich auf das Computerlexikon: http://www.computerlexikon.com/begriff-ddos-attacke

Entscheidend ist:

„Bei konventionellen DoS Angriffen, die auf Flooding, d.h. der Überlastung der maximalen Bandbreitenkapazität eines Ziels basieren, muss einem Angreifer immer ein System zur Verfügung stehen, dass über wesentlich mehr Bandbreite als sein Ziel verfügt, damit das Ziel mit kontinuierlichen Anfragen überlastet werden kann.

Wenn nicht, muss ein Angreifer auf mehrere Systeme mit geringerer Bandbreite zurückgreifen, um so einen Angriff zu koordinieren - also etwa in dem er sich über etliche Telnet- oder SSH-Sitzungen einloggt und gleichzeitig einen Pingbefehl ausführt - dessen Gesamtbandbreite dann wieder die Bandbreite des Zielsystems wesentlich übersteigt.“

Hier hier nur eine Absicherung im Gigabit-Bereic ? Um die Angriffe abwehren zu können.

Leider läßt sich die Physik auch mit Kreativität und gutem Willen nicht austricksen.

Das System, das ab morgen Abend vor unseren Server geschaltet ist, wird mit anderen Abwehrsystemen vernetzt und spart Kapazitäten z.B. dadurch ein, daß bestimmte, immer wiederkehrende Angriffsmuster erkannt, gespeichert und dann theoretisch auch mit unterlegener Bandbreite erfolgreich abgewehrt werden können. Die Angriffsmuster wechseln aber ständig. Deshalb ist, erstens, die Vernetzung nötig (wir profitieren von den Erfahrungen anderer und die anderen profitieren von unseren Erfahrungen) und, zweitens, ist zur Abwehr von Angriffen mit neuen Mustern Bandbreite schlicht die wichtigste Größe.

http://www.staminus.net/
einfachste Ausführung bei 200 US-Dollar monatliche Grundkosten an, während sich die Spitze bei – wohlgemerkt laufende Kosten – monatlich 4.000 US-Dollar bewegt?

Schweineteurer


Würde mich über Hilfestellung dennoch freuen.

[Mr. Brain]

... einfachste Ausführung bei 200 US-Dollar monatliche Grundkosten an, während sich die Spitze bei – wohlgemerkt laufende Kosten – monatlich 4.000 US-Dollar bewegt?

Preise bewegen sich im normalen Rahmen. Entsprechende Hardware und Anbindung im 10G-Bereich kosten nun mal entsprechend ein paar Euro. Dies muss durch den Anbieter ja auch irgendwie refinanziert werden.

[Timo1983]

load average: 225.20, 145.80, 88.03 DA sind etwa 1-2000 Gleichegeschaltetede DDOS Attaken

[Mr. Brain]

load average: 225.20, 145.80, 88.03 DA sind etwa 1-2000 Gleichegeschaltetede DDOS Attaken

Wie kommst du anhand der Load darauf, dass es sich um einen DDoS handelt. Logfiles? Übersicht offene Verbindungen?

[Timo1983]

Hier kleiner Auszug aus dem Firewall Logfile von grade
.....
..DENY 87.252.227.x * inout 3h 41m 30s lfd - (CT) IP 87.252.227.9 (BY/Belarus/-) found to have 1638 connections
DENY 115.73.160.222 * inout 3h 41m 30s lfd - (CT) IP 115.73.160.222 (VN/Vietnam/adsl.viettel.vn) found to have 157 connections
DENY 41.107.103.29 * inout 3h 41m 30s lfd - (CT) IP 41.107.103.29 (DZ/Algeria/-) found to have 1124 connections
DENY 201.34.208.208 * inout 3h 42m 0s lfd - (CT) IP 201.34.208.208 (BR/Brazil/201-34-208-208.gnace702.dsl.brasiltelecom.net.br) found to have 489 connections
DENY 196.206.142.83 * inout 3h 42m 59s lfd - (CT) IP 196.206.142.83 (MA/Morocco/adsl196-83-142-206-196.adsl196-5.iam.net.my) found to have 291 connections
DENY 200.208.86.242 * inout 3h 43m 38s lfd - (CT) IP 200.208.86.242 (BR/Brazil/-) found to have 1912 connections
DENY 201.23.160.149 * inout 3h 44m 11s lfd - (CT) IP 201.23.160.149 (BR/Brazil/201-23-160-149.gprs.claro.net.br) found to have 106 connections
DENY 187.59.183.12 * inout 3h 44m 34s lfd - (CT) IP 187.59.183.12 (BR/Brazil/187.59.183.12.static.host.gvt.net.br) found to have 83 connections
DENY 41.104.58.110 * inout 3h 45m 40s lfd - (CT) IP 41.104.58.110 (DZ/Algeria/-) found to have 5139 connections
DENY 95.56.145.44 * inout 3h 45m 51s lfd - (CT) IP 95.56.145.44 (KZ/Kazakhstan/-) found to have 107 connections
DENY 85.26.235.67 * inout 3h 45m 58s lfd - (CT) IP 85.26.235.67 (RU/Russian Federation/-) found to have 3136 connections
usw usw ...

29802 ips are blocked now

[darkstar]

Ich will ja nicht unken, aber eine DDOS-Protection in der Cloud, die nur einfach ueber einen DNS-Eintrag funktioniert, ist so sinnvoll wie an einer fremden Adresse das eigene Namensschild auf den Briefkasten zu kleben. Die Postwurfsendungen kommen immer noch in den eigenen Briefkasten ;-)
So aehnlich ist das hier auch, zumal DDOS wohl meistens auf eine IP und nicht auf einen DNS-Namen losgelassen werden...

Aus meiner Sicht also praktisch eine sehr wahrscheinlich wirkungslose Masznahme. Du hast nur eine Chance, dich per VPN direkt hinter diese Cloud zu schalten und den Standort Deines Servers zu maskieren, indem alles nur noch ueber die Cloud-IP funktioniert, was aber praktisch auch nur ein "security through obsurity" darstellt.
Die einzige Loesung ist "Viel hilft viel", d.h. dicke Anbindung vor einer passenden Firewall, die auch locker > 10 GBit ueberlebt, die auch vernuenftig bezahlen und die Cloudloesungen Cloudloesungen sein lassen, wenn es auf Zuverlaessigkeit ankommt.


MfG
darkstar

[hartmann99]

es gibt keinen 100% Schutz vor DDOS ..., selbst amazon, yahoo oder auch youtube waren schonmal down.

Gruss
Klaus

[MisterT]

Hi,

Ich muss hier nach wie vor die frage in den Raum werfen;warum wird man angegriffen?
Diese Ursachen zu ergründen ist oft sinnvoller, als das Problem mit Hardware zu bewerfen....

Lg Sven

[hartmann99]

Hi,

Ich muss hier nach wie vor die frage in den Raum werfen;warum wird man angegriffen?
Diese Ursachen zu ergründen ist oft sinnvoller, als das Problem mit Hardware zu bewerfen....

Lg Sven

Da gibt es 100 von Gründe, zB. ein Kiddy möchte das andere Kiddy ärgern, zu leiden hat der Provider. und die anderen Kunden z.b. auf einem Webhostingserver.

[hartmann99]

Hallo,

möchte das nochmal anwärmen, auch wenn keiner gerne darüber spricht.

Wie genau funktionieren DDOS Attacken??

Bin mal gespannt ...