Onderwerp: (D)DoS tegenhouden op windows?

Zijn hier programma's voor? Windows Firewall voldoet blijkbaar niet. Of programma's om ips in win2008 te blokke?

Wat voldoet niet?
Je kan in de Windows Firewall prima ranges met IP adressen blokkeren.

DDOS kun je niet blokkeren, hoogstens nul routen (routeren naar een black hole)
Of je moet het probleem bij het begin aan kunnen pakken, wat vrijwel nooit voorkomt.

Maarehm, hoe kom je nu al aan DDOS attacks?

Oorspronkelijk geplaatst door mikeh

Maarehm, hoe kom je nu al aan DDOS attacks?

http://www.webhostingtalk.nl/gameser...ml#post1058070 (Verdienen met gameserver)

Iemand anders doet hetzelfde, maar met een botnet en wil zijn spelersaantal vergroten. .

HTML Code:

DDOS kun je niet blokkeren, hoogstens nul routen (routeren naar een black hole)
Of je moet het probleem bij het begin aan kunnen pakken, wat vrijwel nooit voorkomt.

Kun je dit eens uitleggen? Klinkt als totale onzin in mijn oren eigenlijk...

Dat terzijde, ik betwijfel dat je efficient DDoS kunt tegengaan op een windows server. Hiervoor ga je toch echt wel bijstand van je leverancier moeten krijgen in de core van zijn netwerk. Wat je idd wel kunt doen is bepaalde IP's afblokken in windows zelf. Al betwijfel ik dat dit veel effect gaat hebben...

Hi,
Als je een traditionele DDOS hebt (nl een syn attack van 1 of enkele ip adressen) kan je de Windows network stack zeggen die pakketten te droppen. Zie dit artikel http://www.tcpiq.com/tcpIQ/DenialOfServiceAttack/. Als je echt aangepakt wordt uit een botnet heb je een probleem wat niet makkelijk op te lossen is.

Wat zie je precies waardoor je denk aangevallen te worden?

Welk versie van Windows gebruik je?

Bram

Windows 2008, DoS van ip: 61.19.252.84. Ook werd er geprobeerd meerdere malen iets met netbios te doen? (poort 137, 138 connectie) Dus heb ik netbios uitgezet, ging een tijdje goed maja niet voor lang want enkele uren later lag de serv weer plat.

Gaat om een UDP flood op poort 123 (welke overigens niet openstaat). Serverprovider gaat vragen aan netwerksupplier vragen om het ip van het netwerk te blokkeren.

Oorspronkelijk geplaatst door gjtje

Wat voldoet niet?
Je kan in de Windows Firewall prima ranges met IP adressen blokkeren.

Volgens mij kan dat alleen andersom, whitelisten.. correct me if im wrong? Security policy oid werkt ook niet, peerguardian2 werkt niet goed op win2008.

Oorspronkelijk geplaatst door vipeax

http://www.webhostingtalk.nl/gameser...ml#post1058070 (Verdienen met gameserver)

Iemand anders doet hetzelfde, maar met een botnet en wil zijn spelersaantal vergroten. .

precies , sinds kort weer begonnen met die server zooi en gelijk succesvol: mensen gunnen je dat blijkbaar niet..

Oorspronkelijk geplaatst door antianoniem

Windows 2008, DoS van ip: 61.19.252.84. Ook werd er geprobeerd meerdere malen iets met netbios te doen? (poort 137, 138 connectie) Dus heb ik netbios uitgezet, ging een tijdje goed maja niet voor lang want enkele uren later lag de serv weer plat.

Gaat om een UDP flood op poort 123 (welke overigens niet openstaat). Serverprovider gaat vragen aan netwerksupplier vragen om het ip van het netwerk te blokkeren.

Logjes bewaren (indien je die hebt), mailtje sturen inclusief logs naar admin-thix[at]cat.net.th indien geen reactie ook een mail sturen naar abuse van apnic. En daarna block je het IP netjes in je firewall, omdat het maar 1 IP is, probeer pakketjes te droppen ipv rejecten (indien je dat kan aanpassen).

Oorspronkelijk geplaatst door Goendi

HTML Code:

DDOS kun je niet blokkeren, hoogstens nul routen (routeren naar een black hole)
Of je moet het probleem bij het begin aan kunnen pakken, wat vrijwel nooit voorkomt.

Kun je dit eens uitleggen? Klinkt als totale onzin in mijn oren eigenlijk...

Het ligt voornamelijk aan de grote en type van de aanval.
bijv; Je hebt een 100mbit lijn en je krijgt een UDP aanval van verschillende machines wat aan 100mbit lijntjes hangen, dan slipt je verbinding in wijze dicht.

Denk heirbij aan een trechter.

Op server (dedi/colo/vps) is hier vrijwel niks aan te doen, you eat em raw.
Op netwerk niveau kan een netwerkbeheerder dit spul rerouten naar een zogenoemde "black hole"

Meer informatie kun je HIER terugvinden.

HTML Code:

Het ligt voornamelijk aan de grote en type van de aanval.
bijv; Je hebt een 100mbit lijn en je krijgt een UDP aanval van verschillende machines wat aan 100mbit lijntjes hangen, dan slipt je verbinding in wijze dicht.

Denk heirbij aan een trechter.

Op server (dedi/colo/vps) is hier vrijwel niks aan te doen, you eat em raw.
Op netwerk niveau kan een netwerkbeheerder dit spul rerouten naar een zogenoemde "black hole"

Meer informatie kun je HIER terugvinden.

Zoals ik dus al zei: klinklare onzin om nullrouting te verkopen als de enige efficiente manier van DDoS tegen te gaan. Tot op zekere hoogte kun je overigens best 100 mbit trekken op een goed gefilterde doos. Op netwerkniveau is filtering zelfs nog handiger: junipers kunnen vlotjes ettelijke gigs ddos wirespeed filteren mits een correcte setup. Een blackhole is heus niet dé standaard oplossing tegen ddos op netwerkniveau.

Me dunkt dat je ergens iets hebt opgevangen, en dat FF in de groep gooit. Bij deze weet je dus dat het helemaal niet zo zwart-wit is.

Best,

bovenstaand was in jip & janneke taal zodat een ieder het zou begrijpen.
Vandaar dat ik onderscheid maakte in netwerk en server niveau.

Maarehm, wanneer leer je quoten?

Oorspronkelijk geplaatst door mikeh

Best,

bovenstaand was in jip & janneke taal zodat een ieder het zou begrijpen.
Vandaar dat ik onderscheid maakte in netwerk en server niveau.

Maarehm, wanneer leer je quoten?

Zo bedoel je? Was er verder nog wat?

Heren, iets vriendelijker mag het gerust. Graag on topic.