PDA

Bekijk Volledige Versie : (D)DoS tegenhouden op windows?



antianoniem
14/05/09, 17:10
Zijn hier programma's voor? Windows Firewall voldoet blijkbaar niet. Of programma's om ips in win2008 te blokke?

gjtje
14/05/09, 18:35
Wat voldoet niet?
Je kan in de Windows Firewall prima ranges met IP adressen blokkeren.

mikeh
14/05/09, 20:22
DDOS kun je niet blokkeren, hoogstens nul routen (routeren naar een black hole)
Of je moet het probleem bij het begin aan kunnen pakken, wat vrijwel nooit voorkomt.

Maarehm, hoe kom je nu al aan DDOS attacks?

vipeax
14/05/09, 20:43
Maarehm, hoe kom je nu al aan DDOS attacks?

http://www.webhostingtalk.nl/gameservers-algemeen/147667-verdienen-met-gameserver.html#post1058070

Iemand anders doet hetzelfde, maar met een botnet en wil zijn spelersaantal vergroten. ;).

Goendi
14/05/09, 20:52
DDOS kun je niet blokkeren, hoogstens nul routen (routeren naar een black hole)
Of je moet het probleem bij het begin aan kunnen pakken, wat vrijwel nooit voorkomt.


Kun je dit eens uitleggen? Klinkt als totale onzin in mijn oren eigenlijk...

Dat terzijde, ik betwijfel dat je efficient DDoS kunt tegengaan op een windows server. Hiervoor ga je toch echt wel bijstand van je leverancier moeten krijgen in de core van zijn netwerk. Wat je idd wel kunt doen is bepaalde IP's afblokken in windows zelf. Al betwijfel ik dat dit veel effect gaat hebben...

bramveen
14/05/09, 20:57
Hi,
Als je een traditionele DDOS hebt (nl een syn attack van 1 of enkele ip adressen) kan je de Windows network stack zeggen die pakketten te droppen. Zie dit artikel http://www.tcpiq.com/tcpIQ/DenialOfServiceAttack/. Als je echt aangepakt wordt uit een botnet heb je een probleem wat niet makkelijk op te lossen is.

Wat zie je precies waardoor je denk aangevallen te worden?

Welk versie van Windows gebruik je?

Bram

antianoniem
14/05/09, 21:50
Windows 2008, DoS van ip: 61.19.252.84. Ook werd er geprobeerd meerdere malen iets met netbios te doen? (poort 137, 138 connectie) Dus heb ik netbios uitgezet, ging een tijdje goed maja niet voor lang want enkele uren later lag de serv weer plat.

Gaat om een UDP flood op poort 123 (welke overigens niet openstaat). Serverprovider gaat vragen aan netwerksupplier vragen om het ip van het netwerk te blokkeren.

antianoniem
14/05/09, 21:54
Wat voldoet niet?
Je kan in de Windows Firewall prima ranges met IP adressen blokkeren.

Volgens mij kan dat alleen andersom, whitelisten.. correct me if im wrong? Security policy oid werkt ook niet, peerguardian2 werkt niet goed op win2008.

antianoniem
14/05/09, 22:03
http://www.webhostingtalk.nl/gameservers-algemeen/147667-verdienen-met-gameserver.html#post1058070

Iemand anders doet hetzelfde, maar met een botnet en wil zijn spelersaantal vergroten. ;).

precies :), sinds kort weer begonnen met die server zooi en gelijk succesvol: mensen gunnen je dat blijkbaar niet..

phreak
14/05/09, 23:28
Windows 2008, DoS van ip: 61.19.252.84. Ook werd er geprobeerd meerdere malen iets met netbios te doen? (poort 137, 138 connectie) Dus heb ik netbios uitgezet, ging een tijdje goed maja niet voor lang want enkele uren later lag de serv weer plat.

Gaat om een UDP flood op poort 123 (welke overigens niet openstaat). Serverprovider gaat vragen aan netwerksupplier vragen om het ip van het netwerk te blokkeren.

Logjes bewaren (indien je die hebt), mailtje sturen inclusief logs naar admin-thix[at]cat.net.th indien geen reactie ook een mail sturen naar abuse van apnic. En daarna block je het IP netjes in je firewall, omdat het maar 1 IP is, probeer pakketjes te droppen ipv rejecten (indien je dat kan aanpassen).

mikeh
15/05/09, 09:32
DDOS kun je niet blokkeren, hoogstens nul routen (routeren naar een black hole)
Of je moet het probleem bij het begin aan kunnen pakken, wat vrijwel nooit voorkomt.


Kun je dit eens uitleggen? Klinkt als totale onzin in mijn oren eigenlijk...


Het ligt voornamelijk aan de grote en type van de aanval.
bijv; Je hebt een 100mbit lijn en je krijgt een UDP aanval van verschillende machines wat aan 100mbit lijntjes hangen, dan slipt je verbinding in wijze dicht. (headbang)

Denk heirbij aan een trechter.

Op server (dedi/colo/vps) is hier vrijwel niks aan te doen, you eat em raw.
Op netwerk niveau kan een netwerkbeheerder dit spul rerouten naar een zogenoemde "black hole"

Meer informatie kun je HIER (http://www.dos-attacks.com/howtostopdosattacks.html) terugvinden.

Goendi
15/05/09, 09:39
Het ligt voornamelijk aan de grote en type van de aanval.
bijv; Je hebt een 100mbit lijn en je krijgt een UDP aanval van verschillende machines wat aan 100mbit lijntjes hangen, dan slipt je verbinding in wijze dicht.

Denk heirbij aan een trechter.

Op server (dedi/colo/vps) is hier vrijwel niks aan te doen, you eat em raw.
Op netwerk niveau kan een netwerkbeheerder dit spul rerouten naar een zogenoemde "black hole"

Meer informatie kun je HIER terugvinden.

Zoals ik dus al zei: klinklare onzin om nullrouting te verkopen als de enige efficiente manier van DDoS tegen te gaan. Tot op zekere hoogte kun je overigens best 100 mbit trekken op een goed gefilterde doos. Op netwerkniveau is filtering zelfs nog handiger: junipers kunnen vlotjes ettelijke gigs ddos wirespeed filteren mits een correcte setup. Een blackhole is heus niet dé standaard oplossing tegen ddos op netwerkniveau.

Me dunkt dat je ergens iets hebt opgevangen, en dat FF in de groep gooit. Bij deze weet je dus dat het helemaal niet zo zwart-wit is.

mikeh
15/05/09, 09:47
Best,

bovenstaand was in jip & janneke taal zodat een ieder het zou begrijpen.
Vandaar dat ik onderscheid maakte in netwerk en server niveau.

Maarehm, wanneer leer je quoten?

Goendi
15/05/09, 09:56
Best,

bovenstaand was in jip & janneke taal zodat een ieder het zou begrijpen.
Vandaar dat ik onderscheid maakte in netwerk en server niveau.

Maarehm, wanneer leer je quoten?

Zo bedoel je? Was er verder nog wat?

®on
15/05/09, 10:13
Heren, iets vriendelijker mag het gerust. Graag on topic.

antianoniem
15/05/09, 10:14
Logjes bewaren (indien je die hebt), mailtje sturen inclusief logs naar admin-thix[at]cat.net.th indien geen reactie ook een mail sturen naar abuse van apnic. En daarna block je het IP netjes in je firewall, omdat het maar 1 IP is, probeer pakketjes te droppen ipv rejecten (indien je dat kan aanpassen).

Ja maar in windows firewall kan het alleen andersom: whitelisten?

Apoc
15/05/09, 12:16
Het ligt voornamelijk aan de grote en type van de aanval.
bijv; Je hebt een 100mbit lijn en je krijgt een UDP aanval van verschillende machines wat aan 100mbit lijntjes hangen, dan slipt je verbinding in wijze dicht. (headbang)

Ook daar zijn verschillende oplossingen voor, bijvoorbeeld een firewall met Deep Packet Inspection.

@TS: als de aanvallen aanhouden en relatief groot zijn (wat dus wil zeggen van vele verschillende IP adressen), heb je feitelijk 2 opties:

- Schaf zelf een goede firewall aan. Hoe "goed" (c.q. "duur") die firewall moet zijn, hangt volledig af van hoe massaal je aangevallen wordt. Hou er daarnaast ook rekening mee dat als je de aanvallen gaat afvangen met een firewall, je ook de kans hebt dat de aanvallen alleen maar groter worden (soms probeert men dan de aanval uit te vergroten om ook de firewall om zeep te helpen - al vermoed ik dat daar geen sprake van zal zijn, zal waarschijnlijk niet meer dan een doorsnee scriptkiddo zijn waar je nu last van hebt). Hou er wel rekening mee; ook de simpelste _effectieve_ firewall kost al snel een paar duizend euro.

- Ga eens praten met een host welke standaard _echte_ DDoS beveiliging aanbiedt. En dan heb ik het niet over de gemiddelde zolderkamer host die claimt DDoS beveiligt te zijn, "want wij hebben een Cisco PIX 501 draaien!", maar echt over bedrijven die hierin gespecialiseerd zijn. Is zeker niet goedkoop, maar biedt wel oplossingen.

vipeax
15/05/09, 12:53
Zelf heb ik een soort gelijk probleem gehad (topic zal in de search nog wel te vinden zijn). Wat voor mij behoorlijk goed hielp was een simpele protectie van de zo geheten "Cisco Guard" technology. Dit was een aanval afkomstig van ongeveer 300 IPs, van Amerika tot Rusland, tot China (als ik een programma opende dat inkomende traffic bekijkt hing 't programma al meteen vast). Toen er zoeen Cisco Guard XT 5650 werd voor gehangen, dropte de traffic van de DDoS naar een kleine 0.5 mbps en de server gedroeg zich weer normaal. Iedereen kon gewoon zonder enige lag in de gameservers spelen.

antianoniem
15/05/09, 15:46
Ook daar zijn verschillende oplossingen voor, bijvoorbeeld een firewall met Deep Packet Inspection.

@TS: als de aanvallen aanhouden en relatief groot zijn (wat dus wil zeggen van vele verschillende IP adressen), heb je feitelijk 2 opties:

- Schaf zelf een goede firewall aan. Hoe "goed" (c.q. "duur") die firewall moet zijn, hangt volledig af van hoe massaal je aangevallen wordt. Hou er daarnaast ook rekening mee dat als je de aanvallen gaat afvangen met een firewall, je ook de kans hebt dat de aanvallen alleen maar groter worden (soms probeert men dan de aanval uit te vergroten om ook de firewall om zeep te helpen - al vermoed ik dat daar geen sprake van zal zijn, zal waarschijnlijk niet meer dan een doorsnee scriptkiddo zijn waar je nu last van hebt). Hou er wel rekening mee; ook de simpelste _effectieve_ firewall kost al snel een paar duizend euro.

- Ga eens praten met een host welke standaard _echte_ DDoS beveiliging aanbiedt. En dan heb ik het niet over de gemiddelde zolderkamer host die claimt DDoS beveiligt te zijn, "want wij hebben een Cisco PIX 501 draaien!", maar echt over bedrijven die hierin gespecialiseerd zijn. Is zeker niet goedkoop, maar biedt wel oplossingen.

geen software alternatief?

antianoniem
15/05/09, 16:02
misschien is http://www.kerio.com/kwf_home.html wat?

Jimmy1987
17/05/09, 21:11
Houd er wel rekening mee dat je dit niet op een dedicated/colo server doet zonder kvm-over-ip!

Wanneer je hem installeerd raak je namelijk al je externe toegang kwijt.