Ik heb een website alleen hij wordt telkens gedossed. Mijn huidige webhosting verteld mij dat hij 4 gig lijnen heeft liggen en het enige wat hij kan doen is de server uit doen.

Zijn er webhosting bedrijven die gespecialiseerd zijn met ddos attacks? Of die grotere lijnen hebben liggen? Liefst Nederlands?

Gr

Goedkoop zijn zulke oplossingen niet. Daarnaast zegt een 4Gb verbinding niets, want wat voor een aanval is het?

Als het om een SYN Flood aanval gaat, dan kan slechts 200Mbit aan verkeer al voldoende zijn om je op de knieën te krijgen.

DDoS aanvallen zijn er in diverse soorten en maten en hebben allen hun eigen afweer mechanisme. Uiteindelijk is het een wapenwedloop, als de aanvaller maar met groot genoeg geschut aan komt ga je plat.

Je zou eerst moeten weten wat voor een exacte aanval het is, pas dan kan je zeggen hoe het af te weren is.

Wij hebben goede ervaringen met Black Lotus. Kijk eens op http://www.blacklotus.net/ .

Ik heb een website alleen hij wordt telkens gedossed. Mijn huidige webhosting verteld mij dat hij 4 gig lijnen heeft liggen en het enige wat hij kan doen is de server uit doen.

Zijn er webhosting bedrijven die gespecialiseerd zijn met ddos attacks? Of die grotere lijnen hebben liggen? Liefst Nederlands?

Gr

Voor heel veel bandbreedte kun je bijvoorbeeld bij Leaseweb kijken.
Ik weet niet of zij een DDoS resilient hosting dienst hebben.

Als je regelmatig met DDoS te maken hebt zul je wel in een andere prijscategorie gaan komen; Hosters die op hun kosten het verkeer structureel willen absorberen en jou alleen afrekenen op het 'echte' verkeer blijven niet lang in business.

Zou je je niet eerst de vraag stellen waarom precies jouw site DDOS attacks aantrekt?

Het gebeurt maar heel, heel zelden dat men een willekeurige site gaat DDOSen...

Je kan wellicht cloudflare.com ervoor zetten?

cloudflare.com ervoor zetten kost me 1000 dollar? Ik ben niet de webhoster zelf hé, ik ben enkel een klant.
Het gaat het om ddos attacks dat via een klein botnet wordt verstuurd.

Zijn er geen hosting partijen die met cloudflare werken?
Gr

Weet je ook de reden van deze attacks?

Cloudfare zou zover ik weet altijd moeten werken.

Je hebt ook nog een gratis versie van cloudflare

Maar kan ik zelf als klant cloudflare op me website zetten?
Hoe werkt dat dan precies, in dat filmpje staat je hebt geen hardware nodig en ook geen software?

Reden weet ik trouwens niet, ik dacht eerst dat het een script was wat vast liep op de server maar me hosting provider vertelde mij dat het telkens ddos attacks zijn...

Maar kan ik zelf als klant cloudflare op me website zetten?
Hoe werkt dat dan precies, in dat filmpje staat je hebt geen hardware nodig en ook geen software?

Ik geloof dat je je nameservers moet aanpassen zodat cloudfare alle verkeer regelt.

Het is een kwestie van de nameservers van hun gebruiken :)

Voor cloudflare moet je je dns aanpassen naar de cloudflare dns bakkies, vervolgens halen hun cacheservers de zooi weer op bij jouw servers op.

Cloudflare kan best veel tegen houden. Wij hosten een site die regelmatig rond de 80-100mb ddosjes heeft. Als het gewoon traffic was, no problem, maar een 100mb synflood zorgt toch wel voor problemen op firewalls die connecties bijhouden. Als het maar snel genoeg is dan loopt zo'n ding uiteindelijk gewoon vol en moet je alsnog connecties gaan limiteren. Met als gevolg dat de betreffende server alsnog onbereikbaar wordt.

Cloudflare (cluster cacheservers eigenlijk) lost de synfloods in zoverre op dat ze geen incomplete requests doorsturen naar de backend server. Aan de andere kant verzamelen ze veel data en kunnen attacks redelijk detecteren en dan direct voor alle klanten blocken. Maar bij cf gaat ook regelmatig ergens een netwerkkaart kapot, valt een cacheserver uit, of prutsen ze aan de configs met als gevolg dat je ook dagelijk erl een paar keer een 502/503 error krijgt, ook als er geen attack is.

Een paar dagen geleden las ik dat de nasdaq site 24 uur plat was door een ddos. Volgens mij is dat zo ongeveer het duurste systeem dat draait... Leuk dat er allemaal apparatuur is om ddossen tegen te houden, wij hebben er al zat gehad, maar (imho)... iedereen die zegt dat ie een werkend anti-ddos systeem heeft.... die heeft gewoon nog geen echte ddos om zijn oren gehad. :)

Volgens mij hoef je enkel je nameservers te wijzigen naar die van Cloudfare.
Maar dat staat allemaal uitgelegd als je je aanmeld.

Een paar dagen geleden las ik dat de nasdaq site 24 uur plat was door een ddos. Volgens mij is dat zo ongeveer het duurste systeem dat draait... Leuk dat er allemaal apparatuur is om ddossen tegen te houden, wij hebben er al zat gehad, maar (imho)... iedereen die zegt dat ie een werkend anti-ddos systeem heeft.... die heeft gewoon nog geen echte ddos om zijn oren gehad. :)Juist.

Wij hadden vorige week nog een 300Mbit SYN Flood attack met zo'n 1.5 miljoen pps, dat vind veel apparatuur niet zo heel erg leuk om te verwerken.

Zoals ik al aangaf, het is echt een wapenwedloop.

CloudFlare lost zoiets leuk op met anycast, een DDoS zal bij hen distributed binnen komen op verschillende servers en daarmee verhogen ze hun filter capaciteit. Je krijgt alleen 'schoon' HTTP verkeer door, meer niet.

Voor cloudflare moet je je dns aanpassen naar de cloudflare dns bakkies, vervolgens halen hun cacheservers de zooi weer op bij jouw servers op.

Cloudflare kan best veel tegen houden. Wij hosten een site die regelmatig rond de 80-100mb ddosjes heeft. Als het gewoon traffic was, no problem, maar een 100mb synflood zorgt toch wel voor problemen op firewalls die connecties bijhouden. Als het maar snel genoeg is dan loopt zo'n ding uiteindelijk gewoon vol en moet je alsnog connecties gaan limiteren. Met als gevolg dat de betreffende server alsnog onbereikbaar wordt.


Stateful devices zijn gewoon niet handig als het om internet facing services gaat.
Het zijn DDoS amplifiers, in plaats van mitigation.




Cloudflare (cluster cacheservers eigenlijk) lost de synfloods in zoverre op dat ze geen incomplete requests doorsturen naar de backend server. Aan de andere kant verzamelen ze veel data en kunnen attacks redelijk detecteren en dan direct voor alle klanten blocken. Maar bij cf gaat ook regelmatig ergens een netwerkkaart kapot, valt een cacheserver uit, of prutsen ze aan de configs met als gevolg dat je ook dagelijk erl een paar keer een 502/503 error krijgt, ook als er geen attack is.

Een paar dagen geleden las ik dat de nasdaq site 24 uur plat was door een ddos. Volgens mij is dat zo ongeveer het duurste systeem dat draait... Leuk dat er allemaal apparatuur is om ddossen tegen te houden, wij hebben er al zat gehad, maar (imho)... iedereen die zegt dat ie een werkend anti-ddos systeem heeft.... die heeft gewoon nog geen echte ddos om zijn oren gehad. :)

Een echt DDoS-resilient service is een een goed totaalplaatje engineeren, niet alleen een dure doos ergens kopen.
NASDAQ vind ik op zich geen bijzonder voorbeeld; De publieke presence van een bancaire enterprise omgeving is uiteindelijk gewoon niet zo kritisch, (het ging om de buiten website, niet het trading platform) en het is ook niet het soort omgeving waar men snel is in het accepteren van designs die nodig zijn om _echt_ robuust te hosten.
Bot gezegd, geen stateful devices gebruiken, waar men juist in dat type omgeving een doos met de naam firewall wil hebben.
Sites met, laten we zeggen, harde concurrentie die volledig afhankelijk zijn van hun internet presence zullen heel wat meer doen aan DDoS hardening (denk aan gokken en porno) dan het publieke front van een large enterprise.

Stateful devices zijn gewoon niet handig als het om internet facing services gaat.
Het zijn DDoS amplifiers, in plaats van mitigation.

Daar ben ik al eens ingetrapt met wat sonicwall apparatuur idd. Alhoewel dit een leuk dingetje is, was een freebsdbak met ipfw toch een stuk effectiever :)

Een bekende budget hoster zegt tegenwoordig dDOS proof te zijn.. die gebruiken Riorey (http://www.riorey.com/).

Anyway.. ik heb er zelf geen ervaring mee maar ik zag laatst dit:


Astaro Network Security

Dit product omvat een instelbare firewall gecombineerd met een Intrusion Protection systeem en Denial of Service bescherming. VPN en IPSec netwerken, Windows tunnels en SSL Remote Access kunnen met deze oplossing gemakkelijk worden opgezet. Deze versie is ook als load balancer in te zetten.

Er word verondersteld dat Astaro ook dDOS attacks zou kunnen afwenden, maar hoe dat technisch in elkaar steekt weet ik niet. Het idee is om een vps met Astaro erop als firewall te gebruiken alvorens het verkeer naar je machine wordt geleid.
Dat zou in ieder geval een veel goedkopere oplossing zijn dan de bovengenoemde Riorey. Als het doet wat het beloofd...

Vraag me alleen af hoe komt claudflare aan zijn geld? Moeten toch ergens al die servers mee betalen?

Cloudflare heeft ook betaalde diensen.

Gister cloudflare erop gezet, werkt prima. Enkel is nu weer me website offline, er kwamen weer attacks binnen bij de hosting?
In cloudflare kan ik nog niks zien...

Gister cloudflare erop gezet, werkt prima. Enkel is nu weer me website offline, er kwamen weer attacks binnen bij de hosting?
In cloudflare kan ik nog niks zien...

Tja ... het kan zijn dat die attacker(s) nog de oude nameservers in cache heeft/hebben ..

update: Arieh heeft een nog beter idee.. je IP adres ..

En als ze je oude ip nog even bewaren dan blijven ze die ddossen om cloudflare heen. In dat geval zou je van ip adres moeten switchen.

Kan je niet op je eigen server alle IP-adressen blokkeren behalve die van Cloudflare?

De Riorey is een anti DDOS box. Op tweakers staat een uitgebreid artikel erover, goedkoop zijn ze niet!

http://www.riorey.com/
http://tweakers.net/reviews/1595/riorey-rx1810-een-firewall-onder-vuur.html

Sites zijn nu weer online. Blokkeerd cloudflare automatisch attackers?
Ik keek net in cloudflare stonden allemaal threats van bezoekers uit china, usa etc etc terwijl ik een nederlandstalige site heb op een .nl domein.
Heb ze maar allemaal handmatig geblokkeerd...

Sites zijn nu weer online. Blokkeerd cloudflare automatisch attackers?
Ik keek net in cloudflare stonden allemaal threats van bezoekers uit china, usa etc etc terwijl ik een nederlandstalige site heb op een .nl domein.
Heb ze maar allemaal handmatig geblokkeerd...

Wat voor site host je precies ? Eigen server ?
Mogelijk kun je eens in je logboeken kijken van je httpd.
Mogelijk kun je met apache server status ook nog het 1 en ander vinden.