Beste,

Ik heb vaak gelezen dat er VPSen zijn die DDos protected zijn vooral op engelse website's.

Kan iemand mij vertellen of deze echt bestaan?
Zo ja, Waar ik er eentje kan kopen!


Met vriendelijke groet,

WBeu

Laten we zo zeggen... als het bestond... zouden de ing, rabo, abn, ideal partijen dan niet al eentje hebben aangeschaft ;)

Een goed uitgevoerde ddos haalt je altijd neer. Punt uit.

Dat gezegd hebbende... er is natuurlijk wel een redelijk verschil tussen partijen die er helemaal niets tegen doen en partijen die die wel hun best doen om e.e.a. in goede banen te leiden.

Laten we zo zeggen... als het bestond... zouden de ing, rabo, abn, ideal partijen dan niet al eentje hebben aangeschaft ;)

Een goed uitgevoerde ddos haalt je altijd neer. Punt uit.

Dat gezegd hebbende... er is natuurlijk wel een redelijk verschil tussen partijen die er helemaal niets tegen doen en partijen die die wel hun best doen om e.e.a. in goede banen te leiden.

Nu je het zegt begin ik er ook anders over te denken ik zal vandaag nog de bron waarvan ik het heb posten;)

Laten we zo zeggen... als het bestond... zouden de ing, rabo, abn, ideal partijen dan niet al eentje hebben aangeschaft ;)

Niet noodzakelijkerwijs.
Normaal gesproken zijn banken geen DDoS magneten, en men kan heel welbewust de keus gemaakt hebben om niet voor een load /DDoS van meer dan <iets> voorzieningen in te richten.
Dat is de afweging tussen kosten van de voorziening, en de inschatting van de kans op een grotere DDoS en kosten daarvan (direct en in reputatie).
Wat dat betreft is het voor de ing natuurlijk extra pech dat de DDos vlak na de interne storing kwam, en er dus als publieke perceptie veel harder inkomt.
Die keuze (laten we aannemen dat het een keuze was, geen geval 'nooit aan gedacht') zal vast opnieuw bekeken worden.

Daarnaast wil ik toch niet uitsluiten dat DDoS resiliency in een typisch 'large enterprise' omgeving gewoon niet zo heel hoog op de radar staat. Er lopen echt wel mensen rond bij de ing die dit snappen, maar of het in de totale IT organisatie een belangrijk punt was, hm, het hoeft niet. Traditioneel ligt de focus gewoon vrij 'klassiek' (dingen extra dubbel uitgevoerd, alleen A merken, backuppen, logging, audit trails etc, kortom, het soort items die auditors belangrijk vinden).
De opties om meer DDoS bestendig te zijn zijn gewoon een beetje anders en vallen dan buiten de bekende kaders voor enterprises.

En natuurlijk wil (en moet) men zelf veel controle houden. Het lijkt me terecht dat internet bankieren niet zomaar 'in de cloud[flare]' gezet wordt.



Een goed uitgevoerde ddos haalt je altijd neer. Punt uit.

Dat gezegd hebbende... er is natuurlijk wel een redelijk verschil tussen partijen die er helemaal niets tegen doen en partijen die die wel hun best doen om e.e.a. in goede banen te leiden.

Dat is zeker waar.

En natuurlijk wil (en moet) men zelf veel controle houden. Het lijkt me terecht dat internet bankieren niet zomaar 'in de cloud[flare]' gezet wordt.

En zelf die partijen houden niet elke DDOS tegen, zeker de laatste tijd niet ;).

"echte" Anti-DDoS oplossingen zijn gruwelijk duur. Dus als je ergens een goedkope VPS koopt kan je redelijk zeker weten dat er geen hardwarematige appliance voor zit. Hosters zullen meestal ook niet adverteren met Anti-DDoS oplossingen, omdat het ook uitlokt tot aanvallen, en dat is het laatste wat je als hoster wil.

Je kunt een VPS afnemen en deze -gratis- koppelen aan Cloudflare waardoor je DDoS protectie hebt zonder iets te betalen.

Je kunt een VPS afnemen en deze -gratis- koppelen aan Cloudflare waardoor je DDoS protectie hebt zonder iets te betalen.

Daar ben ik het niet mee eens.

Wanneer de aanvaller het IP weet dan doet Cloudflare niks;)

Daar ben ik het niet mee eens.

Wanneer de aanvaller het IP weet dan doet Cloudflare niks;)

De aanvaller kan ik nu alvast een IP geven dat zeer waarschijnlijk op de vps staat: 127.0.0.1 (IPv4) en ::1 (IPv6)

Voor de rest denk ik dat er geen enkele oplossing is die werkt voor alle DDoS aanvallen. Wel is het mogelijk om de gevolgen te beperken (tevens wat partijen als cloudflare doen). Zodra je een eigen netwerk hebt met enkel een eigen site die zich met name richt op bezoekers uit een bepaald land/gebied dan kun je nog iets doen door bezoekers uit dit land/gebied naar een andere server te sturen dan bezoekers van buiten dit land/gebied. Hiervoor zijn enkele opties te bedenken om dit mogelijk te maken terwijl er maar 1 IP bekend gemaakt hoeft te worden naar de buitenwereld.

Uiteindelijk blijft het, zoals eerder aangegeven, een kosten afweging.

Daar ben ik het niet mee eens.

Wanneer de aanvaller het IP weet dan doet Cloudflare niks;)

Nieuw IP adres aanvragen en direct Cloudflare gebruiken?

Er zijn zeker wel dingen die je kunt doen tegen DDoS aanvallen. Dedicated DDoS appliances doen dat dus. Maar deze hebben ook een grens wat betreft het aantal pps bij een synflood en het aantal gbps wat ze maximaal kunnen verwerken. Daarnaast hebben ze vaak een groot aantal voorgeprogammeerde aanvallen, en kun je zelf nog signatures toevoegen. Hierdoor kan je zeer snel en adequaat reageren op aanvallen. Maar zoals gezegd....kost een hoop geld.

Daar ben ik het niet mee eens.

Wanneer de aanvaller het IP weet dan doet Cloudflare niks;)

Er zijn natuurlijk meer manieren om aan te sluiten dan een direct bereikbaar publiek IP (alleen) via DNS achter een reverse proxy achtige dienst te plaatsen.

Nieuw IP adres aanvragen en direct Cloudflare gebruiken?

Met voldoende adressen heb je meer opties, zoals het announcen van een vrij specifieke prefix waarin je aangevallen host(s) zitten via een AS met meer (filter ?) capaciteit.

Er zijn zeker wel dingen die je kunt doen tegen DDoS aanvallen. Dedicated DDoS appliances doen dat dus. Maar deze hebben ook een grens wat betreft het aantal pps bij een synflood en het aantal gbps wat ze maximaal kunnen verwerken. Daarnaast hebben ze vaak een groot aantal voorgeprogammeerde aanvallen, en kun je zelf nog signatures toevoegen. Hierdoor kan je zeer snel en adequaat reageren op aanvallen. Maar zoals gezegd....kost een hoop geld.

Het is niet alleen een stuk ijzer hebben, maar ook voldoende inkomende bandbreedte.
Om een vrij serieuze DDoS te kunnen behappen moet de inkomende kant gewoon heel veel bandbreedte hebben.
Ten opzichte van wat een enterprise normaal nodig heeft is dat echt extreem veel meer , en dat maakt het wel duur om helemaal in-house te doen.

Je kunt een VPS afnemen en deze -gratis- koppelen aan Cloudflare waardoor je DDoS protectie hebt zonder iets te betalen.

Cloudflare kost ook gewoon geld hoor, de free version is niet anders dan een cdn loadbalancer. Voor de echte DDoS protectie moet je al minimaal 200 dollar per maand betalen.


Nieuw IP adres aanvragen en direct Cloudflare gebruiken?

Dat helpt niet echt veel als je uplink provider onder vuur ligt en je er dus ook last van hebt. Of als ze gewoon ip scan doen binnen een bepaald netwerk waar je toevallig in zit en elk ip binnen dat netwerk ddos'en.


Het is niet alleen een stuk ijzer hebben, maar ook voldoende inkomende bandbreedte.
Om een vrij serieuze DDoS te kunnen behappen moet de inkomende kant gewoon heel veel bandbreedte hebben.
Ten opzichte van wat een enterprise normaal nodig heeft is dat echt extreem veel meer , en dat maakt het wel duur om helemaal in-house te doen.

Klopt helemaal, als je als provider 2terrabit aan verbindingen hebt liggen en er komt een 100gbit ddos binnen zul je dit inderdaad veel minder voelen dan een provider die 40gigabit heeft liggen en diezelfde 100gbit ddos aanval krijgt. Het komt er gewoon op neer wie heeft de grootste verbinding en wie kan het het langste vol houden. Alhoewel er ook ddos'en zijn die met 1mbit of minder een server kunnen plat leggen door het maximaal connecties gewoon vol te pompen.

Verder zelf al heb je nog van die dure anti-ddos hardware staan moet deze ook goed werken en vooral moet je personeel er goed mee kunnen werken, zie maar naar het cloudflare fuck up moment door een regel toe te voegen in hun routers die het netwerk volledig down bracht.

Ik kreeg vanmiddag nog ergens een 115K concurrent connecties aan mijn broek. En dat was nog geen 90 mbit.
Die bandbreedte boeit me op zo'n moment geen hol want die heb ik dan zat... maar op zo'n moment geef ik wel bijna een pink voor een handvol mips procs extra in de firewall :)

Laten we zo zeggen... als het bestond... zouden de ing, rabo, abn, ideal partijen dan niet al eentje hebben aangeschaft ;)

Volgens dat argument moeten we helemaal niks meer ontwikkelen. Nooit meer.


Een goed uitgevoerde ddos haalt je altijd neer. Punt uit.

Definieer "goed".

Je kan wel wat. SSL, http en smtp zijn vrij makkelijk te beveiligen met redelijke middelen, zelfs al beschik je maar over één ip. Natuurlijk, een vastberaden aanvaller met zeer grote resources kan het altijd lastig maken. Dan moet je terugvallen op zeer goede relaties met je upstream providers overal.


Dat gezegd hebbende... er is natuurlijk wel een redelijk verschil tussen partijen die er helemaal niets tegen doen en partijen die die wel hun best doen om e.e.a. in goede banen te leiden.

Het verbaast me ronduit dat de Linux community heel weinig interesse toont in goede technieken om DDOS attacks te overleven. Ik vermoed dan ook dat stellingen als "Er is toch niks tegen te doen" in grote mate deze opinie mee bepalen. En dat is jammer, want je beseft zelf ook hoe relatief dit gegeven is.

En een firewall daarentegen, vindt iedereen voor de hand liggend. Bij een goed geïnstalleerd OS is die echter nutteloos en het is het eerste dat faalt bij een DDOS attack.

Een goede DDOS strategie helpt ook om spammers en ander gespuis dwars te zitten en kost echt niet veel aan resources.

Je kan wel wat. SSL, http en smtp zijn vrij makkelijk te beveiligen met redelijke middelen, zelfs al beschik je maar over één ip. Natuurlijk, een vastberaden aanvaller met zeer grote resources kan het altijd lastig maken. Dan moet je terugvallen op zeer goede relaties met je upstream providers overal.

Als het volgens jou toch allemaal zo simpel is, waarom gaan er dan zoveel van de grote providers/banken down door een DDoS. Het is nu ook niet dat cloudflare en banken hier niets tegen doen, in tegendeel ze investeren enorm veel in anti-DDoS maar toch lukt het hen niet om alles 100% tegen te houden.


Het verbaast me ronduit dat de Linux community heel weinig interesse toont in goede technieken om DDOS attacks te overleven. Ik vermoed dan ook dat stellingen als "Er is toch niks tegen te doen" in grote mate deze opinie mee bepalen. En dat is jammer, want je beseft zelf ook hoe relatief dit gegeven is.

Wat heeft een community hier mee te maken, DDoS hou je niet tegen op je servers zelf maar hopelijk al een paar stappen eerder op hardware firewalls en routers. En niet iedere hoster heeft een eigen netwerk en ligt er daarom niet echt wakker van, dat is het probleem voor de netwerk leverancier.


En een firewall daarentegen, vindt iedereen voor de hand liggend. Bij een goed geïnstalleerd OS is die echter nutteloos en het is het eerste dat faalt bij een DDOS attack.

Daar spreek je jezelf dus tegen, want hoe kan dat falen als het volgens jou amper resources nodig heeft.


Een goede DDOS strategie helpt ook om spammers en ander gespuis dwars te zitten en kost echt niet veel aan resources.

Ik zie niet in wat die strategie te maken heeft met spammers en ander gespuis aangezien dat totaal iets anders is.

@cyrano. Ik denk dat je wat dingen door elkaar haalt. Spam een een ddos zijn 2 totaal verschillende dingen. Een goed geinstalleerde server.. heeft ook vrij weinig met een ddos te maken (even de prut installaties die met 100 concurrent users plat gaan wegens resourcegebrek niet meegerekent).

Een goede ddos hoeft niet eens op http/ssl/smtp nivo te zijn, maar kan zelfs op poorten zijn waar niet eens een service op draait.

Het is overigens nog niet eens zo heel erg als een firewall het niet meer trekt bij een ddos, zolang ie het verkeer maar niet doorlaat naar de servers. Een server kan tenslotte beter onbereikbaar zijn dan down of gecrashed.

Heb zelf nog afgelopen weken te maken gehad met DDOS op een klant.
Kan je vertellen, je staat op een gegeven moment machteloos. Als er meer verkeer binnenkomt dan dat je fysieke lijnen trekken dan kan je het gewoon schudden.
DDOS filter, firewall, etc... lariekoek, dan is het geen serieuze DDOS geweest.

Al is die desbetreffende server offline, letterlijk stroom eraf dan komt het alsnog je netwerk in je kan er gewoon niks mee.
Enige manier in dat geval is het ip nullrouten en als je het een beetje leuk voor elkaar hebt dan kan je dat met een community en is het binnen enkele seconden opgehouden.
En als het te vaak gebeurt dan moet je helaas overwegen die klant vriendelijk te verzoeken een andere hoster te zoeken, het is crap maar je moet ook denken aan andere klanten.

Wat is er nu zo moelijk om te begrijpen aan dat DDOS protectie niet bestaat. Er kan een hele boel geld besteed worden aan het minder makkelijk maken, het meeste wat echter in de markt aangeboden wordt is onzinnige software oplossingen die niet werken.
Het is soms heel moeilijk uit te leggen dat als je uplink 1GB is en de DDOS die je richting uit komt 2GB is dat het werkelijk geen klap uitmaakt welke softeware je installeerd en welke hardware je ervoor zet, je bent gewoon down.

Wat is er nu zo moelijk om te begrijpen aan dat DDOS protectie niet bestaat. Er kan een hele boel geld besteed worden aan het minder makkelijk maken, het meeste wat echter in de markt aangeboden wordt is onzinnige software oplossingen die niet werken.
Het is soms heel moeilijk uit te leggen dat als je uplink 1GB is en de DDOS die je richting uit komt 2GB is dat het werkelijk geen klap uitmaakt welke softeware je installeerd en welke hardware je ervoor zet, je bent gewoon down.

En dan heb je het zelfs nog gewoon over puur traffic. Als je alleen al bekijkt hoeveel connecties je met 1Gbit kunt opzetten en hoeveel resources je daarmee kunt wegslepen dan heb je vaak niet eens zoveel als je fysieke lijncapaciteit nodig.

En dan heb je het zelfs nog gewoon over puur traffic. Als je alleen al bekijkt hoeveel connecties je met 1Gbit kunt opzetten en hoeveel resources je daarmee kunt wegslepen dan heb je vaak niet eens zoveel als je fysieke lijncapaciteit nodig.
De 100% traffic is het beste uit te leggen. Ook is het de minst weerlegbaarde. Daarom gebruik ik die als voorbeeld, verder heb je compleet gelijk.

En toch verwacht je dat een van de grootste nederlandse hosters al bekend is met opties om ddos aanvallen te herkennen en tegen te gaan, en dit dus niet op een forum hoeft te vragen :D. (inkoppertje!)

@cyrano. Ik denk dat je wat dingen door elkaar haalt. Spam een een ddos zijn 2 totaal verschillende dingen. Een goed geinstalleerde server.. heeft ook vrij weinig met een ddos te maken (even de prut installaties die met 100 concurrent users plat gaan wegens resourcegebrek niet meegerekent).

Een goede ddos hoeft niet eens op http/ssl/smtp nivo te zijn, maar kan zelfs op poorten zijn waar niet eens een service op draait.

Het is overigens nog niet eens zo heel erg als een firewall het niet meer trekt bij een ddos, zolang ie het verkeer maar niet doorlaat naar de servers. Een server kan tenslotte beter onbereikbaar zijn dan down of gecrashed.

Akkoord. Maar ik dacht aan tarpitten ipv blokkeren. Het consumeert de resources van de aanvaller op z'n minst een beetje, het is minder afhankelijk van bandbreedte en zélfs spammers die direct met de mailserver praten hebben er last van, want ook die worden vertraagd.

Een firewall gaat al door de knieën waar een tarpit nog niet eens begint te zweten...

En elke Linux distro heeft X firewalls, maar meestal geen kant-en-klare tarpit oplossing. Raar toch?

Akkoord. Maar ik dacht aan tarpitten ipv blokkeren. Het consumeert de resources van de aanvaller op z'n minst een beetje, het is minder afhankelijk van bandbreedte en zélfs spammers die direct met de mailserver praten hebben er last van, want ook die worden vertraagd.

Een firewall gaat al door de knieën waar een tarpit nog niet eens begint te zweten...

En elke Linux distro heeft X firewalls, maar meestal geen kant-en-klare tarpit oplossing. Raar toch?

Mja, in sommige gevallen is een tarpit leuk, maar als je een udp/syn/rst/fin flood hebt van 100K gespoofte adressen, dan heb je toch graag een firewall die een flood kan detecteren en die connecties kan proxien of op zijn minst ze pas doorlaat zodra de handshake compleet is. Anders gaat je tarpit even snel down als elke andere server.

Wat is er nu zo moelijk om te begrijpen aan dat DDOS protectie niet bestaat.

Ben ik het niet mee eens. DDoS protectie bestaat weldegelijk, met dien verstande dat protectie niet betekent dat het niet plat te leggen is. Vergelijk het met een kluis. Het biedt weldegelijk protectie, maar het betekent niet dat de inhoud 100% veilig is. Het maakt het alleen wat moeilijker om er bij te komen.

You can take certain less costly steps.
E.g. litespeed is quite useful.
Other steps is to have a good provider who can step in if required.

Verder zelf al heb je nog van die dure anti-ddos hardware staan moet deze ook goed werken en vooral moet je personeel er goed mee kunnen werken, zie maar naar het cloudflare fuck up moment door een regel toe te voegen in hun routers die het netwerk volledig down bracht.

Flowspec had dat natuurlijk niet moeten accepteren en al helemaal niet laten crashen. Human error heb je altijd. Cloudflare had gewoon de pech dat er een bug in JunOS en een fout van een medewerker samen alles platlegde. Als je alleen maar netwerkbeheerders aan moet nemen om dit soort regels in te voeren is het natuurlijk onhaalbaar om voor $200 dergelijke protectie te bieden.

Wat betreft de aanvallen van 1 mbit die de max connections voltrekken valt dus wel goed tegen te houden met speciale hardware. Maar voor de rest heb je gelijk en is het een kwestie van wie de dikste pijp heeft.

You can take certain less costly steps.
E.g. litespeed is quite useful.
Other steps is to have a good provider who can step in if required.

Litespeed is not for ddos protection. I think you wouldn't be able to withstand any serious attack, because
your NIC will go down on interrupts on packet floods, or your uplink (prolly 1 gbps) will be flooded with bandwidth.

Litespeed is not for ddos protection. I think you wouldn't be able to withstand any serious attack, because
your NIC will go down on interrupts on packet floods, or your uplink (prolly 1 gbps) will be flooded with bandwidth.

Just because something has limitations, doesn't mean it doesn't offer protection. Just because you can still get sunburned when you use sunscreen lotion, doesnt mean that sunscreen lotion doesn't offer protection.

Litespeed is not for ddos protection. I think you wouldn't be able to withstand any serious attack, because
your NIC will go down on interrupts on packet floods, or your uplink (prolly 1 gbps) will be flooded with bandwidth.

DDOS protection is just one feature, tarpitting is another. I've seen Litespeed serve 20-25 as many connections as Apache and this ratio gets better if under any kind of attack.

If your NIC goes down, you have a badly configged server. Hardware or software. You do stress-testing, don't you?

You still can find strange exploits that will kill any system, but you can at least try to prepare for them.

This is nothing new. Years ago, Linux dealt with packet overload by dropping packets, BSD just got slower, but kept logging, answering etc. I still can remember Linux admins boasting about the performance of their hosts.

This is not another way of starting an OS-war, it's just an example. Could've been Windows or Solaris for all I care.

It's not about knowledge, professionalism or personal belief, it's about a state of mind. There are solutions out there. You just need to find/analyze/test/implement them. Too many people operate on a "it works, let's not touch it" basis.

How many amongst us have really tested their own setup?

I believe you that Litespeed can serve 20-25 times as many connections as apache, but were are talking about maybe a few thousand per server. Your NIC will go down on (for example) Syn-flood attacks with 150.000 pps (or with better quality hardware and a few tweaks on interrupts on the NIC you might be able toextend that to 300.000). You are limited on the hardware there. It has nothing to do with badly configured, its just that I am talking about bigger ddos attacks. Ofcourse you can stop a few small attacks with litespeed, but it's not going to stop any larger attack.

Ik vraag me eigenlijk af waarom naar aanleiding van 1 Engelstalige reactie, iedereen het ineens nodig vindt om in het Engels te reageren. Dit is Webhostingtalk.NL toch? Hij gooit het maar in Translate als hij het niet kan volgen.

its just that I am talking about bigger ddos attacks. Ofcourse you can stop a few small attacks with litespeed, but it's not going to stop any larger attack.

That applies to anything. Every type of protection has limitations, including the larger-scale protection systems, which will also fail if the attack is large enough. That still doesn't mean that they don't offer protection, it just means that each type of protection only works up to a certain extent.

Ik vraag me eigenlijk af waarom naar aanleiding van 1 Engelstalige reactie, iedereen het ineens nodig vindt om in het Engels te reageren. Dit is Webhostingtalk.NL toch? Hij gooit het maar in Translate als hij het niet kan volgen.

Agree! :)

Maar DDOS protectie moet je meer zien als brandbeveiliging van brandkasten e.d.
De goedkope stoppen de vlammen 10 minuten, de duurdere houden je papiertjes een uurtje veilig.
Maar als het niet stopt of er wordt niet ingegrepen... wordt het uiteindelijk toch allemaal een blubberig zooitje.

Agree! :)

Maar DDOS protectie moet je meer zien als brandbeveiliging van brandkasten e.d.
De goedkope stoppen de vlammen 10 minuten, de duurdere houden je papiertjes een uurtje veilig.
Maar als het niet stopt of er wordt niet ingegrepen... wordt het uiteindelijk toch allemaal een blubberig zooitje.

Dat is de kern van de zaak!

Geen enkel systeem van logging, snorting, filtering, blokkering of sniffing kan zoiets automatisch aanpakken. er zijn mensen nodig om dat te evalueren.

En gewoon bij de bouw brandveilige materialen gebruiken, brengt je al een heel eind in de goeie richting. ;-)

Maar 't moet altijd snel én goedkoop. Je weet wat er dan volgt...

Waarom is het voor mensen zo moeilijk om te begrijpen dat zelfs tegenwoordig volume niet meer de grootste zorgenfactor is. Kleinschalig verkeer met voldoende pps (<1Mbps) kan gewoon een volledige grote jongens router plat leggen, dit is reeds getest door vele partijen waaronder de NYSE (New York Stock Exchange) vanuit het kader waar kan je jezelf tegen beschermen. Het is nu hip om "grote massa's" lees 65+ Gbps om je oren te krijgen... maar ik voorspel dat uiteindelijk de kleine ddosjes veel hipper gaan worden.

Ik vraag me eigenlijk af waarom naar aanleiding van 1 Engelstalige reactie, iedereen het ineens nodig vindt om in het Engels te reageren. Dit is Webhostingtalk.NL toch? Hij gooit het maar in Translate als hij het niet kan volgen.

Naast het feit dat de gebruiker gebanned is wegens spam, spam en nog eens spam.

Ik denk dat het probleem Ddos steeds groter wordt doordat de gewone huis tuin en keuken gebruiker een steeds snellere internet toegang krijgt. Nu zit het probleem er denk ik minder in dat deze gebruikers zelf een Ddos uitvoeren, maar wel dat hun pc overgenomen wordt door een bot. Ik vermoed ook dat dit het grootste probleem was voor de banken, anders hadden ze verkeer van buiten NL wel afgesloten om het probleem te verkleinen.

Ddos zal alleen maar groter worden totdat het verkeer gefilterd gaat worden aan de ISP uitgaande zijde, denk dat hier de oplossing ligt en niet aan de ontvangende kant. Misschien zelfs oplossing in de trend van ontvangende zijde informeert uitgaande zijde. Maar indien het een heel groot bot netwerk betreft kunnen ze zelfde het uitgaande verkeer minimaliseren en toch bij een ontvangende zijde veel traffic aanbieden.

Cloudflare is de laatste tijd ook niet goed bezig.
Ikzelf en collega's al meerdere malen voorgehad dat site er gewoon uit ligt, omdat Cloudflare zelf issues heeft.
(Kijk maar hoe actief hun 2nd Twitter account is)

Het lijkt alsof ze constant onder vuur liggen, of gepakt worden door hun eigen succes.

@ Reactie hierboven, dat merk ik ook, steeds meer gewone mensen gaan met hun thuisverbindingetje rare dingen uithalen.

@ Reactie hierboven, dat merk ik ook, steeds meer gewone mensen gaan met hun thuisverbindingetje rare dingen uithalen.

Ik denk eerder dat botnets dat uithalen in plaats van normaal mensen, scriptkiddies daarbuiten gelaten ;).

Sorry voor de late reactie :)

Binnen Europa ken ik een paar die zeer goed werken.
1. Koddos en ddos-guard (serverius netwerk) Volgens mij 1 van de beste!
2. Voxility (voxility netwerk) nadeel malwarebytes blokt alle voxility IP's en ze hebben geen VPS servers (moet je een reseller zoeken)
3. cloudc en incloudibly (Zurich, Switzerland datacenter)

OVH schijnt ook bezig te zijn hiermee maar ik heb er niet zoveel vertrouwen in. Mijn ddos protected VPS hebben ze 2 weken terug moeten nullrouten om een spoofed udp flood :(

Waarom heb je een VPS laten ddos protecten? Wel ironisch dat hij dus alnog plat ging. Waar zit je precie?
OVH is wel een vreselijke club trouwens, je wil niet weten hoeveel % naast china in je log files staat van OVH.

OVH schijnt ook bezig te zijn hiermee maar ik heb er niet zoveel vertrouwen in. Mijn ddos protected VPS hebben ze 2 weken terug moeten nullrouten om een spoofed udp flood :(

Er is een verschil tussen een netwerk met een faciliteit om zichzelf tegen DDoS te beschermen, en DDoS bescherming als dienst.

OVH heeft enkel dat eerste. Voorheen zouden ze je bij een gedetecteerde DDoS aanval direct nullrouten, terwijl ze nu eerst (intern) je IPs via hun filtering zullen proberen af te vangen. Lukt dat niet, of vereist dat te veel resources, dan wordt je alsnog genullroute.

Er zijn ook providers die zich er specifiek op richten om DDoS bescherming als dienst aan te bieden, en dat is wel even andere koek. Bijvoorbeeld Black Lotus. En daar betaal je al snel het 100-voudige t.o.v. wat je bij OVH zou betalen.

Het is heel simpel: DDoS bescherming kost geld. Voor de prijzen die OVH biedt, kun je onmogelijk degelijke DDoS bescherming krijgen. Je betaalt er simpelweg veel te weinig om het voor hen interessant/rendabel te maken om tijd en resources/geld aan je te besteden om je overeind te houden. Hun definitie van bescherming zou ik eerder zien als "we zullen je niet om het minste of geringste nullrouten".

Verder zou ik aanraden om sceptisch te zijn over kleinere netwerken die DDoS protection als dienst aanbieden voor relatief lage bedragen. De kans dat zij echt de investeringen kunnen doen om degelijke filtering apparatuur neer te zetten, is nogal klein. De kans is dan ook vrij groot dat je in zo'n situatie terecht komt op een netwerk wat zich richt op hoge-risico klanten waar dus ook veel aanvallen voor zullen komen, waarschijnlijk met de nodige problemen.

Vergelijk het met file-detectie op een GPS: als alles vast staat, is ook die GPS kansloos. En verder weet iedereen hoe een GPS systeem onverwacht kan falen. Door 't weer, door omleidingen, door fouten op de kaart...

Volgens mij moet er even goed nagedacht worden of dit wel hetgeen is waar je je tegen KUNT beveiligen t.o.v.
de prijs / dienst die jij levert. Zelf, voor individuele websites, gebruik ik altijd Cloudflare. Zodra het mijn servers
betreft: ben ik de lul (?). Je kunt het zelf wel redelijk tegenhouden als het om kleine scriptkiddies gaat (mitigaten)
maar zoals iedereen weet is het momenteel gewoon veel beter om 10.000 computers (bot) te hebben en daar
dan kleine pakketjes mee te versturen = groot effect. Als dat zo is dan ben je de klos al kom je een heel eind als
je wat basisdingetjes hebt (bijv http://silverwraith.com/papers/freebsd-ddos.php). Vraag mij af wie uit dit topic daar
ooit te maken mee heeft gehad? Laat wel wezen: ik ben maar een huis/tuin/keuken gebruiker die wat met dingetjes
doet- en knoeit. Geen bedrijfskritieke dingen dus wellicht is het in jouw/jullie geval anders