PDA

Bekijk Volledige Versie : [colo] impact van een DDoS aanval



MediaServe
20/06/05, 18:34
Beste,

Ik was eens benieuwd naar de bijwerkingen van een DDoS aanval, wat gebeurd er met je netwerk, welke impact geeft het?

De netwerk configuratie is als volgt:
- Cisco 3524 XL netwerk switch
- 2x Gbps SX uplink (redundante trunk)
- Coloklant heeft een uplink van 100 Mbps
- Geen 95-percentile regeling

Als die klant een aanval krijgt waarbij een aantal dagen 100 Mbps wordt getrokken, in hoeverre hebben anderen daar last van? Betaald de klant altijd netjes voor het dataverkeer?

Ervaringen en opmerkingen worden gewaardeerd :)

smurf
20/06/05, 18:41
Mmm zie je dat niet snel als je klant de Full 100 Mbit gebruikt? Is het dan niet jouw taak om de abnormale verhoging aan te kaarten en contact op te nemen met je klant?

XS-24
20/06/05, 18:44
Je provider het ip laten nullrouten.

MikeN
20/06/05, 18:53
Vergeet verder niet dat een DDoS aanval ook wel groter kan zijn dan 100 MBit. Dat die klant maar een 100 MBit uplink heeft trekt die aanval zich niet zoveel van aan.

MediaServe
20/06/05, 19:07
Origineel geplaatst door smurf
Mmm zie je dat niet snel als je klant de Full 100 Mbit gebruikt? Is het dan niet jouw taak om de abnormale verhoging aan te kaarten en contact op te nemen met je klant? Uiteraard, maar dat vroeg ik niet.
Origineel geplaatst door MikeN
Vergeet verder niet dat een DDoS aanval ook wel groter kan zijn dan 100 MBit. Dat die klant maar een 100 MBit uplink heeft trekt die aanval zich niet zoveel van aan. Daar heb je gelijk aan!
Misschien iemand met ervaringen?

froggie
20/06/05, 20:23
Ik hoop natuurlijk wel dat je begrijpt dat wanneer ik geddosd wordt en mijn provider is daarvan op de hoogte en deze de mogelijkheid heeft daar wat aan te doen, ik graag zou hebben dat er van hun kant actie ondernomen wordt. En wanneer blijkt dat de ddos van zoveel machines komt dat nullrouten niet mogelijk is dan moet desnoods de stekker maar uit mijn switch getrokken worden.
Het klinkt namelijk alsof je het maar gewoon wil laten gebeuren.


Origineel geplaatst door MediaServe
Betaald de klant altijd netjes voor het dataverkeer?

Wanneer ik mij netjes aan de algemene voorwaarden van het netwerk houdt en niet bewust een ddos uitlok (en je weet als klant vaak best wanneer je een ddos uitlokt), dan denk ik dat de kosten best gedeeld kunnen worden. Hoe die verdeling bepaald wordt, ligt er voor mij aan hoe de provider het hele geval afhandelt. Wanneer de provider mij tijdig waarschuwt (in het geval dat ik het niet zelf opmerk) en adequaat actie onderneemt (hetzij de source nullrouten, hetzij mij als klant offline gooien voor zolang als het duurt) dan ben ik waarschijnlijk best geneigd het dataverkeer te betalen tussen het begin van de aanval en het moment dat mijn host actie ondernomen heeft.
Maar wanneer mijn provider voor mijn gevoel laks handeld (door geen actie te ondernemen, of wat dan ook) en er geen harde voorwaarden zijn wat betreft ddos aanvallen dan stikt hij er maar in, dan zal ik alles doen om onder die rekening uit te komen. Daar heb ik tenslotte rechtsbijstand voor.

XF-RICK
20/06/05, 20:39
Bij ons worden de kosten van een DDOS aanval niet doorberekend, tenzij de klant dit heeft lopen uitlokken.

DDOS aanval kan aardig lastig zijn, tijdje geleden een HP-2524 die onder vuur lag, webinterface en telnet was onbereikbaar, hij bleef gelukkig wel doorswitchen. Probeer dan maar eens na te gaan naar welke switchpoort het gaat. (+/- 250 Mbit).

Tuinslak
20/06/05, 21:25
En hoe kijk je na of de klant "een (d)dos uitlokt" dan?
Is een IRCD draaien uitlokken? IRC staat toch zeer bekend om vaak geDDoSsed te worden? Al heb ik daar nog nooit iets van gemerkt...

Hoe ga je na wat een klant (onder welke username) post op een fora? Of ...

Bij mijn weten worden DDoSses nooit voor het plezier gedaan, maar is er altijd wel een reden? :rolleyes:

Zenda
20/06/05, 21:52
Origineel geplaatst door Tuinslak
Bij mijn weten worden DDoSses nooit voor het plezier gedaan, maar is er altijd wel een reden? :rolleyes:Toevallig ken ik iemand, die voor zijn plezier lan-party's DDoSSED met véél MBIT's (dacht iets van 5 GBIT). Maarja, dat terzijde.

Ik vraag me ook af wanneer jullie zeggen dat het uitgelokt is. Het lijkt mij voor de klant ontzettend simpel om het tegendeel te bewijzen.

froggie
20/06/05, 23:07
Mja, ik weet dat uitlokken een beetje vaag gedefinieerd is. Maar wanneer je je in de kringen begeeft waarin zich mensen bewegen die die beschikking hebben over de middelen om een ddos uit te voeren dan zoek je naar mijn mening het gevaar op. Zover ik weet worden ddossen voor alsnog enkel uitgevoerd om persoonlijke redenen (overtuiging, wraak, weet ik het) tegenover het slachtoffer, dus heb je als slachtoffer zelf een hand in de aanval gehad.
Ik geef toe dat je als provider niets kunt bewijzen, maar als klant dien je hier ook een stukje eigen verantwoording in te dragen.

Maar ja, dit klinkt allemaal leuk uit de mond van een moraalridder, maar wat je hier daadwerkelijk in de praktijk aan hebt durf ik niet te zeggen :)

XS-24
20/06/05, 23:16
We bieden nog geen colo aan,maar bij dedi berekenen we de ddos door tot linkup hem op ons of de klant zijn verzoel nullroute.

MediaServe
20/06/05, 23:30
Bedankt voor de reacties zover :)
In principe moet de klant betalen voor al het dataverkeer dat hij genereert. Als hij bijvoorbeeld IRC diensten draait en een DDoS aanval krijgt, dan vind ik het eigenlijk onterecht dat ik daar als provider voor moet betalen.

Maar wat ik eigenlijk nog belangrijker vind, hoe houd het netwerk zich tijdens zo'n aanval? De switch die XF-RICK noemt, de HP 2524, die levert vrijwel gelijke performance als de Cisco 3524 XL. Is zo'n aanval van 250 Mbps een hele fikse aanval, of zijn er geregeld grotere aanvallen?

Capaciteit is het probleem dus niet, maar het gaat meer om de PPS die de switch te verwerken krijgt.

MikeN
20/06/05, 23:32
Origineel geplaatst door MediaServe
In principe moet de klant betalen voor al het dataverkeer dat hij genereert.
Je zegt het zelf al: genereert. Een DDoS is inkomend dataverkeer, wat dus niet direct door de klant gegenereerd wordt.

ProServe
21/06/05, 00:03
Origineel geplaatst door MikeN

Je zegt het zelf al: genereert. Een DDoS is inkomend dataverkeer, wat dus niet direct door de klant gegenereerd wordt.
Klopt, maar het ligt aan de ISP of ze het wel of niet doorberekenen. Als een klant van ons een DDoS krijgt van 100Mbit over transit, en we laten dit meer dan anderhalve dag gewoon draaien, gaan we toch echt een rekening van die transit boer krijgen.

Wij blackholen dan het destination IP (het IP van onze klant), waardoor de (D)DoS attack al in het netwerk van onze transit providers gestopt wordt. Vaak zien de kiddies dan al snel dat de aanval geen zin meer heeft, en stoppen ze.
Onze ervaring is dat zo goed als bijna elke DDoS attack uitgelokt is, door wat dan ook. Bewust of onbewust.

MikeN
21/06/05, 00:15
Ik zeg ook niet dat er per definitie niet betaald hoeft te worden bij een DDoS aanval, maar probeerde alleen te laten zien dat het niet zo simpel is als "het is gegenereerd door de klant dus hij betaalt het".

Ik denk dat je er het beste heel duidelijke afspraken met je klanten over kan maken. Dus afspreken welke actie wordt ondernomen bij een aanval en welk deel van de verkeer wordt betaald door de klant. Dit gewoon in je contract opnemen en dan weet iedereen waar hij aan toe is.

Over het uitlokken van een DDoS aanval: het is hoe ruim je de definitie van uitlokken stelt. Veel aanvallen kun je sowieso direct aan de klant toeschrijven. Als een klant zelf ruzie krijgt met de verkeerde personen heeft hij het toch echt zelf veroorzaakt. Het draaien van bijvoorbeeld een IRC server is al minder makkelijk te zien als uitlokken. Aan de ene kant is het natuurlijk een risico wat je bewust neemt, aan de andere kant kun jij er ook niet zo heel veel aan doen als in een uurtje dat jij weg bent wat mensen ruzie krijgen op jouw server en daarom maar besluiten doodleuk de server plat te gooien (ik spreek helaas uit ervaring).

Maar uiteindelijk denk ik dat het allemaal neerkomt op afspraken maken met je klanten. Zowel over het voorkomen van DDoS aanvallen (door bv. het niet toestaan van IRC diensten), als over de afhandeling van eventuele DDoS aanvallen.

Over de switch die niet meer reageert: volgens de specs moet dat ding aardig wat pps kunnen hebben. Nou weet ik niet of die specs gehaald worden, maar het probleem zou ook wel eens veroorzaakt kunnen worden doordat er 250 MBit inkomend verkeer op de switch is en er maar 100 MBit uit kan, waardoor de buffers op de switch dus vol gaan lopen en hij zich daar wel eens in zou kunnen verslikken.

MediaServe
21/06/05, 00:49
Zijn de Flooding Controls in de Cisco switch effectief om een DoS tegen te gaan? Ik las zoiets dat een poort automatisch uitgezet kan worden bij een bepaalde PPS.

En misschien een domme vraag, maar als ik een IP adres niet announce, dan krijgt mijn switch daar toch ook geen verkeer meer van. Dus als ik die poort dichtzet, dan houd het verkeer toch ook op?

Voor zover het uitmaakt, ik doe zelf geen routing...

ju5t
21/06/05, 01:30
Ik heb me wel eens laten vertellen dat een 3com 1100, oud beestje dus, intern 6TB aankan qua verkeer, dus zo snel zal dat ding niet stoppen met switchen lijkt mij. Kan ik natuurlijk heel erg mis hebben, maar ik ben geen netwerk man, dus misschien kan iemand me hierin verbeteren :)

froggie
21/06/05, 08:26
GetUP: die 6TB zal wel 6Gb zijn, als je het tenminste over de backplane hebt.

MediaServe: volgens mij moet je provider zo'n ddos op de router afhandelen. Want wanneer jij gewoon de port dichtgooit op de switch zit het verkeer al in het netwerk voordat geconcludeerd wordt dat het betreffende IP niet bereikbaar is en moet jij alsnog dokken (itt de klant, die nu idd geen verkeer meer over z'n portje ziet gaan en dus "niets meer verbruikt").

Of zit ik er nu heel ver naast? 't Is tenslotte nog vroeg :X

Borrie
21/06/05, 12:29
Ik ben samen met een klasgenoot bezig met een onderzoek en implementatie van een anti DDoS mechanisme als afstudeerproject voor onze opleiding (http://www.os3.nl).

Ons mechanisme divert de DDoS attack door middel van het BGP protocol. Het idee is dat een specifiek deel van een netwerk (bijvoorbeeld /24, liefst nog specifieker, denk aan een /32) wordt geannounced door een bepaald mechanisme. Hierdoor wordt de DDoS attack afgewend van het netwerk van de ISP. Het DDoS verkeer wordt dan naar een blackhole oid gestuurd.

Resultaat: het resterende deel van de provider (er van uitgaande dat deze wel meerdere adres blokken heeft). De DDoS attack heeft dan geen resultaat meer! Er zijn natuurlijk nog wel wat problemen wat betreft het announcen, je kan natuurlijk niet zomaar de adresspace gaan announcen van andere partijen.

Wat zijn jullie ideeen bij dit mechanisme?

svbeek
21/06/05, 12:48
Je bedoeld dat je dan bijvoorbeeld stopt met het announcen van een bepaalde /24? Dan is de ddos gestopt, de rest van je netwerk prima bereikbaar maar de klanten in die /24 zijn nog steeds offline. Dus heeft de DDoS-er infeite bereikt wat hij wil..

Theoretisch zou je de geddos-de /24 nog verder op kunnen delen in kleinere ranges maar die worden door sommige providers uit de routing tabel gefilterd omdat ze zo klein zijn en daardoor de routing tabel te groot wordt. Dit is dus ook niet handig.

Zijn er betere oplossingen?

Cliff
21/06/05, 12:51
Origineel geplaatst door svbeek
Je bedoeld dat je dan bijvoorbeeld stopt met het announcen van een bepaalde /24? Dan is de ddos gestopt, de rest van je netwerk prima bereikbaar maar de klanten in die /24 zijn nog steeds offline. Dus heeft de DDoS-er infeite bereikt wat hij wil..

Theoretisch zou je de geddos-de /24 nog verder op kunnen delen in kleinere ranges maar die worden door sommige providers uit de routing tabel gefilterd omdat ze zo klein zijn en daardoor de routing tabel te groot wordt. Dit is dus ook niet handig.

Zijn er betere oplossingen?

Je klanten in 1 /24 zijn dan onbereikbaar, maar al je andere klanten hebben NERGENS meer last van. Opzich lijkt me dat al een fijn idee.

Beter is alle ddos gevoelige servers in een apart stuk PI te steken, zodat je deze kan withdrawen zodra je een ddos krijgt.

Borrie
21/06/05, 12:56
Origineel geplaatst door svbeek
Je bedoeld dat je dan bijvoorbeeld stopt met het announcen van een bepaalde /24? Dan is de ddos gestopt, de rest van je netwerk prima bereikbaar maar de klanten in die /24 zijn nog steeds offline. Dus heeft de DDoS-er infeite bereikt wat hij wil..


Nee, je stopt niet met announcen, je gaat noujuist op een andere plek (zo dicht mogelijk bij de source) als een malloot announcen zodat de attack wordt weg geleid. De gevolgen van de DDoS attack zijn negatief,maar het voordeel is dat de andere diensten (in een ander deel van het netwerk)van de provider toch weer bereikbaar zijn.

Reinier v Eeden
21/06/05, 13:24
Of je zet een MAX connection limit op alle IRC porten, een ddos word dan netjes door je router gedropt.

Dan kunnen je klanten gewoon IRC hosten alleen geen grote netwerken/botnets of een denial of service aanval ontvangen.

9 van de 10 keer zijn ddos attacks toch op IRC en verder gewono udp op port 80 filteren etc, dat is soms ook in trek.

groeten
reinier

Tuinslak
21/06/05, 13:52
En als je een IRCD draait? met... 500 tot 1000 man op? Of als je 500 bouncers host?
Dat lijkt mij niet echt een oplossing...

svbeek
21/06/05, 14:01
Origineel geplaatst door Reinier v Eeden
Of je zet een MAX connection limit op alle IRC porten, een ddos word dan netjes door je router gedropt.

Dan kunnen je klanten gewoon IRC hosten alleen geen grote netwerken/botnets of een denial of service aanval ontvangen.

9 van de 10 keer zijn ddos attacks toch op IRC en verder gewono udp op port 80 filteren etc, dat is soms ook in trek.

groeten
reinier

Maar je router krijgt dan dus nog wel al het DDoS verkeer binnen waar je voor moet betalen, en deze moet dan wel zo'n hoeveelheid traffic aankunnen.

Reinier v Eeden
21/06/05, 14:35
Origineel geplaatst door Tuinslak
En als je een IRCD draait? met... 500 tot 1000 man op? Of als je 500 bouncers host?
Dat lijkt mij niet echt een oplossing...

Je kunt het filter toch aanpassen, het max aantal connecties kun je zelf toch invoeren in je configuratie.

groeten
reinier

Reinier v Eeden
21/06/05, 14:40
Origineel geplaatst door svbeek


Maar je router krijgt dan dus nog wel al het DDoS verkeer binnen waar je voor moet betalen, en deze moet dan wel zo'n hoeveelheid traffic aankunnen.

Natuurlijk ook afhangende wat voor router het is maar een beetje kan wel 48 miljoen packet/s droppen. Meestal komt er toch niet meer binnen

Althans wij hadden er geen problemen mee, nu filteren we niet meer.

groeten
reinier

XF-RICK
21/06/05, 14:46
Origineel geplaatst door MediaServe
Bedankt voor de reacties zover :)
In principe moet de klant betalen voor al het dataverkeer dat hij genereert. Als hij bijvoorbeeld IRC diensten draait en een DDoS aanval krijgt, dan vind ik het eigenlijk onterecht dat ik daar als provider voor moet betalen.

Maar wat ik eigenlijk nog belangrijker vind, hoe houd het netwerk zich tijdens zo'n aanval? De switch die XF-RICK noemt, de HP 2524, die levert vrijwel gelijke performance als de Cisco 3524 XL. Is zo'n aanval van 250 Mbps een hele fikse aanval, of zijn er geregeld grotere aanvallen?

Capaciteit is het probleem dus niet, maar het gaat meer om de PPS die de switch te verwerken krijgt.

Capaciteit is nooit echt een probleem, de wat goedkopere switches kunnen problemen krijgen van aardig wat veel PPS. Ze blijven in veel gevallen gewoon wel netjes doorswitchen, en krijgen een hoge CPU load, waardoor web en telnet niet meer beschikbaar wordt. Tevens zul je ook tijdelijk hogere pings hebben hierdoor.

Qua routing ook voor de rest geen problemen, wel leert men dan 100 Mbit lijntjes tegenwoordig niet meer voldoen tijdens een DDOS attack.

Het is al een heel stuk moeilijker om een gbit lijntje vol te krijgen dan een 100 mbit lijntje. Routers hebben tijdelijk wat hogere CPU load maar komen eigenlijk nooit boven de 45% uit.

Indien een klant slachtoffer is van een DDOS wordt er vrijwel gelijk gehandeld, we laten de lijn richting de klant niet vollopen, en lichten de klant in van de DDOS. Indien de klant geen reactie geeft, wordt er op tijdelijk afsluiting overgegaan.

Dossen van 250 Mbit is nog aardig klein te noemen, tegenwoordig is 700 Mbit geen raar verschijnsel meer.

svbeek
21/06/05, 15:14
Origineel geplaatst door XF-RICK

Qua routing ook voor de rest geen problemen, wel leert men dan 100 Mbit lijntjes tegenwoordig niet meer voldoen tijdens een DDOS attack.


Moet je die wel af kunnen krijgen..
Bij sommige transit providers moet je minimaal 50 mbit afnemen voor ze je willen voorzien van een gigabit lijntje.

ivs
21/06/05, 15:20
Origineel geplaatst door XS-24
Je provider het ip laten nullrouten.

Ik heb er niet zoveel verstand van maar vroeg me het volgende af:
Kan je een IP null-routen ik snap dat je een domein kan null-routen maar een IP?

En wat heeft het voor een zin om een IP te null routen bij je provider dit betekend dat het verkeer toch nog helemaal naar je provider toe komt en dan pas wordt ge null-route, dan heeft het je provider toch al capaciteit gekost?

Borrie
21/06/05, 17:43
Origineel geplaatst door ivs

En wat heeft het voor een zin om een IP te null routen bij je provider dit betekend dat het verkeer toch nog helemaal naar je provider toe komt en dan pas wordt ge null-route, dan heeft het je provider toch al capaciteit gekost?

Klopt, maar jouw netwerk heeft vaak minder bandbreedte dan die van de ISP. dus deze kan naar alle waarschijnlijkheid makkelijk het vekeer aan!

XF-RICK
21/06/05, 20:07
Origineel geplaatst door svbeek


Moet je die wel af kunnen krijgen..
Bij sommige transit providers moet je minimaal 50 mbit afnemen voor ze je willen voorzien van een gigabit lijntje.

True, voor 1 Mbit zal je inderdaad geen gbit lijntje krijgen, maar als je wat traffic doet (10 Mbit minimaal) dan zou je best weleens contact op kunnen nemen met je coloboer en vragen of je een Gbit uplink mag.

Dan kan je zelf nog voorstellen om de fiber "lead" te betalen.

ProServe
21/06/05, 20:56
Origineel geplaatst door Borrie
Ik ben samen met een klasgenoot bezig met een onderzoek en implementatie van een anti DDoS mechanisme als afstudeerproject voor onze opleiding (http://www.os3.nl).

== KNIP ==

Wat zijn jullie ideeen bij dit mechanisme?
Erg origineel, dit gebruiken alle grote carriers al als manier om te blackholen :|

MikeN
21/06/05, 21:26
Hé, tis iig een goed idee dan, ze waren alleen niet de eerste :P

Borrie
22/06/05, 00:24
Klopt, maar vaak zijn dit commerciele diensten. Denk aan de cisco guard of de riverhead. Dit moet een gratis af te nemen dienst zijn voor isp's aangesloten op een IX.

ProServe
22/06/05, 10:33
Eeh, betaalde dienst? Nee hoor, dit is gewoon een standaard dienst bij bijna alle carriers. Heb je geen aparte software of hardware voor nodig.

XF-RICK
23/06/05, 02:27
Origineel geplaatst door svbeek


Moet je die wel af kunnen krijgen..
Bij sommige transit providers moet je minimaal 50 mbit afnemen voor ze je willen voorzien van een gigabit lijntje.

Neem je 50 Mbit af, nee even zonder dollen. Of je nou op een 100 mbit lijntje zit of op een gbit, je zult als coloboer met eigen netwerk voor de kosten komen te staan als je niet snel ingrijpt.

Reactie het liefst binnen het uur, als klant gemiddeld 10 Mbit/maand doet, en hij piekt 48 uur 70 mbit, dan gaat hij dit zeker merken.

Effect is meestal te merken op een switch en niet zozeer op een router.

Zoals ooit iemand zei, de veiligste situatie is gewoon geen netwerk.

:)