Onderwerp: Wat is er te doen tegen een DDoS aanval anno 2010?

Sinds gisteren vindt er een DDoS aanval op mijn webserver plaats waarbij constant 30 mbit aan data wordt verbruikt.

Volgens mijn hosting provider (Leaseweb) is er niets aan te doen en kunnen ze enkel aanbieden om het IP van de server te 'null-routen' zodat er geen kosten zijn door de DDoS aanval, maar dat betekent ook dat de website niet meer bereikbaar is dus het is geen oplossing.

Ik heb gelezen over Mod_Evasive, maar volgens Leaseweb biedt dat enkel in specifieke kleinere aanvallen uitkomst en het zou ook zoekrobots zoals Google kunnen weren wat op termijn nadelige gevolgen kan hebben voor de vindbaarheid op het internet.

Verder heb ik gelezen dat sommige providers zelf actief de strijd aangaan tegen DDoS attacks, waaronder XS4All.nl. Op welke wijze weet ik echter niet.

Mijn vraag is: is er anno 2010 iets tegen DDoS aanvallen te doen? En zo ja, wat?

Het is zeer lastig om een DDoS tegen te gaan, maar het hangt er ook heel erg van af om wat voor aanval het gaat. Heb je meer informatie over de aanval?

Nee, ik heb wel enkele commando's geprobeerd om IP's met veel gelijktijdige verbindingen te achterhalen maar dat leverde niets op. Er was wel 1 'blank' ip-veld zichtbaar met 150+ verbindingen, wat erg vreemd was. (er stond niets op de plaats waar normaal een IP vermeld zou staan)

Code:

netstat -taepn|tr -s " " " "|awk '{print $5;}'|cut -d: -f1|sort|uniq -c|sort -rnk1|head

netstat -ntu | grep ESTAB | awk '{print $5}' | cut -d: -f1 | sort | uniq -c|sort -rnk1|head

netstat -n|grep :80|cut -c 45-|cut -f 1 -d ':'|sort|uniq -c|sort -nr|more

Heb je wellicht een tip hoe ik meer informatie over de aanval zou kunnen achterhalen?

Zoals xaban al schreef is het niet altijd even makkelijk om een DDoS aanval te blokkeren.
Is bekend om wat voor verkeer het gaat? Enkel traffic, of een combinatie van veel packets/sec?

Wordt er al gebruik gemaakt van een goede firewall? Indien er wat meer bekend over de herkomst van de traffic, wellicht dat het e.a. te filteren is met iptables (lees; limits instellen per IP)

Ik huur een managed externe firewall bij Leaseweb, dus ik neem aan dat de firewall goed is en de nodige bescherming biedt.

Heb je wellicht een tip hoe ik meer informatie zou kunnen verkrijgen over de traffic en het type aanval? (e.g. commando's die ik zou kunnen uitvoeren)

Oorspronkelijk geplaatst door SEO

Ik huur een managed externe firewall bij Leaseweb, dus ik neem aan dat de firewall goed is en de nodige bescherming biedt.

Heb je wellicht een tip hoe ik meer informatie zou kunnen verkrijgen over de traffic en het type aanval? (e.g. commando's die ik zou kunnen uitvoeren)

Als het hier gaat om een externe firewall, dan lijkt mij dat het e.a. wel uitgelezen moet kunnen worden.
Filteren van een kleine/middelmatige DDoS moet lukken - je zit in bepaalde gevallen echter met de traffic

Als het een non-spoofed TCP verkeer is kan je redelijk uit de voeten met iptables.

Als het een spoofed TCP SYN flood is waarvan de src adressen elke keer random worden gekozen kan je devices gebruiken die goed de 3-way-handshake afhandelen voordat ze TCP doorzetten naar je webserver. Sommige firewalls (Cisco niet!) en meeste loadbalancers doen dit.

Het probleem is meestal dat als je 1 vorm van DDoS afslaat de aanvaller over gaat op een andere taktiek.

Als je alle "low volume" DDoS aanvallen hebt gefilterd starten ze een UDP of ICMP flood met grote pakketten, net zo lang tot je uplink vol zit. En met een beetje pech de uplinks van de router waar je achter zit.

Oorspronkelijk geplaatst door SEO

Ik huur een managed externe firewall bij Leaseweb, dus ik neem aan dat de firewall goed is en de nodige bescherming biedt.

Heb je wellicht een tip hoe ik meer informatie zou kunnen verkrijgen over de traffic en het type aanval? (e.g. commando's die ik zou kunnen uitvoeren)

Volgens mij doet die firewall enkel ports open zetten en bepaalde IP's toelaten, meer niet. Dus niet echt te gebruiken voor een DDoS aanval.

Helaas is er anno 2010 nog steeds niet veel te doen tegen DDoS (of je moet smijten met geld, dan is het gedeeltelijk mogelijk).

Succes!

Oorspronkelijk geplaatst door SEO

Sinds gisteren vindt er een DDoS aanval op mijn webserver plaats waarbij constant 30 mbit aan data wordt verbruikt.

Volgens mijn hosting provider (Leaseweb) is er niets aan te doen en kunnen ze enkel aanbieden om het IP van de server te 'null-routen' zodat er geen kosten zijn door de DDoS aanval, maar dat betekent ook dat de website niet meer bereikbaar is dus het is geen oplossing.

Ik heb gelezen over Mod_Evasive, maar volgens Leaseweb biedt dat enkel in specifieke kleinere aanvallen uitkomst en het zou ook zoekrobots zoals Google kunnen weren wat op termijn nadelige gevolgen kan hebben voor de vindbaarheid op het internet.

Verder heb ik gelezen dat sommige providers zelf actief de strijd aangaan tegen DDoS attacks, waaronder XS4All.nl. Op welke wijze weet ik echter niet.

Mijn vraag is: is er anno 2010 iets tegen DDoS aanvallen te doen? En zo ja, wat?

Aan de verdedigende kant is dat nogal lastig inderdaad.
"Drinken uit de brandweerslang" , en dus gewoon heel veel resources hebben. (10Gbps 'even erbij kunnen hebben' als het er heel heftig aan toe gaat).

Voor dergelijke DDosen kunnen (en zullen) ISPs ook wel samenwerken om bronnen ervan te blokkeren en botnets offline te krijgen.
Niet makkelijk, en niet snel.
30 Mbit is vanuit de ISP gezien (zeker leaseweb) nog geen pixel in de stats, en dan moeten ze je graag mogen om je helpen met dingen die veel beheerders-tijd kosten. Want tijd van ervaren beheerders is bij de meeste ISPs de beperkende factor.

Je host nullrouten is simpel, en nog steeds een DoS (er is 100% downtime), alleen kost het je geen verkeer meer.
Sommige ISPs bieden een vorm van DDoS resilient hosting, waarbij in geval van een DoS attack het verkeer door een scrubber gehaald wordt en alleen 'echt' traffic doorgelaten wordt.
Dat is meestal een vrij dure service, en ook niet echt waterdicht als de attack wat beetje slimmer is en gewoon met veel bots valide requests doet. Ook bekend als het slashdot (of misschien geenstijl) effect. Maar wel zinvol tegen een 'botte' aanval van icmp/udp/syn flood e.d.

Hoe weet je trouwens dat het een DDos is, en niet gewoon een paar mirrors die een beetje grote files staan te slurpen van je server ?
Een enkele vdsl of kabel gebruiker kan al 30Mbit downloaden .
Als je server gehacked is en nu ook een ftp warez site is ?

Je kunt de firewall (liever alleen als packetfilter) van je server gebruiken om IPs of subnets te blokkeren.
Of op een wat hoger niveau hetzelfde doen in de (web)server, en die IPs of gebruikers naar een simpele pagina redirecten.
Voor beide opties moet je op je server kunnen vertrouwen , voldoende logs hebben en snappen wat je aan het doen bent.

Overigens is, voor een internet-facing service een firewall gewoonlijk een DDoS-amplifier, omdat een firewall tracht state bij te houden en daar (tov een aanval) vrij beperkt in is. Een stateless packet filter is prima, maar voor de rest is een goed beheerde (en gehardende) server robuuster dan een firewall.

Oorspronkelijk geplaatst door xaban

Volgens mij doet die firewall enkel ports open zetten en bepaalde IP's toelaten, meer niet. Dus niet echt te gebruiken voor een DDoS aanval.

Helaas is er anno 2010 nog steeds niet veel te doen tegen DDoS (of je moet smijten met geld, dan is het gedeeltelijk mogelijk).

Succes!

Zodra de lijnen voldoende capaciteit hebben zou het met een drop (/dev/null bestemming) van het verkeer behoorlijk lang vol te houden moeten zijn. Helemaal bij het gebruik van een aantal firewalls samen (firewalls als losse machines). Uiteraard is er verder (helaas) weinig aan te doen.

Je zou het inkomende verkeer kunnen laten filteren door een DDOS shield provider. Dit is helaas niet goedkoop maar wel erg effectief. Denk aan oplossingen vanaf 300-400 euro / maand.

Heb je wellicht enkele links naar dergelijke providers? En veroorzaakt dat geen vertraging voor het overige verkeer?

prolexic en black lotus

latency zal omhoog gaan.

Ja maar is dat niet een beetje overdreven met 1 server?